fbpx
Inspección y AEAT advierten sobre la RGPD a coste cero y sus sanciones

Inspección y AEAT advierten sobre la RGPD a coste cero y sus sanciones

Inspección y AEAT advierten sobre la RGPD a coste cero y sus sanciones en un documento que han publicado conjuntamente ambos organismos, en colaboración con la Agencia Española de Protección de Datos.

Te contamos cuáles son las prácticas denunciadas por los tres organismos para que tu empresa no caiga en la trampa y no se vea perjudicada.

 

Utilizar fondos destinados a programas de formación para pagar servicios de protección de datos está sancionado

En el texto se advierte de la malas prácticas de diferentes consultoras y empresas de protección de datos, que ofrecen el servicio de implementación de protección de datos con cargo a fondos públicos.

Para ello, ofrecen bonificar el coste del servicio a través de las cuotas a la Seguridad Social para la formación, como si fuese una acción formativa.

Inspección de Trabajo y Seguridad Social advierte que estos hechos pueden derivar en sanciones, con multas que oscilan entre 626 € y 187.515 euros.

Importante: estas sanciones podrán ser impuestas por cada empresa y por cada «acción formativa» que se haya bonificado. En estos casos, todos los sujetos intervinientes en la organización y ejecución del servicio responderán solidariamente.

 

AEAT perseguirá las infracciones tributarias. El servicio de RGPD sí tiene IVA

Además de las situaciones mencionadas anteriormente, AEAT avisa sobre las infracciones tributarias que implicaría un uso inadecuado de los créditos de formación en servicios de protección de datos.

Recuerdan que la formación para el empleo dirigida a los trabajadores está exenta de tributar por el Impuesto de Valor Añadido, sin embargo, el servicio de implantación de RGPD sí debe tributar por un 21%.

Si Hacienda entiende que se ha enmascarado el servicio como si fuese formación, podrá sancionar adicionalmente con una multa del 50% en adelante sobre la cuantía no ingresada.

 

¿Cómo distinguir este tipo de prácticas fraudulentas?

Te resumimos a continuación las pistas que ofrece la Agencia Española de Protección de Datos para que puedas darte cuenta de si ese servicio de RGPD que te ofrecen es fraudulento:

  • Ofrecen el servicio de RGPD a coste 0, con la premisa de que la empresa luego bonifique el coste como si fuera formación para sus trabajadores.
  • El servicio suele denominarse adecuación a la normativa de protección de datos, pero en muchos casos la adaptación es simplemente la entrega de unos documentos para «cumplir expediente». Avisan que la implantación debe realizarse teniendo en cuenta las circunstancias específicas de cada empresa, no sirven la documentación de «copia y pega».
  • Prácticas agresivas. Tratan de crear en pequeñas empresas y autónomos la necesidad de implantar servicios que en muchos casos son innecesarios.
  • Se ofrece dentro del servicio la puesta a disposición de un Delegado de Protección de Datos, haciendo creer que siempre es obligatorio, cuando no es así.
  • Utilizan logotipos de la AEPD o entidades acreditadas para hacer creer que cuentan con el aval de organismos públicos.

 

Desde la AEPD recomiendan que, antes de contratar, las empresas se informen de sus obligaciones y cuál es el modo más seguro de cumplir con ellas, para ello ofrece numerosa información en su página web o a través del canal Informa RGPD.

Desde Grupo2000 valoramos positivamente esta iniciativa, que además de ayudar a informar a las empresas, servirá para sancionar a entidades fraudulentas que tan flaco favor hacen al sector de la formación con sus malas prácticas.

Puedes descargar el documento completo, publicado por AEPD, en colaboración con Hacienda y Seguridad Social haciendo clic en el siguiente botón:

A continuación te ofrecemos más información sobre la nueva normativa de protección de datos, para que puedas valorar cuáles son las obligaciones reales para tu empresa:

¿Qué empresas necesitan tener Delegado de Protección de Datos?

Obligaciones de la nueva Ley de Protección de Datos

6 hábitos que debes cambiar desde la entrada en vigor del RGPD

¿Cómo afecta la nueva ley de protección de datos a las Pymes?

Entra en vigor la nueva Ley de Protección de Datos

Entra en vigor la nueva Ley de Protección de Datos

Hoy entra en vigor la nueva Ley de Protección de Datos: la Ley Orgánica 3/2018, de 5 de Diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Esta nueva norma, publicada en el BOE el pasado día 6 de Diciembre,  deroga la antigua Ley Orgánica de Protección de Datos y transpone la normativa europea (RGPD) en materia de protección de datos.

El texto recoge la normativa europea y la adapta a nuestro ordenamiento. Además, en su título X incluye 17 nuevos derechos digitales para los ciudadanos españoles en materia de protección de datos.

Entre las novedades más destacadas que aporta esta nueva Ley destacan las siguientes:

 

  • Permite el uso de datos de terceros por parte de los partidos políticos:

Modifica el artículo 58 bis de la Ley Electoral, permitiendo que se recojan datos de terceros con el fin de utilizarlos con fines políticos.

  • Regula figuras importantes para la empresa como el encargado del tratamiento o el delegado de protección de datos (DPO):

En el Título V de la norma se establecen los requisitos, función y responsabilidad de estas figuras en el seno de la empresa, frente al tratamiento de los datos.

En el artículo 34 se amplía el listado de empresas y entidades obligadas a disponer de un delegado de protección de datos.

  • Principio de responsabilidad activa:

Se vuelve a hacer hincapié en el principio de responsabilidad activa, que requiere que haya una valoración previa del responsable o del encargado del tratamiento sobre el riesgo que pudiera existir el tratamiento que se realice de los datos personales, y así, adoptar las medidas que correspondan.

  • Se modifica el procedimiento sancionador:

El artículo 63 y siguientes, se encargan de establecer las infracciones leves, graves y muy graves, incrementando la cuantía de las sanciones, que pueden llegar a ser incluso de 20 millones de euros. Las sanciones oscilarán en función de la capacidad económica de la empresa sancionada y del criterio del sancionador.

  • Nuevos derechos para los trabajadores en relación a sus datos y a la desconexión digital:

El artículo 88 incluye nuevos derechos laborales, que se modifican el Estatuto de los Trabajadores sobre la desconexión digital y los artículos 89 y siguientes, recogen el derecho a la intimidad frente al uso de dispositivos de vídeo-vigilancia en el lugar de trabajo, el derecho a la intimidad frente al uso de dispositivos de geolocalización, derechos digitales en la negociación colectiva.

  • Cambios en la inclusión en los ficheros de morosos:

Se modifica la cifra a partir de la cual se puede incorporar a un cliente que no paga a este tipo de ficheros, pasando de 1 € (como era hasta ahora) a más de 50 euros.

En el caso de las Administraciones, sólo podrán publicar el nombre completo del ciudadano y cuatro cifras del DNI cuando tengan que publicar anuncios en el BOE, en el caso de que no se conozca el domicilio del infractor o no se le pueda localizar.

Otros nuevos derechos interesantes que se regulan son: la protección de datos de los menores en internet, el derecho al olvido en las búsquedas en internet, redes sociales, etc.

 

Más noticias de nuestro blog sobre la nueva normativa de protección de datos que te pueden interesar:

¿Qué empresas están obligadas a tener un Delegado de Protección de Datos?

¿Cómo afecta la nueva normativa de protección de datos a las Pymes?

Cómo adaptar tu despacho profesional al nuevo RGPD

Hábitos en tu puesto de trabajo que debes cambiar con la nueva normativa de Protección de Datos

 

 

Fuente: BOE.

¿Te gustaría saber cómo adaptar tu empresa a la Ley de Protección de Datos?

Inscríbete a nuestro curso online sobre  «La Ley de Protección de Datos 2018. Reglamento y nueva Ley» y aprende todo lo necesario para adaptar tu empresa.

 

Publicado en el BOE el régimen sancionador e inspección para protección de datos

Publicado en el BOE el régimen sancionador e inspección para protección de datos

El 30 de julio se ha publicado en el BOE el régimen sancionador y cómo será la inspección para protección de datos. El Real Decreto Ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, en el BOE, contiene las especificaciones para las infracciones y sanciones de adaptar esta normativa europea que entró en vigor el pasado 25 de mayo.

A continuación os contamos que novedades aporta este Real Decreto Ley que ya es de aplicación desde el día 31 de julio:

Se regula la Inspección en materia de protección de datos

El Capítulo I de la norma está dedicado a definir el ámbito y personal competente para realizar la actividad de investigación e inspección en relación a la nueva normativa europea.

Se estipula que esta labor la realice la Agencia Española de Protección de Datos. Los funcionarios que realicen las actividades de investigación tendrán la consideración de agentes de la autoridad.

Podrán requerir todos los datos y documentación necesarios, incluso examinarlos en el lugar donde se procesen, así como inspeccionar tanto los equipos físicos, como lógicos. Siembre, obviamente, conforme a las normas procesales y solicitando autorización judicial previa cuando sea necesario.

Quiénes podrán ser sancionados 

Podrán ser considerados como sujetos responsables frente a una infracción contra el Reglamento Europeo 2016/279 y Ley de LOPD:

  • Los responsables de los tratamientos.
  • Los encargados de los tratamientos.
  • Los representantes de los anteriores no establecidos en la Unión Europea.
  • Las entidades de certificación.
  • Las entidades acreditadas que supervisen los códigos de conducta de LOPD.

Una novedad importante es que excluye al Delegado de Protección de Datos del régimen sancionador. Sin embargo las empresas y sus responsables del tratamiento sí podrían verse afectados en caso de cometerse una infracción de este tipo.

Nuevo Régimen Sancionador en materia de protección de datos

Las infracciones son las establecidas en el nuevo Reglamento Europeo 2016/279, en el artículo 83. Lo que precisa el nuevo RDL es su prescripción:

  1. Las infracciones relativas a los derechos de los interesados, consentimiento, o transferencias de datos (que podrían ser sancionadas con multas administrativas de hasta 20.000.000 euros o un 4% sobre la facturación anual) prescribirán a los 3 años.
  2. Las infracciones como el incumplimiento de las obligaciones del responsable y encargado, o de los organismos de certificación (que recibirían una sanción de 10.000.000 o el 2% sobre su facturación anual), prescribirían a los 2 años.

La iniciación del procedimiento sancionador interrumpirá la prescripción. Y si el expediente estuviese paralizado por motivos ajenos al infractor, volvería a iniciarse el plazo de prescripción.

Así mismo, se especifican el plazo para prescripción de las sanciones por la aplicación del RGPD:

  • Las sanciones iguales o inferiores a 40.000 euros prescriben en 1 año.
  • Las sanciones entre 40.001 y 300.000 euros prescriben a los 2 años.
  • Las sanciones de más de 300.000 euros lo harán a los 3 años.

Cómo será el procedimiento en caso de una infracción

El procedimiento se iniciará con una reclamación. Antes de iniciar el trámite, se pondrán en contacto con el Delegado de Protección de datos o con el responsable, y éste deberá dar respuesta a la reclamación en el plazo de un mes.

Si dicha reclamación se ha planteado ante la AEPD, el organismo decidirá si se admite a trámite. Si se admite, podrá haber una fase de investigación. El procedimiento tendrá una duración máxima de 9 meses desde que se decide iniciar el procedimiento.

En el caso de que transcurra dicho plazo, se producirá su caducidad y por tanto, se archivarán las actuaciones.

Tras ser notificada la reclamación a trámite, habrá un plazo de 6 meses desde esa fecha para resolver el procedimiento.

También indican que las reclamaciones podrán ser inadmitidas para aquellos casos en que el responsable del tratamiento hubiese adoptado las medidas correctivas que le hubiesen indicado desde la Agencia Española de Protección de Datos, siempre que no se haya causado un perjuicio al afectado.

En el caso de que la AEPD considere que los hechos son graves podrá ordenar el bloqueo de los datos e incluso su inmovilización.

 

¿Te gustaría saber cómo afecta el nuevo Reglamento de protección de datos a tu empresa?

Inscríbete a nuestro curso online «Ley de Protección de Datos 2018. Reglamento y nueva ley» y aprende todo lo necesario para conocer esta nueva normativa y qué debes revisar en tu empresa.

¡Apúntate ya!

6 hábitos que debes cambiar tras la nueva Ley de Protección de datos

6 hábitos que debes cambiar tras la nueva Ley de Protección de datos

El pasado 25 de mayo entró en vigor el nuevo Reglamento Europeo en materia de Protección de Datos, conocido como RGPD. Seguro que te estás planteando cómo debe adaptarse tu empresa a este cambio, nuestro artículo «Cómo debe adaptarse una despacho al RGPD» quizá puede ser de ayuda. Pero, ¿qué debe hacer tu plantilla? Todos tenemos costumbres que es necesario modificar. Hoy te contamos qué 6 hábitos deben cambiar tras la entrada en vigor de la nueva Ley de Protección de Datos.

 

1. Protege tu equipo informático

Seguro que confías plenamente en tu entorno de trabajo y muchas veces cuando te levantas a realizar alguna gestión dejas abierta tu sesión en el ordenador, porque reconozcámoslo, nos da mucha pereza introducir la contraseña de nuevo e iniciar sesión.

Ahora con el RGPD lo correcto sería dejar bloqueado tu equipo cuando te ausentes de tu puesto de trabajo. Y por supuesto, no compartir tus contraseñas, ni apuntarlas en lugares visibles. Estos gestos ayudarán a proteger el contenido de tu ordenador.

Este consejo se hace extensible al uso de memorias externas y USB con datos de tus clientes o claves. Deben ser custodiados debidamente.

Otro hábito saludable es no guardar contraseñas importantes en el «llavero» de Google Chrome o Mozzilla. ¿Sabías lo fácil que resulta para cualquier informático averiguar tus contraseñas desde este llavero?

 

2. Vigila estos detalles cuando envíes email 

Uno de los primeros pasos a implementar tras la entrada en vigor del RGPD es cambiar la firma de tu email, te recomendamos incluir las referencias normativas al Reglamento, así como informar al usuario al que se envía sobre sus derechos y obligaciones de confidencialidad. Y por supuesto, recuerda especificar qué fin se dará a sus datos y a quién deben dirigirse en caso de no querer que se le envíen emails.

Muy importante, y suele ser el error más habitual, cuando envíes un email a varias personas, utiliza siempre la opción CCO. Es decir, con copia oculta. Esto te evitará muchos problemas, ya que si no lo utilizas, estarás enviando el contacto de email de personas a un tercero sin su autorización.

Y por último, y no menos importante, todo el personal debe ser informado sobre el uso de internet y correo corporativo, que debe ser sólo con fines profesionales.

 

3. Mantén tu espacio ordenado y sin documentación confidencial

Aquí más de uno/a se estará llevando las manos a la cabeza, porque cuidar este tema en pleno mes de impuestos puede ser una locura, ¿verdad?

El RGPD afecta a todo tipo de datos, también el material impreso. Si por algún motivo alguno de estos datos llegan a personas inadecuadas, puede suponer un riesgo para tu empresa.

Si dispones de archivo físico, lo recomendable es que establezcáis un protocolo para su uso y que todos los documentos que allí se guardan estén protegidos de alguna manera. Por ejemplo, una cámara de seguridad o un cierre con llave.

En el caso de usar una impresora o escáner, no olvides retirar los originales y todas las copias que hayas hecho.

 

4. Atender adecuadamente a los clientes que quieren ejercer sus derechos 

Con la entrada en vigor del Reglamento habrás recibido infinidad de email para informarte sobre los cambios de las políticas de privacidad, sobre el uso de tus datos, y bla, bla, bla, bla… porque tras el aluvión de correos, ya llegó un momento que ni los leíamos, ¿verdad?

Bien, pues debes saber que en la mayoría de ellos te informaban sobre tus derechos como usuario, con la entrada en vigor de la nueva norma tienes derecho a ser informado sobre los datos que constan sobre ti, a su rectificación, y por supuesto a solicitar la baja si no deseas recibir más emails comerciales.

Esto te puede ocurrir también con tus clientes, que te soliciten ejercer sus derechos. Es fundamental que todos los casos en los que te soliciten una baja se atiendan adecuadamente, y se les dé una respuesta ágil confirmando la baja en tu base de datos. Y más importante aún, si han solicitado la baja, debes organizar todas estas solicitudes para evitar enviarle emails de nuevo por error.

 

5. Disponer de un consentimiento informado para recoger los datos

A la hora de recoger los datos de clientes, bien sea vía online, como de forma impresa, tus formularios deben contener un consentimiento informado donde les facilites todos los detalles sobre el uso de esos datos. Esto afectará a todo tipo de clientes, tanto empresas, como sus trabajadores.

En caso de incidencia, tu empresa estará obligada a demostrar que cuenta con ese consentimiento informado para usar los datos de los clientes.

 

6. Conserva los datos según los plazos legales

Algo que cobra mucha importancia con la entrada en vigor del RGPD son los plazos de conservación de los documentos. Según indica la nueva normativa no se deben conservar estos datos más allá del necesario para cumplir con el servicio o del tiempo legalmente establecido.

Normalmente en un despacho profesional este tiempo puede oscilar entre 4 y 10 años, por motivos relacionados con la Ley de prevención de blanqueo de capitales y para atender a posibles requerimientos de las autoridades.

A continuación te ofrecemos un resumen de lo más destacado y sus referencias normativas:

  1. Datos contables y mercantiles: 6 años. (Artículo 30 CC).
  2. Datos fiscales (liquidaciones, deuda, devoluciones, etc..): 4 años. (Artículo 66 de la Ley 58/2003).
  3. Seguridad Social: 4 años. (Artículo 4.2 del Real Decreto Legislativo 5/2000).
  4. Prevención de Riesgos Laborales: 5 años. (Artículo 4.3 del Real Decreto Legislativo 5/2000).
  5. Currículum vitae: se recomienda como máximo un año. Lo recomendable es su destrucción una vez que se haya finalizado el proceso de selección para el que fueron recogidos.

Muy importante: debes informar a tus clientes sobre el margen temporal al que estás obligado a conservar la documentación que incluye sus datos.

Y una vez que ya no sean necesarios, deberán ser destruidos. En el caso del material impreso, te aconsejamos utilizar una destructora de papel o contratar los servicios de una empresa que te facilite una certificación de dicha destrucción si es mucho volumen.

¿Te gustaría saber cómo afecta el nuevo Reglamento de protección de datos a tu empresa?

Inscríbete a nuestro curso online «Ley de Protección de Datos 2018. Reglamento y nueva ley» y aprende todo lo necesario para conocer esta nueva normativa y qué debes revisar en tu empresa.

¡Apúntate ya!

 

 

 

A continuación compartimos con vosotros esta infografía que hemos elaborado para que os sea más fácil cumplir con estos consejos y la podáis imprimir para tener a mano:

Infografia_LOPD_Grupo2000

Si te preocupa el tema del cumplimiento del nuevo Reglamento de Protección de Datos, también puedes leer los siguientes artículos de nuestro blog:

¿Cómo debe adaptarse mi despacho profesional al RGPD?

¿Cómo afecta la nueva normativa de Protección de datos a las pymes?

Qué empresas estarán obligadas a tener delegado de protección de datos

 

 

 

 

Se aprueba el Proyecto de Ley de Secretos Empresariales

Se aprueba el Proyecto de Ley de Secretos Empresariales

En pleno revuelo por la entrada en vigor de la nueva normativa en materia de protección de datos, esta novedad ha pasado completamente desapercibida: el pasado viernes se aprobó el Proyecto de Ley de Secretos Empresariales por el Gobierno.

El fin de esta nueva normativa es reforzar la protección de la información empresarial frente a su obtención o utilización y revelación ilícita, además de transponer a nuestro ordenamiento jurídico la Directiva UE 2016/943, de 8 de junio de 2016, relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y revelación ilícitas.

Esta nueva normativa guarda bastante relación con el ya vigente RGPD, y da cobertura a una necesidad existente en el área empresarial, ya que las empresas están cada vez más expuestas a prácticas desleales por el incremento del uso de las nuevas tecnologías y la globalización de los mercados.

En este Proyecto de Ley se recogen aquellas conductas que supondrían violación de secretos profesionales, y las distingue de aquellas que sí serían lícitas.

La nueva normativa recogería también las posibles acciones de defensa del titular del secreto profesional, entre las que destaca la regulación de la indemnización por daños y perjuicios.

También entraría a regular los aspectos procesales, de forma que se pueda ejecutar el proceso en un plazo de tiempo más reducido. Así mismo, se agravarían las sanciones que los tribunales podrían aplicar.

Esta nueva normativa establecería una serie de reglas a implementar para velar por un tratamiento confidencial de la información que se genere durante el proceso.

Este Proyecto de Ley de Secretos Empresariales en este momento estaría en la fase de tramitación parlamentaria, así que habrá que esperar todavía un tiempo para su entrada en vigor. Sin duda constituirá un avance en materia legal para adaptarse al entorno tecnológico y competitivo de las empresas.

Si deseas consultar la Directiva Europea 2016/943 que ya es de aplicación, puedes acceder al texto completo aquí.

 

Estos son algunos de los últimos artículos de nuestro blog:

Sanciones de 3000 euros por no hacer el alta previa de los autónomos.

El Tribunal Supremo se pronuncia sobre la acumulación del permiso de lactancia.

¿Cómo debe adaptarse un despacho al Reglamento de Protección de Datos?

Novedades en la devolución de cuotas a los autónomos

¿Qué formación es obligatoria para las empresas hosteleras?

¿Hasta qué hora puede trabajar un trabajador con un contrato de formación?

Fuente: Prensa del Gobierno.

 

 

Ir al contenido