¿Necesitas adaptarte a la ley de protección de datos?
Calidad, garantía y fiabilidad
Primer año de mantenimiento gratuito
Adaptación a la ley de protección de datos
Especialistas en protección de datos
Delegado de protección de datos
Certificados según esquema de la Agencia española de protección de datos DPD-AEPD
Legalizamos tu tienda, comercio electrónico, ecommerce o página web
Formación en protección de datos
Disponemos de cursos de formación en protección de datos
Dedicación exclusiva
a la prestación de los servicios en protección de datos
Especialista universitario
en protección de datos personales y privacidad
Especialista en protección de datos por la APEP
Servicio personalizado
garantizando el cumplimiento normativo
En España la legislación de protección de datos indica que todas las empresas, organizaciones, autónomos, asociaciones, fundaciones, comunidades o todos aquellos que realicen un tratamiento de datos personales independientemente de su tamaño, deben cumplir con unos requisitos y obligaciones con respecto al tratamiento de estos datos con la finalidad de mantener la confidencialidad, la integridad y la disponibilidad de dichos datos.
El REGLAMENTO (UE) 2016/679 del parlamento europeo y del consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD)
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)
En base al sector donde usted ejerza su actividad si que puede existir legislación sectorial.
Las sanciones en protección de datos en la LOPD se dividen en:
Sanción por infracciones leves: Hasta 40.000 euros.
Sanción por infracciones graves: de 40.001 euros a 300.000 euros.
Sanción por infracciones muy graves: de 300.001 euros a 20 millones de euros o el 4% volumen de facturación anual (la cuantía que resulte superior).
La agencia española de protección de datos podrá imponer multas por infringir el RGPD y LOPD garantizando que serán efectivas, proporcionadas y disuasorias.
En este enlace dispones de información ampliada sobre las sanciones en materia de protección de datos.
El reglamento europeo de protección de datos (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) en su artículo 37.1, indica los supuestos en que es obligatorio la designación de un delegado de protección de datos y son los siguientes:
• El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
• Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
• Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.
En este enlace le indicamos exactamente que empresas están obligadas a cumplir con el nombramiento del delegado de protección de datos.
En Datusmas le ofrecemos los Servicios de adaptación al RGPD y LOPD:
Identificación de los datos que se tratan
Realizar un análisis de riesgos
Elaborar el registro de actividades que obliga la normativa de protección de datos
Informar a los usuarios del tratamiento de sus datos
Establecer las medidas de seguridad de los datos
Contratos con encargados de tratamiento
Cláusulas de confidencialidad y derechos digitales con empleados
Designación del nombramiento del delegado de protección de datos si procede
Protocolos de atención de los derechos de los usuarios
Protocolo de asistencia a las brechas de seguridad
Redacción del aviso legal, políticas de privacidad y políticas de cookies
En este enlace puedes ver todos estos servicios
El reglamento de protección de datos indica que para que el consentimiento se refiere a la autorización que una persona otorga para que sus datos personales sean recopilados, procesados y utilizados. Este consentimiento debe de ser:
Libre: La persona debe tener la libertad de elegir si proporciona o no sus datos
Especifico: Debe ser claro cual es la finalidad del tratamiento de sus datos. No puede ser un consentimiento generalizado que permita cualquier uso de los datos.
Informado: Se debe de informar a la persona sobre quien está recopilando los datos, con que propósito, como va a ser utilizados, si son compartidos por terceros, cuales son sus derechos si da el consentimiento del tratamiento de sus datos, la existencia del derecho a retirar el consentimiento, si los datos van a ser usados para la toma de decisiones automatizadas. Toda está información deber ser presentada de manera clara y comprensible
Inequívoco: El consentimiento requiere una declaración del interesado o un acto afirmativo claro. El consentimiento puede obtenerse mediante una declaración oral escrita o (grabada), incluso por medios electrónicos.
Retirada del consentimiento: La persona que ha dado el consentimiento tiene el derecho de retirarlo en cualquier momento. Retirarlo debe ser tan fácil como otorgarlo.
El reglamento europeo de protección de datos (RGPD) diferencia entre:
Medidas técnicas: soluciones informáticas para la gestión de usuarios, cifrado/eliminación automática, control de acceso automático, registro de usos de datos personales, puertas y cerraduras físicas, etc.
Medidas organizativas: políticas de seguridad, procedimientos para el control de los derechos de acceso, o para retirarlos, distribución de tareas según competencias, formación en el uso correcto de las TI, valoración y evaluación de la eficacia de las medidas técnicas y organizativas.
Lo más importante es que se adopten suficientes medidas para garantizar un nivel de seguridad adecuado al tratamiento.
Se entiende por brecha de datos personales o violación de la seguridad de los datos personales todo aquel incidente de seguridad que provoque la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos.
En caso de que exista una brecha de seguridad que comprometa la confidencialidad, integridad y disponibilidad de los datos que se tratan se debe identificar los más rápido posible y detener. Inmediatamente se deben de tomar medidas para contener la brecha de seguridad, cerrar vulnerabilidades y aislar partes del sistema comprometido.
El artículo 33 del RGPD establece la obligación por parte del responsable del tratamiento de notificar a la autoridad de control competente (Agencia española de protección de datos) cualquier brecha de datos personales, sin dilaciones indebidas y en todo caso en un plazo máximo de 72 horas, a menos que sea improbable que la brecha constituya un riesgo para los derechos y libertades de las personas físicas.
La agencia española de protección de datos define la “evaluación de Impacto en la Protección de Datos Personales” como una herramienta que permite evaluar de manera anticipada cuáles son los potenciales riesgos a los que están expuestos los datos personales en función de las actividades de tratamiento que se llevan a cabo con los mismos. El análisis de riesgos para un determinado tratamiento permite identificar los riesgos que se ciernen sobre los datos de los interesados y establecer una respuesta adoptando las salvaguardas necesarias para reducirlos hasta un nivel de riesgo aceptable.
¿En qué casos es necesario realizar una evaluación de impacto?
El Artículo 35 del RGPD indica que se debe realizar una evaluación de impacto
1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.
2. El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos.
3. La evaluación de impacto relativa a la protección de los datos a que se refiere el apartado 1 se requerirá en particular en caso de:
a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
b) tratamiento a gran escala de las categorías especiales de datos: datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.
o de los datos personales relativos a condenas e infracciones penales.
c) observación sistemática a gran escala de una zona de acceso público.
En caso de la prestación de servicios como teletrabajadores se debe cumplir con lo establecido en la ley 10/2021, de 9 de julio, de trabajo a distancia además del reglamento europeo de protección de datos 2016/679 y establecer las medidas de seguridad de la información que el empleador haya implementado para aseguras la confidencialidad, secreto e integridad de los datos de carácter personal a los que tenga acceso. Entre estas medidas se puede encontrar el establecer una VPN si el teletrabajador accede en remoto a los servidores de la empresa.
Para asegurarse que un sitio web cumple con la normativa de protección de datos en primer lugar se deben utilizar sistemas seguros para transmitir y almacenar datos como el protocolo de seguridad para páginas web HTTPS. Por otro lado, se deben de determinar que tipo de datos se recopilan en la web y obtener el consentimiento del interesado. Se deberá establecer la “política de privacidad” y la “política de cookies” Además debemos informar en el “aviso legal” quien es el propietario de la web según indica la ley en cumplimiento de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
Cuando se contratan servicios en la nube (cloud computing) normalmente los datos que tratemos a través de estos servicios se almacenan en la nube y debemos tener una buena diligencia en la elección de estos servicios y asegurarnos que cumple con la normativa de protección de datos.
Tenemos que asegurarnos donde se alojan los datos si se encuentran en países de la comunidad europea o son servicios por ejemplo que están alojados por ejemplo en la UU.EE y se pueden considerar transferencias internacionales de datos. Se debe firma el contrato de encargo de tratamiento con el proveedor de servicios donde se indica que los datos se utilizarán únicamente para la finalidad que se contrata, que no se comunicaran a terceros sin consentimiento, que se cumple con las medidas de seguridad exigidas en la normativa, que se garantiza la confidencialidad de la información de las personas que puedan acceder a los sistemas, debe asegurarse que se garantice el borrado seguro de los datos cuando se solicite o finalice la prestación de los servicios.
Sector sanitario
Comunidades propietarios
Empresas y autónomos
Hoteles
Inmobiliarias
Centros educativos