PROTECCION DE DATOS ALICANTE

 

 

Adaptamos su negocio al Reglamento General Europeo (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPD) Con dicha normativa se establecen una serie de obligaciones que deben de cumplir los responsables de tratamiento y establecer medidas de responsabilidad proactiva.

 

 

Estas medidas de responsabilidad proactiva son:

-Establecer las bases jurídicas de los tratamientos

-Realizar un análisis de riesgos

-Realizar clausulas informativas que establece el artículo 13 y 14 del RGPD

Realizar el registro de actividades de tratamiento

 

-Establecer medidas de seguridad

-Establecer mecanismos visibles, y sencillos, para el ejercicio de derechos

- Adoptar procedimientos de gestión y notificación de brechas de seguridad

-Evaluación de impacto sobre la protección de datos si procede

-Nombrar un delegado de protección de datos en caso de que sea sujeto obligado

El principio de Transparencia

Los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado. Este principio se basa en aplicar la transparencia entre el responsable de los datos y el interesado, así como entre el responsable de los datos y las autoridades de control.

 El principio de limitación de la finalidad

Los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.

 

La minimización de datos

Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. 

Nuevos derechos de los ciudadanos

La Ley Orgánica de Protección de Datos establecía 4 derechos para los interesados: Acceso, Rectificación, Cancelación y Oposición. Pues bien, con el nuevo Reglamento Europeo de Protección de Datos, esta lista se amplía y se contemplan también los siguientes derechos:

Derecho a la transparencia de la información, Derecho de supresión (derecho al olvido), Derecho de limitación, Derecho de portabilidad 

Derecho al olvido

El nuevo RGPD establece que cualquier persona tendrá derecho a que su información personal sea eliminada de los proveedores de servicios de Internet cuando lo desee, siempre y cuando quien posea esos datos no tenga razones legítimas para retenerlos. También obliga a los responsables de los datos que han difundido la información a terceros a comunicarles la obligación de suprimir cualquier enlace a los datos publicados, así como a eliminar cualquier copia o réplica de dichos datos. 

Derecho a la portabilidad

En el nuevo RGPD se prevé la posibilidad de transmitir los datos de un responsable a otro, de forma que el interesado tendrá derecho a que los datos personales se transmitan directamente cuando sea técnicamente posible. 

Ampliación del deber de información

El nuevo Reglamento exige la obligación de informar sobre nuevos aspectos:

-se debe explicar e informar la base legal para el tratamiento de los datos

-se debe informar acerca del periodo de conservación de los datos

-se debe informar acerca de la posibilidad de hacer reclamaciones 

Obtención del consentimiento para el tratamiento de datos

El RGPD mantiene los mismos principios del consentimiento que establece la LOPD, exigiendo un consentimiento libre, informado, específico e inequívoco. Pero como novedad se indica que para poder considerar que el consentimiento es inequívoco, deberá existir una declaración del interesado o una acción positiva que manifieste su conformidad. 

El registro de actividades de tratamiento

Este registro se llevará a cabo de forma interna y contendrá, entre otros, los siguientes datos:

nombre y datos de contacto del responsable del tratamiento, nombre y datos del Delegado de Protección de Datos, finalidad del tratamiento, descripción de categorías del interesado, descripción de categorías de datos tratados, las transferencias internacionales de datos. 

Establecer acciones y medidas de seguridad

El nuevo Reglamento europeo de protección de datos habla de “medidas técnicas y organizativas apropiadas” para garantizar un nivel de seguridad adecuado al riesgo. El RGPD bajo el principio de responsabilidad proactiva exige al responsable del tratamiento que aplique las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento. 

Evaluación de impacto del tratamiento de datos personales

Se establece la realización de una evaluación de impacto (Privacy Impact Assessment) para las organizaciones que realicen tratamientos de datos que puedan implicar un alto riesgo para los derechos y libertades de las personas físicas. Se debe evaluar el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.   

Realización de un análisis de riesgos

Es un proceso que se realiza para estimar la magnitud de los riesgos a que está expuesta una organización. Proceso que permite comprender la naturaleza del riesgo y determinar el nivel de riesgo. Identificación de las amenazas que acechan a los distintos componentes pertenecientes o relacionados con el sistema de información para determinar la vulnerabilidad del sistema ante esas amenazas y para estimar el impacto o grado de perjuicio que una seguridad insuficiente puede tener para la organización, obteniendo cierto conocimiento del riesgo que se corre. 

Comunicación de brechas de seguridad a la Agencia Española de protección de datos

Otra de las novedades más importantes se trata de notificar las violaciones de seguridad de los datos. Es decir, el responsable del tratamiento de los datos deberá notificar a la autoridad competente (AEPD en España) cualquier brecha de seguridad que se haya producido en el plazo de 72 horas desde que ocurra. Además, si la brecha implica un riesgo para los interesados, también se les deberá informar a los mismos. 

La Figura del Delegado de Protección de Datos

Se deberá designar a la figura del Delegado de Protección de Datos (Data Protection Officer). Esta figura no es obligatoria para todas las organizaciones: solo tendrán que contar con un delegado las empresas públicas, las que tengan un tratamiento a gran escala o las que recojan datos especialmente sensibles o relativos a condenas o infracciones penales. Esta persona es el asesor de protección de datos de la empresa, y asume competencias en materia de coordinación y control del cumplimiento de la normativa en materia de protección de datos. 

Sanciones más altas

Las sanciones que establece el nuevo RGPD: no se establecen cuantías mínimas y las máximas pueden alcanzar los 20 millones de euros o hasta el 4% del volumen de negocio del infractor.

La nueva normativa europea aplicable en lo que respecta al tratamiento relativo a la protección de datos y a la libre circulación de estos, llamado REGLAMENTO (UE) 2016/679  DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos  datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Dicho reglamento es aplicable a partir de dos años después de la fecha de la entrada en vigor del Reglamento es decir el 25 de mayo del 2018 en toda la unión europea.

la transposición a la normativa española viene regulada por la ley orgánica 3/2018 de protección de datos personales y garantía de los derechos digitales (LOPD).

La llamada Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico LSSI y la LOPD Ley Orgánica de Protección de Datos se derivan de normativas europeas que legislan los requisitos legales que tiene que reunir una página web. Dicha ley regula determinados aspectos jurídicos de los Servicios de la Sociedad de la Información. Si tenemos página web deberemos:   

Generar la Política de Privacidad: en la cual incluiremos, quién es el Responsable de los Datos, con que finalidad se recogen, cual es la legitimación para el uso de los datos, si van a ser cedidos, los plazos de conservación, como se puede ejercitar los derechos de acceso, rectificación, supresión, limitación, portabilidad, retirada del consentimiento y oposición de sus datos personales, así de cómo puede solicitar la tutela de derechos que no hayan sido debidamente atendidos a la Agencia Española de Protección de datos.

 Generar un Aviso legal: el artículo 10 de la LSSI establece las menciones obligatorias sobre el nombre o denominación social y datos de contacto, los datos de inscripción en el Registro Mercantil u otros registros públicos, NIF, información sobre el precio de los productos, sobre las autorizaciones administrativas necesarias en su caso, datos del Colegio profesional y códigos de conducta a los que esté adherido. 

Generar la política de Cookies: La utilización de cookies puede conllevar el tratamiento de dato personales por ello se debe informar a los destinatarios sobre el uso que se realiza en la página web de cookies, si son propias o de terceros e indicando su definición, función y finalidad en base al cumplimiento del artículo 22 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, en relación con el Reglamento (UE) 2016/679  General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales (LOPDGDD) 

Si además de ello disponemos de comercio electrónico se deberán de aplicar otras normativas.

En este ENLACE podrás ver que normativas se deberán de cumplir. 

Protección de datos en Alicante