fbpx
Publicado en el BOE el régimen sancionador e inspección para protección de datos

Publicado en el BOE el régimen sancionador e inspección para protección de datos

El 30 de julio se ha publicado en el BOE el régimen sancionador y cómo será la inspección para protección de datos. El Real Decreto Ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, en el BOE, contiene las especificaciones para las infracciones y sanciones de adaptar esta normativa europea que entró en vigor el pasado 25 de mayo.

A continuación os contamos que novedades aporta este Real Decreto Ley que ya es de aplicación desde el día 31 de julio:

Se regula la Inspección en materia de protección de datos

El Capítulo I de la norma está dedicado a definir el ámbito y personal competente para realizar la actividad de investigación e inspección en relación a la nueva normativa europea.

Se estipula que esta labor la realice la Agencia Española de Protección de Datos. Los funcionarios que realicen las actividades de investigación tendrán la consideración de agentes de la autoridad.

Podrán requerir todos los datos y documentación necesarios, incluso examinarlos en el lugar donde se procesen, así como inspeccionar tanto los equipos físicos, como lógicos. Siembre, obviamente, conforme a las normas procesales y solicitando autorización judicial previa cuando sea necesario.

Quiénes podrán ser sancionados 

Podrán ser considerados como sujetos responsables frente a una infracción contra el Reglamento Europeo 2016/279 y Ley de LOPD:

  • Los responsables de los tratamientos.
  • Los encargados de los tratamientos.
  • Los representantes de los anteriores no establecidos en la Unión Europea.
  • Las entidades de certificación.
  • Las entidades acreditadas que supervisen los códigos de conducta de LOPD.

Una novedad importante es que excluye al Delegado de Protección de Datos del régimen sancionador. Sin embargo las empresas y sus responsables del tratamiento sí podrían verse afectados en caso de cometerse una infracción de este tipo.

Nuevo Régimen Sancionador en materia de protección de datos

Las infracciones son las establecidas en el nuevo Reglamento Europeo 2016/279, en el artículo 83. Lo que precisa el nuevo RDL es su prescripción:

  1. Las infracciones relativas a los derechos de los interesados, consentimiento, o transferencias de datos (que podrían ser sancionadas con multas administrativas de hasta 20.000.000 euros o un 4% sobre la facturación anual) prescribirán a los 3 años.
  2. Las infracciones como el incumplimiento de las obligaciones del responsable y encargado, o de los organismos de certificación (que recibirían una sanción de 10.000.000 o el 2% sobre su facturación anual), prescribirían a los 2 años.

La iniciación del procedimiento sancionador interrumpirá la prescripción. Y si el expediente estuviese paralizado por motivos ajenos al infractor, volvería a iniciarse el plazo de prescripción.

Así mismo, se especifican el plazo para prescripción de las sanciones por la aplicación del RGPD:

  • Las sanciones iguales o inferiores a 40.000 euros prescriben en 1 año.
  • Las sanciones entre 40.001 y 300.000 euros prescriben a los 2 años.
  • Las sanciones de más de 300.000 euros lo harán a los 3 años.

Cómo será el procedimiento en caso de una infracción

El procedimiento se iniciará con una reclamación. Antes de iniciar el trámite, se pondrán en contacto con el Delegado de Protección de datos o con el responsable, y éste deberá dar respuesta a la reclamación en el plazo de un mes.

Si dicha reclamación se ha planteado ante la AEPD, el organismo decidirá si se admite a trámite. Si se admite, podrá haber una fase de investigación. El procedimiento tendrá una duración máxima de 9 meses desde que se decide iniciar el procedimiento.

En el caso de que transcurra dicho plazo, se producirá su caducidad y por tanto, se archivarán las actuaciones.

Tras ser notificada la reclamación a trámite, habrá un plazo de 6 meses desde esa fecha para resolver el procedimiento.

También indican que las reclamaciones podrán ser inadmitidas para aquellos casos en que el responsable del tratamiento hubiese adoptado las medidas correctivas que le hubiesen indicado desde la Agencia Española de Protección de Datos, siempre que no se haya causado un perjuicio al afectado.

En el caso de que la AEPD considere que los hechos son graves podrá ordenar el bloqueo de los datos e incluso su inmovilización.

 

¿Te gustaría saber cómo afecta el nuevo Reglamento de protección de datos a tu empresa?

Inscríbete a nuestro curso online «Ley de Protección de Datos 2018. Reglamento y nueva ley» y aprende todo lo necesario para conocer esta nueva normativa y qué debes revisar en tu empresa.

¡Apúntate ya!

6 hábitos que debes cambiar tras la nueva Ley de Protección de datos

6 hábitos que debes cambiar tras la nueva Ley de Protección de datos

El pasado 25 de mayo entró en vigor el nuevo Reglamento Europeo en materia de Protección de Datos, conocido como RGPD. Seguro que te estás planteando cómo debe adaptarse tu empresa a este cambio, nuestro artículo «Cómo debe adaptarse una despacho al RGPD» quizá puede ser de ayuda. Pero, ¿qué debe hacer tu plantilla? Todos tenemos costumbres que es necesario modificar. Hoy te contamos qué 6 hábitos deben cambiar tras la entrada en vigor de la nueva Ley de Protección de Datos.

 

1. Protege tu equipo informático

Seguro que confías plenamente en tu entorno de trabajo y muchas veces cuando te levantas a realizar alguna gestión dejas abierta tu sesión en el ordenador, porque reconozcámoslo, nos da mucha pereza introducir la contraseña de nuevo e iniciar sesión.

Ahora con el RGPD lo correcto sería dejar bloqueado tu equipo cuando te ausentes de tu puesto de trabajo. Y por supuesto, no compartir tus contraseñas, ni apuntarlas en lugares visibles. Estos gestos ayudarán a proteger el contenido de tu ordenador.

Este consejo se hace extensible al uso de memorias externas y USB con datos de tus clientes o claves. Deben ser custodiados debidamente.

Otro hábito saludable es no guardar contraseñas importantes en el «llavero» de Google Chrome o Mozzilla. ¿Sabías lo fácil que resulta para cualquier informático averiguar tus contraseñas desde este llavero?

 

2. Vigila estos detalles cuando envíes email 

Uno de los primeros pasos a implementar tras la entrada en vigor del RGPD es cambiar la firma de tu email, te recomendamos incluir las referencias normativas al Reglamento, así como informar al usuario al que se envía sobre sus derechos y obligaciones de confidencialidad. Y por supuesto, recuerda especificar qué fin se dará a sus datos y a quién deben dirigirse en caso de no querer que se le envíen emails.

Muy importante, y suele ser el error más habitual, cuando envíes un email a varias personas, utiliza siempre la opción CCO. Es decir, con copia oculta. Esto te evitará muchos problemas, ya que si no lo utilizas, estarás enviando el contacto de email de personas a un tercero sin su autorización.

Y por último, y no menos importante, todo el personal debe ser informado sobre el uso de internet y correo corporativo, que debe ser sólo con fines profesionales.

 

3. Mantén tu espacio ordenado y sin documentación confidencial

Aquí más de uno/a se estará llevando las manos a la cabeza, porque cuidar este tema en pleno mes de impuestos puede ser una locura, ¿verdad?

El RGPD afecta a todo tipo de datos, también el material impreso. Si por algún motivo alguno de estos datos llegan a personas inadecuadas, puede suponer un riesgo para tu empresa.

Si dispones de archivo físico, lo recomendable es que establezcáis un protocolo para su uso y que todos los documentos que allí se guardan estén protegidos de alguna manera. Por ejemplo, una cámara de seguridad o un cierre con llave.

En el caso de usar una impresora o escáner, no olvides retirar los originales y todas las copias que hayas hecho.

 

4. Atender adecuadamente a los clientes que quieren ejercer sus derechos 

Con la entrada en vigor del Reglamento habrás recibido infinidad de email para informarte sobre los cambios de las políticas de privacidad, sobre el uso de tus datos, y bla, bla, bla, bla… porque tras el aluvión de correos, ya llegó un momento que ni los leíamos, ¿verdad?

Bien, pues debes saber que en la mayoría de ellos te informaban sobre tus derechos como usuario, con la entrada en vigor de la nueva norma tienes derecho a ser informado sobre los datos que constan sobre ti, a su rectificación, y por supuesto a solicitar la baja si no deseas recibir más emails comerciales.

Esto te puede ocurrir también con tus clientes, que te soliciten ejercer sus derechos. Es fundamental que todos los casos en los que te soliciten una baja se atiendan adecuadamente, y se les dé una respuesta ágil confirmando la baja en tu base de datos. Y más importante aún, si han solicitado la baja, debes organizar todas estas solicitudes para evitar enviarle emails de nuevo por error.

 

5. Disponer de un consentimiento informado para recoger los datos

A la hora de recoger los datos de clientes, bien sea vía online, como de forma impresa, tus formularios deben contener un consentimiento informado donde les facilites todos los detalles sobre el uso de esos datos. Esto afectará a todo tipo de clientes, tanto empresas, como sus trabajadores.

En caso de incidencia, tu empresa estará obligada a demostrar que cuenta con ese consentimiento informado para usar los datos de los clientes.

 

6. Conserva los datos según los plazos legales

Algo que cobra mucha importancia con la entrada en vigor del RGPD son los plazos de conservación de los documentos. Según indica la nueva normativa no se deben conservar estos datos más allá del necesario para cumplir con el servicio o del tiempo legalmente establecido.

Normalmente en un despacho profesional este tiempo puede oscilar entre 4 y 10 años, por motivos relacionados con la Ley de prevención de blanqueo de capitales y para atender a posibles requerimientos de las autoridades.

A continuación te ofrecemos un resumen de lo más destacado y sus referencias normativas:

  1. Datos contables y mercantiles: 6 años. (Artículo 30 CC).
  2. Datos fiscales (liquidaciones, deuda, devoluciones, etc..): 4 años. (Artículo 66 de la Ley 58/2003).
  3. Seguridad Social: 4 años. (Artículo 4.2 del Real Decreto Legislativo 5/2000).
  4. Prevención de Riesgos Laborales: 5 años. (Artículo 4.3 del Real Decreto Legislativo 5/2000).
  5. Currículum vitae: se recomienda como máximo un año. Lo recomendable es su destrucción una vez que se haya finalizado el proceso de selección para el que fueron recogidos.

Muy importante: debes informar a tus clientes sobre el margen temporal al que estás obligado a conservar la documentación que incluye sus datos.

Y una vez que ya no sean necesarios, deberán ser destruidos. En el caso del material impreso, te aconsejamos utilizar una destructora de papel o contratar los servicios de una empresa que te facilite una certificación de dicha destrucción si es mucho volumen.

¿Te gustaría saber cómo afecta el nuevo Reglamento de protección de datos a tu empresa?

Inscríbete a nuestro curso online «Ley de Protección de Datos 2018. Reglamento y nueva ley» y aprende todo lo necesario para conocer esta nueva normativa y qué debes revisar en tu empresa.

¡Apúntate ya!

 

 

 

A continuación compartimos con vosotros esta infografía que hemos elaborado para que os sea más fácil cumplir con estos consejos y la podáis imprimir para tener a mano:

Infografia_LOPD_Grupo2000

Si te preocupa el tema del cumplimiento del nuevo Reglamento de Protección de Datos, también puedes leer los siguientes artículos de nuestro blog:

¿Cómo debe adaptarse mi despacho profesional al RGPD?

¿Cómo afecta la nueva normativa de Protección de datos a las pymes?

Qué empresas estarán obligadas a tener delegado de protección de datos

 

 

 

 

Se aprueba el Proyecto de Ley de Secretos Empresariales

Se aprueba el Proyecto de Ley de Secretos Empresariales

En pleno revuelo por la entrada en vigor de la nueva normativa en materia de protección de datos, esta novedad ha pasado completamente desapercibida: el pasado viernes se aprobó el Proyecto de Ley de Secretos Empresariales por el Gobierno.

El fin de esta nueva normativa es reforzar la protección de la información empresarial frente a su obtención o utilización y revelación ilícita, además de transponer a nuestro ordenamiento jurídico la Directiva UE 2016/943, de 8 de junio de 2016, relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y revelación ilícitas.

Esta nueva normativa guarda bastante relación con el ya vigente RGPD, y da cobertura a una necesidad existente en el área empresarial, ya que las empresas están cada vez más expuestas a prácticas desleales por el incremento del uso de las nuevas tecnologías y la globalización de los mercados.

En este Proyecto de Ley se recogen aquellas conductas que supondrían violación de secretos profesionales, y las distingue de aquellas que sí serían lícitas.

La nueva normativa recogería también las posibles acciones de defensa del titular del secreto profesional, entre las que destaca la regulación de la indemnización por daños y perjuicios.

También entraría a regular los aspectos procesales, de forma que se pueda ejecutar el proceso en un plazo de tiempo más reducido. Así mismo, se agravarían las sanciones que los tribunales podrían aplicar.

Esta nueva normativa establecería una serie de reglas a implementar para velar por un tratamiento confidencial de la información que se genere durante el proceso.

Este Proyecto de Ley de Secretos Empresariales en este momento estaría en la fase de tramitación parlamentaria, así que habrá que esperar todavía un tiempo para su entrada en vigor. Sin duda constituirá un avance en materia legal para adaptarse al entorno tecnológico y competitivo de las empresas.

Si deseas consultar la Directiva Europea 2016/943 que ya es de aplicación, puedes acceder al texto completo aquí.

 

Estos son algunos de los últimos artículos de nuestro blog:

Sanciones de 3000 euros por no hacer el alta previa de los autónomos.

El Tribunal Supremo se pronuncia sobre la acumulación del permiso de lactancia.

¿Cómo debe adaptarse un despacho al Reglamento de Protección de Datos?

Novedades en la devolución de cuotas a los autónomos

¿Qué formación es obligatoria para las empresas hosteleras?

¿Hasta qué hora puede trabajar un trabajador con un contrato de formación?

Fuente: Prensa del Gobierno.

 

 

¿Cómo debe adaptarse un despacho al Reglamento de Protección de Datos?

¿Cómo debe adaptarse un despacho al Reglamento de Protección de Datos?

Comienza la cuenta atrás para la entrada en vigor de la nueva normativa en materia de Protección de Datos, este cambio afectará a todas las empresas y su forma de trabajar. Pero, ¿qué ocurre con las asesorías y abogados que se encargan de hacer los trámites para ellas? ¿Cómo debe adaptarse un despacho profesional al Reglamento Europeo de Protección de Datos?

¿Por qué es urgente la adaptación de un despacho a la RGPD? Fundamentalmente porque gestionan información con datos personales relevantes e información sensible de clientes. Además, el hecho de ya estar adaptados, dará más tranquilidad a las empresas que trabajan con éste.

En este artículo os ofrecemos algunos consejos para ir adaptando vuestra actividad al nuevo Reglamento:

Elaborar un registro de actividades

Un primer paso recomendable es elaborar un registro de actividades que contenga toda la información sobre el despacho: descripción de su actividad, quiénes sois, que tipo de actividades y datos manejáis, qué tratamientos de datos hacéis y cómo se gestiona todo en relación a vuestros clientes.

Así mismo, se deberán enumerar todas las medidas de seguridad que vuestra empresa va a adoptar.

En la web de la Agencia Española de Protección de Datos existe un test que te ayudará a realizar un primer diagnóstico sobre el tratamiento de los datos que hace tu empresa y posibles mejoras.

Revisar todas las cláusulas en documentación

Seguramente tu despacho ya tenga en sus emails y documentos cláusulas específicas destinadas a cumplir con la normativa actual de Protección de Datos.

Es aconsejable elaborar un listado de toda la documentación que se genera en el despacho, tanto impresa, como digital y actualizar toda esta documentación incluyendo las nuevas referencias informativas y cláusulas que exigen los artículos 13 y 14 del Reglamento.

Los contratos de todo tipo se ven afectados por esta normativa y deberán incluir cláusulas específicas. Así que también toca revisarlos.

Y por supuesto, si tenéis página web y utilizáis diferentes aplicaciones, tendréis que incluir consentimientos expresos. Recordamos que ya no servirá suponer la inacción como consentimiento, ahora hay que realizar una acción informativa para todos vuestros usuarios.

 

Análisis de riesgos y evaluación de impacto

Deberás realizar un análisis de los puntos de riesgo frente a la protección de datos y cuáles son las medidas a implementar para evitarlos o reducirlos. Igualmente, se deberán contemplar los mecanismos y procedimientos de notificación en caso de que se produzca una brecha de seguridad en el despacho.

Actualmente existe un alto riesgo para toda aquella documentación que se almacena online, que es susceptible de ser víctima de hackers. Si lo utilizas, asegúrate de que cumple unos estándares de seguridad y que el servicio esté encriptado para su protección.

También hay que corregir los hábitos respecto al uso y almacenamiento de datos, servidores, routers, creando un protocolo para velar por la seguridad de toda la documentación impresa, el procedimiento para su destrucción, etc..

En caso de incidencia, con el nuevo Reglamento, tu despacho estará obligado por el principio de responsabilidad activa a demostrar que ha tomado todas las medidas necesarias para evitarlo. Por eso es fundamental que conserves justificantes y registros de todas las acciones realizadas para este fin.

Una acción necesaria es informar a tus clientes sobre las repercusiones de la nueva normativa y los posibles riesgos. A partir de la entrada en vigor también necesitarás que te firmen un consentimiento inequívoco, no tácito, sobre el uso que vas a dar a sus datos (esto se aplicará a tus clientes y a sus trabajadores).

Lo ideal es conservar un justificante o recibí para poder acreditarlo posteriormente. Puedes leer nuestro artículo sobre cómo afecta el RGPD a las pymes.

El el caso de que trabajes con terceros, que te presten un servicio para tus clientes, debes asegurarte que presten un servicio adecuado, puedes solicitar un certificado de cumplimiento de la normativa.

 

¿Qué ocurre con la documentación que tengo que conservar?

Muchos estaréis pensando en la cantidad de datos y documentos que tenéis sobre las empresas, contratos, nóminas, etc.. existen obligaciones legales para la conservación de la mayoría de documentos, puesto que tienen que estar a la disposición de las diferentes autoridades frente a posibles requerimientos.

Es imprescindible informar previamente a los clientes sobre estas obligaciones y sus plazos. Este plazo puede ser de 4 a 10 años, e incluso hasta por 10 años, por prevención de blanqueo de capitales. El plazo variará según el tipo de datos. Según el artículo 8, es admisible que los datos se puedan conservar durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica, o de la ejecución de un contrato o de la aplicación de medidas pre-contractuales solicitadas por el interesado.

Por ejemplo, si un cliente solicita que cancelemos sus datos porque ya no va a contratar nuestros servicios, pero todavía nos debe facturas, no podremos borrar sus datos. En estos casos, los datos se quedarán «bloqueados» y no se podrán usar para ninguna finalidad, a la espera del pago.

Una vez que ya no sean necesarios, deberán ser cancelados, según establece el artículo 4.

¿Tengo que contratar a un Delegado de Protección de Datos?

Esta nueva figura que no siempre será obligatoria, dependerá del tipo de empresa y los datos que ésta maneje.

Será obligatorio para todas las empresas que realicen un tratamiento de datos de naturaleza especial (afiliación sindical, datos referentes a la salud, etc..).

También para aquellas que trabajen con datos que requieran una observancia habitual y sistemática de interesados a gran escala, por ejemplo si realizas campañas de email o manejas datos a través de tu web de un número considerable de usuarios.

Puedes ampliar información sobre las empresas obligadas a tener el Delegado aquí. En el caso de que tu despacho esté obligado, puedes optar por contratar a alguien en plantilla o a una empresa externa.

Los despachos de abogados deberán contar con la figura del Delegado siempre que por las actividades que realicen sean sujetos obligados de la Ley de Prevención de Blanqueo de Capitales.

Aunque no estés obligado a tener un Delegado, sí tendrás que designar siempre una persona responsable de privacidad, aunque ya no exista la obligación de comunicar ficheros, esta será la encargada de velar por el cumplimiento de esta normativa en el seno de la empresa.

Formación para adaptarse a un gran cambio

Los despachos profesionales son sin duda uno de los negocios más afectados por el nuevo Reglamento de Protección de Datos, por el alto volumen de datos que manejan y su naturaleza.

Por este motivo, tu plantilla debe estar formada, para poder realizar un tratamiento de los datos según la nueva normativa y evitar puntos de riesgo.

Además, la formación se contempla como una de las vías para reforzar las medidas tomadas por la empresa, y demostrar que ha cumplido con el principio de responsabilidad activa.

Nuestro centro de formación ha diseñado diferentes acciones formativas para ayudarte en esta transición:

Curso sobre la Ley de Protección de Datos 2018. Reglamento y nueva normativa. Duración 40 horas.

Curso sobre el nuevo Reglamento Europeo de Protección de Datos. Duración: 20 horas.

Curso de Delegado de Protección de Datos en el RGPD, Certificado por SGS. Duración: 180 horas.

 

Sin duda, son muchos frentes los que abarcar en esta transición. Puedes realizar todas las gestiones tú mismo, o contratar a una empresa experta para que realice el servicio de implantación. Si optas por esta última opción, comprueba previamente su experiencia, si disponen de seguro de responsabilidad civil, o realizan un seguimiento y mantenimiento.

 

¿Cómo afecta la nueva Ley de Protección de Datos a las pymes?

¿Cómo afecta la nueva Ley de Protección de Datos a las pymes?

El próximo mes de mayo entra en vigor el Reglamento Europeo de Protección de Datos y está previsto que también lo haga la nueva Ley española sobre LOPD. Esta normativa implica que todas las empresas deben estar actualizadas antes del 25 de mayo, la norma será de aplicación para todo tipo de negocios, pero ¿cómo afecta la nueva Ley de Protección de Datos a las pymes?

 

Cambios más importantes de la nueva Ley de LOPD

En primer lugar vamos a resumir los principales cambios que trae esta normativa:

  • Se endurecen las sanciones: La Agencia Española de Protección de Datos podrá imponer sanciones de hasta el 4% de la facturación anual, así como responsabilidades de carácter civil, penal y laboral, en el caso de que se produzcan hechos de gravedad, cuya responsabilidad se trasladaría a los administradores.
  • Se aplica el Principio de Responsabilidad Activa (Accountability): La empresa no sólo deberá adaptar sus procedimientos, documentación e instalaciones a la norma de LOPD, ante cualquier reclamación o queja deberá demostrar que ha adoptado todas las medidas necesarias para evitar las incidencias, y para ello deberá ser capaz de probar que ha realizado las gestiones oportunas. Por ejemplo, impartir formación a sus trabajadores para que estos tengan conocimiento sobre cómo deben aplicar la nueva normativa. Para probar este hecho contará con la factura del centro de formación, que acredita la formación impartida.
  • Se establece la protección de datos desde el diseño y por defecto: La privacidad de los usuarios va a ser fundamental, las empresas deberán determinar desde el primer momento qué medidas de seguridad deben implementar, según el tratamiento de datos que se vaya a realizar.
  • Se refuerza la exigencia del consentimiento: deberá hacerse mediante una declaración o acción informativa, ya no servirá deducir el silencio o inacción como consentimiento.

 

A continuación veremos cuáles son las novedades que pueden afectar a la pequeña y mediana empresa, recordamos que todas están obligadas a velar por el cumplimiento en materia de protección de datos.

¿Cómo afecta el nuevo Reglamento de Protección de Datos a las pymes?

Con la nueva norma desaparece el actual envío de ficheros, pero esto no quiere decir que la pequeña empresa esté exenta de cumplir la normativa. El nivel de repercusión del nuevo Reglamento de Protección de Datos sobre la empresa variará según el tipo de actividad, el volumen de datos que manejen o el tipo de datos, tendrán diferentes obligaciones.

Existen varias novedades que deberán aplicar las pymes, independientemente de su tamaño o facturación, analizamos cuáles son:

  • Mantener un registro de actividades:

Según artículo 30 del Reglamento Europeo de Protección de Datos, las empresas que cumplan algún requisito del siguiente perfil deberán llevar a cabo obligatoriamente un registro de todas aquellas actividades que impliquen tratamiento de datos:

  1. Empresas con más de 250 trabajadores.
  2. Se realizan tratamientos de datos con riesgo.
  3. Se trata de un tratamiento de datos no ocasional, es decir, su actividad implica un tratamiento de datos de clientes habitualmente.
  4. Tratamiento de categorías especiales de datos personales, estos pueden ser: datos de origen étnico, opiniones políticas, convicciones religiosas, afiliación sindical, datos genéticos o biométricos, datos relativos a la salud, vida sexual u orientación sexual).
  5. Tratamientos relativos a condenas e infracciones penales.

 

  • Tener un Delegado de Protección de Datos:

Con la nueva Ley, aparece una nueva figura encargada de velar por el cumplimiento de la normativa en el seno de la empresa, el Delegado de Protección de Datos. Esta persona podrá estar en plantilla o se podrá contratar a un consultor externo a la organización. Existen algunos supuestos que obligan a tener a este responsable de forma obligatoria, puedes ampliar información aquí.

De todos los supuestos posibles, vamos a destacar algunos que sí pueden darse en las pymes. En estos supuestos, la pequeña empresa estará obligada a tener un Delegado:

  1. Aquellas empresas que realicen un tratamiento de datos de naturaleza especial (por ejemplo, incluyan datos de afiliación sindical, datos sobre la salud, etc.. que mencionábamos más arriba).
  2. Si trabaja con datos que requieran una observancia habitual y sistemática de interesados a gran escala (por ejemplo, si tu empresa tiene una página web a través de la cuál capta datos de usuarios, envía campañas de email, y tiene cierto volumen de datos).
  3. Centros docentes privados.
  4. Entidades que exploten redes y presten servicios de comunicaciones electrónicas.
  5. Establecimientos financieros de crédito.
  6. Entidades aseguradoras.
  7. Comercializadoras de energía.
  8. Actividades de publicidad y prospección comercial.
  9. Centros sanitario.
  10. Empresas de seguridad privada.

 

  • Tener un responsable de privacidad:

En el caso de que tu empresa no esté obligada a tener un Delegado de Protección de Datos, no le exime de tener un responsable de privacidad. Todas las empresas deberán designar la persona de la organización que se encargue de velar por la privacidad de los datos. Esta función podrá ser llevada a cabo por el propio autónomo o un trabajador en plantilla.

Además, deberá encargarse de que en la empresa se haya realizado la adaptación correctamente y una evaluación de impacto.

Para poder desempeñar correctamente esta tarea, es recomendable formar al trabajador que vaya a llevarla a cabo. Para ello, hemos diseñado un curso que le permitirá adquirir los conocimientos sobre la nueva normativa: Curso de la Ley de Protección de datos 2018. Reglamento y nueva Ley.

Si tengo una pequeña empresa, ¿qué gestiones se pueden ver afectadas?

Probablemente estés leyendo esto, y pensarás, si yo tengo una pequeña empresa, no tengo datos de clientes, esto no me afecta. Pues bien, a continuación te mostramos varios ejemplos donde la pequeña empresa recoge datos habitualmente sin ser consciente, y que a partir de ahora, sí tienen importancia de cara a la nueva Ley.

Gestiones que implican tratamiento de datos en la pyme y que debes revisar:

  • Página web. Puede ser que tengas cookies activadas en la página web (si tu web tiene insertadas determinadas funciones para saber cómo navegan los usuarios) o haya registro de sus datos. etc..
  • Documentación, solicitudes, formularios.
  • Cámaras de vigilancia. Si están siendo grabados usuarios o trabajadores.
  • Datáfono. A través de éste se están usando los datos de las tarjetas de los clientes.
  • Datos personales relativos a las nóminas y contratos de los trabajadores.
  • Datos personales o de proveedores.
  • Datos de menores. Por ejemplo, si tienes una pequeña academia y asisten menores a clase, estos datos son considerados de alta sensibilidad, lo que te obligaría incluso a tener un delegado.
  • Datos de salud. Los negocios de estética y salud habitualmente recogen datos relativos a la salud de sus clientes, algunos de ellos también pueden verse obligados a tener un delegado.

 

¿Te gustaría saber cómo afecta el nuevo Reglamento de Protección de Datos a tu empresa?

Inscríbete a nuestro curso online «Ley de Protección de Datos 2018. Reglamento y nueva ley» y aprende todo lo necesario para conocer esta nueva normativa y qué debes revisar en tu empresa.

¡Apúntate ya!

Como puedes apreciar, todos los negocios, en mayor o menor medida van a tener que adaptarse a la Ley de LOPD. Te recomendamos contactar con un profesional que te asesore sobre cómo implementar en la documentación y procesos las mejoras para darle cumplimiento y evitar incidencias.

Esperamos que este artículo haya servido de ayuda, si tienes alguna duda estamos a tu disposición en el teléfono 958 806 760, o en nuestro chat online.

 

También te pueden interesar los siguientes artículos de nuestro blog:

Qué empresas están obligadas a tener Delegado de Protección de Datos

Incumplir la Ley de Protección de Datos tendrá elevadas sanciones a partir de mayo de 2018

Incentivo de 250 euros por conversión de un contrato de formación a indefinido

Los autónomos ahora están obligados a darse de alta en Sistema RED

¿Puede un autónomo contratar a su cónyuge?

Qué empresas estarán obligadas a tener delegado de protección de datos

Qué empresas estarán obligadas a tener delegado de protección de datos

En mayo entra en vigor la nueva Ley de Protección de Datos y con ella, nuevas obligaciones para todo tipo de entidades. La pregunta más habitual que nos estáis planteando es qué empresas estarán obligadas a tener un delegado de protección de datos. A continuación os lo explicamos:

¿En qué consiste la figura del delegado de protección de datos?

La nueva norma establece que determinadas entidades deberán contar con un delegado de protección de datos para velar o supervisar que se realiza el cumplimiento de la normativa de LOPD adecuadamente.

Esta persona será la encargada de informar a la empresa sobre sus obligaciones legales en materia de protección de datos y las medidas recomendables para que se cumplan.

Según indica el artículo 37 de la Ley, la persona designada como delegado de protección de datos deberá cooperar con las autoridades competentes y será la figura de referencia en caso de que tengan que contactar con la empresa.

El delegado de protección de datos podrá estar en plantilla o ser un consultor externo a la organización. Independientemente de la opción escogida, esa persona tendrá que actuar con total independencia en sus funciones, para garantizar que se cumpla la normativa.

 

Qué empresas estarán obligadas a tener delegado de protección de datos

El citado artículo 37 de la Ley de LOPD especifica qué empresas y entidades estarán obligadas a tener un delegado de protección de datos, a continuación os las detallamos:

  • Autoridades y organismos públicos. Aquí se exceptuarían los tribunales que actúen en el ejercicio de sus funciones.
  • Operaciones que requieran una observancia habitual y sistemática de interesados a gran escala. Es decir, empresas que manejen un gran volumen de datos o que estos sean especialmente sensibles.
  • Actividades que impliquen el tratamiento de datos personales de categorías especiales (sexo, religión, etc..)
  • Entidades que trabajen con datos relativos a condenas e infracciones penales.
  • Colegios profesionales de todo tipo.
  • Centros docentes y Universidades públicas y privadas.
  • Entidades que explotan redes y prestan servicios de comunicaciones electrónicas.
  • Prestadores de servicios de la sociedad de la información. Aquí entraría la prensa y actividades similares.
  • Establecimientos financieros de crédito.
  • Entidades aseguradoras y reaseguradoras.
  • Empresas de servicios de inversión.
  • Distribuidoras y comercializadoras de energía.
  • Actividades de publicidad y prospección comercial.
  • Centros sanitarios de todo tipo.
  • Entidades que emitan informes comerciales que se refieran a personas físicas.
  • Actividades de seguridad privada.

 

La nueva Ley de LOPD implica éste y otros cambios, que puedes consultar aquí. Entre ellos, hay que destacar las nuevas infracciones, que pueden suponer hasta un 4% sobre la facturación anual. Por este motivo, las empresas ya están trabajando en adaptar su forma de trabajo, instalaciones, etc,..

El cumplimiento de la nueva norma, como ya os comentamos en anteriores artículos es obligatorio a partir de mayo, ya que en esa fecha entraría en vigor la normativa europea en todo caso, y está previsto que entre en vigor también la nueva Ley de LOPD española.

Esta figura del Delegado de Protección de datos puede ser interna o externa a la empresa, lo importante es que en todo momento se pueda garantizar la realización de su actividad de forma independiente a la empresa.

La formación es clave para adaptar tu empresa en LOPD

Recordamos que frente a incidencias surgidas en materia de protección de datos, relativas a hechos producidos en el seno de la empresa, se aplica el principio de responsabilidad activa o «accountability». Es decir, la empresa tendrá que demostrar que cumple la normativa, y que ha adoptado todas las medidas necesarias.

En caso de que una empresa incumpla la normativa, podrá sufrir sanciones, sin que esto le exima de la consiguiente responsabilidad civil, cuando proceda.

Por todo ello, se recomienda elaborar un plan de adecuación a la nueva normativa. Entre las acciones a integrar en dicho plan, es fundamental elaborar un plan de comunicación y formación para que la plantilla conozca el tratamiento que le debe dar a los datos, precauciones, etc,.. para la correcta adaptación de las empresas y entidades.

Desde Grupo2000 te ofrecemos diferentes acciones formativas para que formes a tu plantilla:

Curso de la Ley de Protección de Datos 2018. Duración: 40 horas. Modalidad online. Curso bonificable.

Curso para el Delegado de Protección de Datos. Acreditado por SGS. Duración: 180 horas. Modalidad online.

 

Contacta con nosotros y te asesoraremos sobre la alternativa más adecuada para tu empresa. Llámanos al 958 806 760 o escríbenos a través de nuestro chat online.

 

También te pueden interesar los siguientes artículos:

Incumplir la Ley de Protección de Datos tendrá elevadas sanciones en 2018.

Los autónomos ahora están obligados a darse de alta en el Sistema RED.

Así cambia la prestación por maternidad o paternidad del autónomo.

 

Ir al contenido