Una de las novedades más importantes del Reglamento General de Protección de Datos (RGPD) es que se refuerzan los derechos de los ciudadanos considerablemente.

El RGPD contiene los ya tradicionales derechos ARCO y también algunos nuevos derechos. El nuevo Reglamento se refiere ahora a los derechos de Transparencia (art. 12), Información (arts. 13 a 14), Acceso (art. 15), Rectificación (Art. 16), Supresión o derecho al olvido (art. 17), Limitación del tratamiento (art. 18), Portabilidad de datos (art. 20) y Oposición (art. 21).

Estos nuevos derechos proporcionan un mayor control y una mayor capacidad de decisión a los ciudadanos sobre el tratamiento de sus datos personales por parte de terceros.

Además, el RGPD establece condiciones concretas sobre el procedimiento a seguir para atender a los interesados en el ejercicio de sus derechos.

Al igual que sucede actualmente con la LOPD, es obligación de los responsables facilitar a los interesados el ejercicio de sus derechos. Los procedimientos y las formas para ello deben ser visibles, accesibles y sencillos. Se requiere que se posibilite la presentación de solicitudes por medios electrónicos, especialmente cuando el tratamiento se realiza por estos medios.

El ejercicio de los derechos será gratuito para el interesado, con la excepción de que se formulen peticiones manifiestamente infundadas o excesivas, en cuyo caso se podrá cobrar un canon de compensación o negarse a actuar. La carga de la prueba de ese carácter excesivo o infundado recaerá siempre en el responsable.

El plazo establecido para responder a las solicitudes será de un mes, ampliable en caso de especial complejidad de la petición. El responsable deberá responder en todo caso, y si decide no atender la solicitud deberá informar al interesado en el plazo de un mes, motivando su negativa.

El responsable podrá contar con la colaboración de los encargados para atender al ejercicio de derechos de los interesados, pudiendo incluir esta colaboración en el contrato de encargo de tratamiento.

Todo esto supone un incremento en el esfuerzo que las empresas tienen que realizar para cumplir con la protección de datos, por lo que será necesario un mayor compromiso por su parte.

Novedades RGPD: Licitud del tratamiento

Todo tratamiento de datos necesita apoyarse en una base que lo legitime, es decir, podremos usar datos personales siempre que tengamos el derecho o el deber de hacerlo.

Según el principio de responsabilidad proactiva recogido en el art.5.2 del Reglamento General de Protección de Datos (RGPD) el responsable deberá documentar e identificar claramente la base legal que legitime el tratamiento de datos personales de terceros. Las organizaciones deben analizar qué tipos de datos tratan, con qué finalidad y qué operaciones de tratamiento realizan, para asegurarse de que son las adecuadas y que pueden demostrarlo tanto a los interesados (a los que tendrán que informar de esa base legal) y a las autoridades.

Las bases jurídicas en el RGPD son las mismas que contenía la LOPD, con matices:

•Consentimiento: según el RGPD debe ser inequívoco, afirmativo y específico, por lo que ya no se permitirá el consentimiento tácito que se venía utilizando hasta ahora y habrá que recabarlo para uno o varias finalidades determinadas.

•La ejecución de un contrato: que antes se denominaba el mantenimiento de una relación negocial, laboral o administrativa.

•Intereses vitales del interesado o de otras personas: el RGPD pone como ejemplos los necesarios para fines humanitarios (incluido el control de epidemias y su propagación) y situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano..

•Obligación legal para el responsable.

•Interés público o ejercicio de poderes públicos, con base en el derecho de la UE o de los Estados Miembros.

•Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos, que existirá cuando no prevalezcan los derechos y libertades del interesado. Si el responsable puede hacer un tratamiento en virtud de este interés legítimo el interesado podrá hacer prevalecer sus derechos y libertades mediante los derechos de oposición y limitación.

La ponderación de cuál es el interés que prevalece, si el del responsable o el del interesado es la excepción a los tratamientos que se realicen sin el consentimiento que mayor indeterminación podrá producir en el día a día. El RGPD explica en sus considerandos 47-49 el interés legítimo del responsable, poniendo como ejemplo la relación que mantiene con clientes o trabajadores. En todo caso, deberá evaluarse ese interés legítimo de una forma meticulosa.

Nueva normativa en Protección de Datos

En mayo de 2018 entrará en vigor el nuevo Reglamento General de Protección de Datos (RGPD).

Todas las empresas y organizaciones que traten datos de terceros, empleados y clientes, deberán cumplir con la nueva normativa para evitar multas cuantiosas y mala publicidad.

La reforma legal supone una gestión de la protección de datos distinta a la que se venía realizando hasta ahora:

Los responsables deberán aplicar las técnicas necesarias para garantizar que sus tratamientos de datos son conformes al Reglamento y que pueden acreditarlo ante interesados y autoridades.
Se deberán adoptar medidas que garanticen el cumplimiento de la norma desde el mismo momento en que se diseñe una empresa, producto, servicio o actividad que implique tratamiento de dato, como regla y desde el origen.
Será necesario actualizar los registros y procedimientos existentes para integrar la “privacidad en el diseño”.
Se anulará el consentimiento tácito que se permitía en ciertos tratamientos y será obligatorio un consentimiento explícito y expreso.
La figura del Delegado de Protección de Datos será obligatoria en entidades públicas y en empresas donde la gestión de datos personales se realice a gran escala o de manera habitual y sistemática.
Se refuerzan los derechos de los afectados, cuyo ejercicio será facilitado de manera gratuita por el responsable: derecho al olvido, derecho de portabilidad, derecho de oposición a la realización de perfiles, derecho de limitación etc.
Se amplía el catálogo de datos especiales: se añaden datos biométricos, genéticos, condenas e infracciones penales, vigilancia de zonas públicas, riesgo alto para derechos y libertades…
Se obligará a notificar las brechas de seguridad a la autoridad de control y a los afectados en menos de 72 horas.
Se refuerza el derecho de información, tendrá que utilizarse un lenguaje claro y sencillo y deberá ser concisa, inteligible y de fácil acceso.
Deberán realizarse evaluaciones de impacto en los tratamientos que conlleven un alto riesgo para derechos y libertades.
En resumen, el RGPD establece de forma más detallada que las normativas anteriores la forma en que se deben tratar los datos de los residentes de la UE, incluso en países fuera de ésta.

Es recomendable que las empresas tomen conciencia y empiecen a planificar los procesos adecuados, para llegar a tiempo a la entrada en vigor de la nueva normativa, reforzar así su reputación y mejorar su competitividad.

Sanción por publicar vídeos sin consentimiento

En el PS/00136/2017 podemos ver como la Agencia Española de Protección de Datos sanciona a una clínica por publicar un vídeo del tratamiento recibido por la denunciante en Youtube y en su web, sin que esta hubiese dado su consentimiento para ello.

Durante las actuaciones de inspección, la clínica no aportó la documentación requerida por la Agencia, ya que aunque incorporan en sus expedientes los clausulados a los que obliga la LOPD, no encontraron en el de la denunciante la firma de dichos clausulados. La clínica denunciada alegó que en cuanto tuvo conocimiento de la existencia del vídeo, procedió a retirarlo y que no tenían intención de perjudicar a la denunciante.

La AEPD consideró que lo sucedido suponía una infracción del art.6.1 de la LOPD (“el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado”) y una vulneración del deber de secreto consagrado en el art.10.

RESULTADO: multa de 9.000€ por cometer una infracción tipificada como grave en el art.44.3b de la LOPD

IMPORTANTE: para realizar cualquier tratamiento de datos personales se debe contar con el consentimiento inequívoco del afectado.

Novedades RGPD: El consentimiento

En el Reglamento Europeo de Protección de Datos, a diferencia de la normativa actual, se habla de consentimiento inequívoco para el tratamiento de datos.

El consentimiento inequívoco es aquel que se ha prestado mediante una manifestación del interesado o mediante una clara acción afirmativa. Esto supone que no se van a admitir formas de consentimiento tácito o por omisión, ya que se basan en la inacción.

Se contemplan situaciones en las que el consentimiento, además de inequívoco, ha de ser explícito:

Tratamiento de datos sensibles.
Adopción de decisiones automatizadas.
Transferencias internacionales

El consentimiento puede ser inequívoco y otorgarse de forma implícita si se deduce de una acción del interesado (por ejemplo, cuando el interesado continúa navegando por una web y acepta así el que se utilicen cookies para monitorizar su navegación).

Los tratamientos iniciados con anterioridad al inicio de la aplicación del RGPD seguirán siendo legítimos siempre que el consentimiento se hubiera prestado del modo previsto por el reglamento, mediante una manifestación o acción afirmativa.

Recomendaciones

La Agencia Española de Protección de Datos recomienda que no se sigan obteniendo consentimientos por omisión y que se revisen esos tratamientos para que, a partir de mayo 2018, se hayan adecuado a las previsiones del RGPD.

La adaptación puede llevarse a cabo:

Obteniendo un consentimiento de los interesados acorde con las disposiciones del RGPD.
Valorando si los tratamientos afectados pueden apoyarse en otra base legal, por ejemplo, que el interés legítimo del responsable o del cesionario de los datos que prevalezca sobre los derechos del interesado (los interesados deben ser informados y podrán ejercitar los derechos que, como el de oposición, sean específicamente aplicables a la nueva base legal elegida).

Novedades RGPD: Transparencia e información

En el Reglamento Europeo de Protección de Datos se introducen importantes modificaciones en el deber de informar a los interesados, como resultado del principio de transparencia (art.12)

En la nueva normativa se habla de que la información a los interesados, tanto respecto a las condiciones de los tratamientos que les afecten como en las respuestas a los ejercicios de derechos, deberá proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. La normativa actual sólo exige que la información se preste de modo expreso, preciso e inequívoco.

Obligaciones

LOPD                                                                         RGPD
• La existencia del fichero o tratamiento,                         Se añaden requisitos adicionales:
su finalidad y destinatarios                                             • Los datos de contacto del Delegado de Protección de Datos,
• El carácter obligatorio o no de la                                  • Las categorías de los datos
respuesta, así como de sus                                            • La base jurídica para el tratamiento,
consecuencias.                                                            • El plazo de conservación,
• La posibilidad de ejercitar los derechos                          • La existencia de decisiones
de acceso, rectificación, cancelación y                             automatizadas o elaboración de perfiles,
oposición.                                                                   • La previsión de transferencias internacionales
• La identidad y datos de contacto del                            • El origen de los datos
responsable del tratamiento.                                         • El derecho a presentar una reclamación

Cumplimiento normativo de una página web

Vivimos en un mundo dominado por las nuevas tecnologías. Las empresas cada vez más optan por ofrecer sus productos y servicios a través de Internet, ya sea a través de su web, un blog, o mediante el envío de mailings comerciales.

Sin embargo, poner en marcha un negocio de venta online, no sólo consiste en crear la plataforma y exponer los productos, sino que se deben tener en cuenta también una serie de normas legales que deben cumplir:

Ley Orgánica de Protección de Datos 15/1999, en cuanto a la obtención y publicación de datos personales que los usuarios proporcionan a través de la web. Es la política de privacidad.
Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE), que establece los trámites necesarios para contratar online. Es el Aviso Legal.
Normativa de cookies, en desarrollo del artículo 22.2 de la LSSICE que establece las obligaciones del prestador del servicio para poder realizar seguimientos de la navegación de los usuarios por la web. Es la política de cookies.
Ley General para la Defensa de los Consumidores y Usuarios aprobado por RD Legislativo 1/2007, establece la información para clientes y usuarios sobre condiciones de contratación a través de la web. Son las Condiciones de Contratación.

IMPORTANTE:
Antes de iniciarse el procedimiento de compra on-line, deberá ponerse a disposición del usuario una serie de información exigida por la Ley

¿Cómo puedo solicitar la eliminación de mis fotos o vídeos publicados en Internet?

La imagen de una persona es un dato de carácter personal, y su difusión a través de las redes sociales cada día es mayor.

La LOPD reconoce a las personas el derecho a que sus datos personales inadecuados o excesivos se supriman si así lo solicitan. El usuario que desee que se eliminen sus fotos o vídeos de internet deberá:

1º. Dirigirse bien a quien subió la imagen y solicitarle su eliminación, o bien a la empresa o entidad que está difundiendo la imagen, acreditando su identidad e indicando los enlaces con los datos que se quieren cancelar, guardando un justificante de dicha solicitud.

2º. Si el responsable no responde en el plazo de 10 días desde que recibió la solicitud, o si la respuesta no ha sido adecuada, el afectado, o sus padres o tutores, podrán dirigirse ante la Agencia Española de Protección de Datos para interponer la correspondiente reclamación de tutela.

Algunas redes sociales como Facebook, Twitter o Instagram, disponen ya de formularios para ejercitar la retirada de contenidos vulnerables a la privacidad o con contenidos inapropiados.

.IMPORTANTE La publicación de fotos o vídeos de personas físicas a través de redes sociales requiere el consentimiento previo de sus titulares

Acceso por un propietario a documentación de la comunidad

El Informe 0261/2013 de la AEPD resuelve sobre si es conforme a la LOPD, que un propietario de una vivienda en régimen de propiedad horizontal, pueda acceder y tener copia de toda la documentación de la comunidad (salarios, honorarios profesionales, facturas, contratos, etc.) con la finalidad de conocer y comprobar la correcta gestión de las cuentas de la misma.

En la documentación referida hay numerosos datos personales tanto de los propietarios (números de cuentas corrientes, coeficientes de participación, consumos, ingresos o deudas con la comunidad), como de empleados que pudiera tener contratados o de prestadores de servicios.

La comunicación de estos datos a cualquier propietario por los Órganos de Gobierno de la comunidad, implicará una cesión de datos de carácter personal, que sólo podrá realizarse con el consentimiento de sus titulares o cuando exista una norma con rango de Ley que habilite esta cesión. Si bien la Ley de Propiedad Horizontal 49/1960 habilita diversas cesiones de datos, esta queda limitada a los datos que en cada caso resulten “adecuados, pertinentes y no excesivos” para el control del buen gobierno de la comunidad de propietarios”, no pudiendo acceder a dichos documentos en otro caso. Así, el artículo 20 de la LPH, acorde con la LOPD, no permite un acceso generalizado a toda la documentación de la comunidad debiendo examinarse en cada caso concreto si el acceso a los documentos cumple o no con el principio de proporcionalidad.

IMPORTANTE Los datos personales no podrán utilizarse para finalidades diferentes de aquellas para las que los mismos hubieran sido recogidos

Sanción por tratar datos de ideología sin consentimiento

En la resolución R/02762/2015 de la AEPD observamos la sanción que sufren dos asociaciones políticas y sociales para la defensa de la autonomía catalana por tratar datos de ideología sin consentimiento expreso e informado de sus titulares.

En junio y septiembre de 2015 se presentan en la AEPD varios escritos, algunos de ellos anónimos, en los que se denuncia el tratamiento de datos personales por las citadas organizaciones, los cuales fueron recopilados de forma engañosa fingiendo ser una encuesta estadística sobre nuestro país.

Estas entidades deciden organizar la realización de unas encuestas puerta a puerta entre la ciudadanía cuyo fin, según los afectados, no es sino crear una “lista negra” para distinguir a los titulares de los domicilios y sus habitantes entre afectos y no afectos a un posible proceso de independencia de Cataluña y cuyas respuestas y reacciones son anotadas por los encuestadores.

Tras las investigaciones de la AEPD, se verifica la existencia de los formularios en los que se recabaron los datos de los encuestados sin su consentimiento expreso, ni mediante la firma, ni mediante el marcando de una casilla, para aceptar el tratamiento de los datos.

Resultado: Sanción de 200.000 € a cada entidad por infracción del Artículo 7.2 de la LOPD tipificada como muy grave en el artículo 44.4.b), más 40.000 € a la primera por una infracción del artículo 9 de la LOPD.

Más...

Sanción por envío masivo de correos sin copia oculta

Sanción por envío masivo de correos comerciales

Comunicación de datos entre empresas: ¿cesión o encargo?

Cláusula informativa de la protección de datos incluida en las facturas

Página 3 de 5

¡Atención! Este sitio usa cookies y tecnologías similares.

Si no cambia la configuración de su navegador, usted acepta su uso. Saber más

Acepto

POLÍTICA DE COOKIES

¿Qué son las cookies?

Una cookie es un fichero que se descarga en su ordenador al acceder a determinadas páginas web. Las cookies permiten a una página web, entre otras cosas, almacenar y recuperar información sobre hábitos de navegación de un usuario o de su equipo y, dependiendo de la información que contengan y de la forma que utilice su equipo, pueden utilizarse para reconocer al usuario.

¿Qué tipos de cookies existen?

Las cookies se pueden clasificar de estas tres formas:

- De sesión o persistentes

Las cookies de sesión recopilan y almacenan datos del usuario mientras navega por la página web. Se suelen emplear para almacenar información que solo interesa conservar para la prestación del servicio solicitado por el usuario en una sola ocasión.

Las cookies persistentes se diferencian de las anteriores en que permanecen instaladas en el terminal (ordenador, tablet...) durante un tiempo definido, tiempo que depende del responsable de la cookie.

- Propias o de terceros

Las cookies propias están creadas o gestionadas por esta página web y su finalidad es mejorar el uso y rendimiento de la web, detectar necesidades de nuestros usuarios y analizar posibles mejoras a introducir.

Las cookies de terceros están creadas y gestionadas por prestadores de servicios publicitarios y análisis ajenos a nosotros.

- Técnicas, de personalización, de análisis o de publicidad.

Las cookies técnicas permiten al usuario la navegación a través de nuestra página web y la utilización de diferentes opciones o servicios que en ella existan, de forma que nos permita, a través de los resultados de los análisis de navegación, mejorar la oferta de productos y servicios que ofrecemos.

Las cookies de personalización permiten al usuario acceder al servicio con algunas características de carácter general predefinidas en función de una serie de criterios en el terminal del usuario.

Las cookies de análisis nos permiten el seguimiento y análisis del comportamiento de los usuarios en nuestra página web, con el fin de medir la actividad de la misma y elaborar perfiles de navegación, introduciendo mejoras en función de los resultados de dichos análisis.

Las cookies de publicidad nos permiten la gestión eficiente de los espacios incluidos en nuestra página web, adecuando el contenido de la publicidad al uso que el usuario haga en aquélla.

¿Qué cookies utiliza esta web?

Google Maps (GAPS, HSID, SSID, APISID, PREF, NID, SID): utilizadas para visualizar ubicaciones geográficas. Estas cookies son gestionadas enteramente por Google.

Política de privacidada de Google

¿Cómo puedo desactivar o eliminar estas cookies?

Puede usted permitir, bloquear o eliminar las cookies instaladas en su equipo mediante la configuración de las opciones del navegador instalado en su ordenador.

• Firefox

• Chrome

• Explorer

• Safari

• Opera

• Otros navegadores: consulte la documentación del navegador que tenga instalado.