PROTECCIÓN DE DATOS -  RGPD/LOPD

¿Necesitas adaptarte a la ley de protección de datos?

 

 Calidad, garantía y fiabilidad 

 

Primer año de mantenimiento gratuito

Adaptación a la ley de protección de datos

Especialistas en  protección de datos

Delegado de protección de datos

Certificados según esquema de la Agencia española de protección de datos DPD-AEPD

Legalización páginas web

Legalizamos tu tienda, comercio electrónico, ecommerce o página web

Formación en protección de datos

Disponemos de cursos de formación en protección de datos


Qué nos diferencia en materia de protección de datos

Dedicación exclusiva

a la prestación de los servicios en protección de datos

 

Especialista universitario 

en protección de datos personales y  privacidad 

Especialista en protección de datos por la APEP 

Servicio personalizado 

garantizando el cumplimiento normativo


¿Qué es la protección de datos y porque es importante para tu empresa?

En España la legislación de protección de datos indica que todas las empresas, organizaciones, autónomos, asociaciones, fundaciones, comunidades o todos aquellos que realicen un tratamiento de datos personales independientemente de su tamaño, deben cumplir con unos requisitos y obligaciones con respecto al tratamiento de estos datos con la finalidad de mantener la confidencialidad, la integridad y la disponibilidad de dichos datos.

¿Cuáles son las principales leyes de protección de datos que debe conocer?

El REGLAMENTO (UE) 2016/679 del parlamento europeo y del consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD)

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)

En base al sector donde usted ejerza su actividad si que puede existir legislación sectorial. 

¿A qué sanciones se puede enfrentar mi empresa por incumplir la normativa de protección de datos?

Las sanciones en protección de datos en la LOPD se dividen en:

Sanción por infracciones leves: Hasta 40.000 euros.

Sanción por infracciones graves: de 40.001 euros a 300.000 euros.

Sanción por infracciones muy graves: de 300.001 euros a 20 millones de euros o el 4% volumen de facturación anual (la cuantía que resulte superior).

La agencia española de protección de datos podrá imponer multas por infringir el RGPD y LOPD garantizando que serán efectivas, proporcionadas y disuasorias.

En este enlace dispones de información ampliada sobre las sanciones en materia de protección de datos.

¿Cómo puedo saber si mi empresa necesita un delegado de protección de datos (DPO)?

El reglamento europeo de protección de datos (UE) 2016/679  relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) en su artículo 37.1, indica los supuestos en que es obligatorio la designación de un delegado de protección de datos y  son los siguientes:

• El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.

• Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.

• Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

En este enlace le indicamos exactamente que empresas están obligadas a cumplir con el nombramiento del delegado de protección de datos.

¿Qué servicios de protección de datos ofrecemos?

En Datusmas le ofrecemos los Servicios de adaptación al RGPD y LOPD:

Identificación de los datos que se tratan

Realizar un análisis de riesgos

Elaborar el registro de actividades que obliga la normativa de protección de datos

Informar a los usuarios del tratamiento de sus datos

Establecer las medidas de seguridad de los datos

Contratos con encargados de tratamiento

Cláusulas de confidencialidad y derechos digitales con empleados

Designación del nombramiento del delegado de protección de datos si procede

Protocolos de atención de los derechos de los usuarios

Protocolo de asistencia a las brechas de seguridad

Redacción del aviso legal, políticas de privacidad y políticas de cookies

En este enlace puedes ver todos estos servicios

¿Cómo puedo obtener el consentimiento válido de mis clientes para el tratamiento de datos?

El reglamento de protección de datos indica que para que el consentimiento se refiere a la autorización que una persona otorga para que sus datos personales sean recopilados, procesados y utilizados. Este consentimiento debe de ser:

Libre: La persona debe tener la libertad de elegir si proporciona o no sus datos

Especifico: Debe ser claro cual es la finalidad del tratamiento de sus datos. No puede ser un consentimiento generalizado que permita cualquier uso de los datos.

Informado: Se debe de informar a la persona sobre quien está recopilando los datos, con que propósito, como va a ser utilizados, si son compartidos por terceros, cuales son sus derechos si da el consentimiento del tratamiento de sus datos, la existencia del derecho a retirar el consentimiento, si los datos van a ser usados para la toma de decisiones automatizadas. Toda está información deber ser presentada de manera clara y comprensible

Inequívoco: El consentimiento requiere una declaración del interesado o un acto afirmativo claro.  El consentimiento puede obtenerse mediante una declaración oral escrita o (grabada), incluso por medios electrónicos.

Retirada del consentimiento: La persona que ha dado el consentimiento tiene el derecho de retirarlo en cualquier momento. Retirarlo debe ser tan fácil como otorgarlo. 

¿Qué medidas de seguridad debo implementar para proteger los datos personales?

El reglamento europeo de protección de datos (RGPD) diferencia entre:

Medidas técnicas: soluciones informáticas para la gestión de usuarios, cifrado/eliminación automática, control de acceso automático, registro de usos de datos personales, puertas y cerraduras físicas, etc.

Medidas organizativas: políticas de seguridad, procedimientos para el control de los derechos de acceso, o para retirarlos, distribución de tareas según competencias, formación en el uso correcto de las TI, valoración y evaluación de la eficacia de las medidas técnicas y organizativas.

Lo más importante es que se adopten suficientes medidas para garantizar un nivel de seguridad adecuado al tratamiento.

¿Qué debo hacer en caso de brecha de seguridad de datos?

Se entiende por brecha de datos personales o violación de la seguridad de los datos personales todo aquel incidente de seguridad que provoque la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos.

En caso de que exista una brecha de seguridad que comprometa la confidencialidad, integridad y disponibilidad de los datos que se tratan se debe identificar los más rápido posible y detener. Inmediatamente se deben de tomar medidas para contener la brecha de seguridad, cerrar vulnerabilidades y aislar partes del sistema comprometido.

El artículo 33 del RGPD establece la obligación por parte del responsable del tratamiento de notificar a la autoridad de control competente (Agencia española de protección de datos) cualquier brecha de datos personales, sin dilaciones indebidas y en todo caso en un plazo máximo de 72 horas, a menos que sea improbable que la brecha constituya un riesgo para los derechos y libertades de las personas físicas.

¿Qué es una evaluación de impacto en la protección de datos (DPIA) y cuando es necesaria?

La agencia española de protección de datos define la “evaluación de Impacto en la Protección de Datos Personales” como una herramienta que permite evaluar de manera anticipada cuáles son los potenciales riesgos a los que están expuestos los datos personales en función de las actividades de tratamiento que se llevan a cabo con los mismos. El análisis de riesgos para un determinado tratamiento permite identificar los riesgos que se ciernen sobre los datos de los interesados y establecer una respuesta adoptando las salvaguardas necesarias para reducirlos hasta un nivel de riesgo aceptable.

¿En qué casos es necesario realizar una evaluación de impacto?

El Artículo 35 del RGPD indica que se debe realizar una evaluación de impacto

1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento  realizará, antes del tratamiento, una evaluación  del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.

2. El responsable  del tratamiento  recabará el asesoramiento  del delegado de protección de datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos.

3. La evaluación de impacto relativa a la protección de los datos a que se refiere el apartado 1 se requerirá en particular en caso de:

a) evaluación  sistemática  y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;

b) tratamiento a gran escala de las categorías especiales de datos: datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.

 o de los datos personales relativos a condenas e infracciones penales.

c)  observación sistemática  a gran escala de una zona de acceso público.

¿Cómo afecta el teletrabajo a la protección de datos en mi empresa?

En caso de la prestación de servicios como teletrabajadores se debe cumplir con lo establecido en la ley  10/2021, de 9 de julio, de trabajo a distancia además del reglamento europeo de protección de datos 2016/679 y establecer las medidas de seguridad de la información que el empleador haya implementado para aseguras la confidencialidad, secreto e integridad de los datos de carácter personal a los que tenga acceso. Entre estas medidas se puede encontrar el establecer una VPN si el teletrabajador accede en remoto a los servidores de la empresa.

¿Cómo puedo asegurarme de que mi sitio web cumple con las normativas de protección de datos?

Para asegurarse que un sitio web cumple con la normativa de protección de datos en primer lugar se deben utilizar sistemas seguros para transmitir y almacenar datos como el protocolo de seguridad para páginas web HTTPS. Por otro lado, se deben de determinar que tipo de datos se recopilan en la web y obtener el consentimiento del interesado. Se deberá establecer la “política de privacidad” y la “política de cookies” Además debemos informar en el “aviso legal” quien es el propietario de la web según indica la ley en cumplimiento de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico. 

¿Qué debo tener en cuenta al contratar servicios en la nube (cloud computing) en relación con la protección de datos?

Cuando se contratan servicios en la nube (cloud computing) normalmente los datos que tratemos a través de estos servicios se almacenan en la nube y debemos tener una buena diligencia en la elección de estos servicios y asegurarnos que cumple con la normativa de protección de datos.

Tenemos que asegurarnos donde se alojan los datos si se encuentran en países de la comunidad europea o son servicios por ejemplo que están alojados por ejemplo en la UU.EE y se pueden considerar transferencias internacionales de datos. Se debe firma el contrato de encargo de tratamiento con el proveedor de servicios donde se indica que los datos se utilizarán únicamente para la finalidad que se contrata, que no se comunicaran a terceros sin consentimiento, que se cumple con las medidas de seguridad exigidas en la normativa, que se garantiza la confidencialidad de la información de las personas que puedan acceder a los sistemas, debe asegurarse que se garantice el borrado seguro de los datos cuando se solicite o finalice la prestación de los servicios.

Sectores en los que prestamos servicios en protección de datos

videovigilancia

Videovigilancia

Saber más

 

sector sanitario

Sector sanitario

Saber más

comuniades de propietarios

Comunidades  propietarios

Saber más

empresas y autónomos

Empresas y autónomos

Saber más 


hoteles

Hoteles 

Saber más 

inmobiliarias

Inmobiliarias

Saber más 

centros educativos

Centros educativos

Saber s

fundaciones y asociaciaones

Fundaciones y asociaciones

Saber s

 


Guarderías

Saber más 

Academias de enseñanza 

Saber más 

Autoescuelas

Saber más 

Veterinarios

Saber más