Requisitos de Información

Los responsables del tratamiento están obligados a proporcionar esta información de manera clara, concisa y accesible en el momento de la recopilación de los datos. Entre los datos que deben facilitarse se incluyen:

• Identidad del Responsable: Quién es el responsable del tratamiento de los datos.
• Finalidad del Tratamiento: Para qué se utilizarán los datos recopilados.
• Base Legal: La justificación legal para el tratamiento de los datos.
• Destinatarios: Quiénes recibirán los datos.
• Derechos del Interesado: Información sobre los derechos del interesado, como acceso, rectificación y supresión de datos.
• Transferencias Internacionales: Si los datos se transferirán fuera del Espacio Económico Europeo.

Decisiones Automatizadas

El artículo también subraya la importancia de informar sobre la existencia de decisiones automatizadas, como la elaboración de perfiles, y sus posibles implicaciones para el interesado.

Importancia del Artículo 13

Este artículo es fundamental para garantizar que las personas estén informadas sobre el uso de sus datos personales. Promueve la transparencia en las actividades de los responsables del tratamiento y refuerza el respeto por los derechos fundamentales de los individuos.

Este enfoque no solo cumple con las normativas legales, sino que también fomenta la confianza de los usuarios en las organizaciones que manejan sus datos.

IMPORTANTE

La falta de información al interesado sobre el tratamiento de sus datos personales, conforme a lo dispuesto en el RGPD y LOPDGD, supone una infracción muy grave.

La entrada Transparencia y Derechos en el RGPD se publicó primero en Adaptación RGPD.

El Reglamento General de Protección de datos a lo largo de su articulado garantiza esta protección y lo hace sobre las siguientes bases:

1. Facilitar la libre circulación de datos personales dentro de la Unión y la transferencia a terceros países, garantizando para ello un elevado nivel de protección de datos personales.
2. Generar confianza a la persona que permita a la economía digital desarrollarse en el mercado interior. Será necesario por lo tanto crear un marco legal sólido y coherente en la Unión Europea.
3. Se debe garantizar, además, con las herramientas adecuadas, que las personas físicas tengan un control sobre sus datos personales.

IMPORTANTE

Es necesario encontrar un equilibrio ente la libre circulación de datos personales y la protección de la privacidad para disfrutar de los beneficios de la tecnología.

La entrada El RGPD garantía de privacidad en el uso de datos personales (II) se publicó primero en Adaptación RGPD.

1. Conoce tus responsabilidades

El primer paso para adaptarse a la RGPD es entender tus responsabilidades como empresa. La RGPD establece que todas las empresas que procesan datos personales deben cumplir con una serie de principios, incluyendo la transparencia, la legalidad, la minimización de datos y la seguridad. Además, la RGPD establece que las empresas deben obtener el consentimiento explícito de los ciudadanos para procesar sus datos personales.

2. Realiza una auditoría de tus datos

Una vez que conozcas tus responsabilidades, es importante realizar una auditoría de los datos que procesas. Esto te permitirá conocer qué datos personales de los ciudadanos europeos estás procesando y cómo los estás utilizando. Además, esta auditoría te ayudará a identificar cualquier brecha de seguridad o vulnerabilidad en tus sistemas que pueda poner en riesgo los datos personales de los ciudadanos.

3. Implementa medidas de seguridad

Después de realizar una auditoría de tus datos, es importante implementar medidas de seguridad para proteger los datos personales de los ciudadanos. Esto puede incluir medidas técnicas, como el cifrado de datos y la implementación de firewalls, así como medidas organizativas, como la capacitación del personal sobre la protección de datos.

4. Actualiza tus políticas de privacidad

También es importante actualizar tus políticas de privacidad para cumplir con los requisitos de transparencia establecidos por la RGPD. Esto incluye proporcionar información clara y detallada sobre cómo se procesan los datos personales, quién tiene acceso a ellos y cómo se utilizan.

5. Obtén el consentimiento explícito de los ciudadanos

La RGPD establece que las empresas deben obtener el consentimiento explícito de los ciudadanos antes de procesar sus datos personales. Esto significa que debes proporcionar información clara y detallada sobre cómo se procesan los datos y obtener el consentimiento activo de los ciudadanos. Además, los ciudadanos tienen derecho a retirar su consentimiento en cualquier momento.

6. Designa un delegado de protección de datos

La RGPD también establece que algunas empresas deben designar un delegado de protección de datos (DPO) para supervisar la protección de datos en la empresa. El DPO debe tener conocimientos especializados en protección de datos y debe ser independiente en el desempeño de sus funciones.

La RGPD establece que algunas empresas deben designar un delegado de Protección de Datos (DPO) o responsable de protección de datos. Esto incluye:

1. Autoridades públicas y organismos públicos que realicen actividades de tratamiento, excepto los tribunales que actúen en ejercicio de su función judicial.
2. Empresas cuyas actividades principales consisten en el tratamiento a gran escala de categorías especiales de datos personales o datos personales relacionados con condenas penales y delitos.
3. Empresas que realicen un seguimiento habitual y sistemático de los ciudadanos a gran escala, como perfiles en línea o publicidad en línea.

Es importante destacar que incluso si su empresa no está obligada a designar un DPO según la RGPD, es una buena práctica hacerlo. Un DPO puede ayudar a su empresa a garantizar el cumplimiento de la RGPD y proteger los datos personales de los ciudadanos. Además, tener un DPO puede mejorar la confianza de los clientes en su empresa y mejorar su reputación en el mercado.

7. Prepara un plan de respuesta a incidentes

Finalmente, es importante preparar un plan de respuesta a incidentes para estar preparado en caso de que se produzca una brecha de seguridad o violación de datos. Esto incluye identificar los riesgos potenciales, establecer un protocolo de notificación y establecer un equipo de respuesta de emergencia para manejar cualquier situación que pueda surgir.

En resumen, la adaptación a la RGPD requiere que las empresas comprendan sus responsabilidades y realicen una auditoría de sus datos, implementen medidas de seguridad, actualicen sus políticas de privacidad, obtengan el consentimiento explícito de los ciudadanos, designen un DPO y preparen un plan de respuesta a incidentes. Al seguir estas pautas, las empresas pueden cumplir con las normas de protección de datos de la RGPD y garantizar que los datos personales de los ciudadanos estén protegidos.

Preguntas Frecuentes (FAQs)

1. ¿Qué sucede si mi empresa no cumple con las normas de protección de datos de la RGPD? Si una empresa no cumple con las normas de protección de datos de la RGPD, puede enfrentar multas y sanciones financieras significativas.
2. ¿La RGPD solo se aplica a empresas con sede en la Unión Europea? No, la RGPD se aplica a todas las empresas que procesan datos personales de ciudadanos de la Unión Europea, independientemente de su ubicación.
3. ¿Cómo puedo asegurarme de obtener el consentimiento explícito de los ciudadanos? Debe proporcionar información clara y detallada sobre cómo se procesan los datos personales y obtener el consentimiento activo de los ciudadanos. Además, los ciudadanos tienen derecho a retirar su consentimiento en cualquier momento.
4. ¿Qué es un delegado de protección de datos (DPO)? Un DPO es una persona designada por la empresa para supervisar la protección de datos y garantizar que la empresa cumpla con las normas de la RGPD. El DPO debe tener conocimientos especializados en protección de datos y debe ser independiente en el desempeño de sus funciones.
5. ¿Cómo puedo preparar un plan de respuesta a incidentes? Debe identificar los riesgos potenciales, establecer un protocolo de notificación y establecer un equipo de respuesta de emergencia para manejar cualquier situación que pueda surgir en caso de una brecha de seguridad o violación de datos.

6. ¿Es necesario actualizar las políticas de privacidad para cumplir con la RGPD? Sí, las políticas de privacidad deben actualizarse para incluir información clara y detallada sobre cómo se procesan los datos personales, los derechos de los ciudadanos en relación con sus datos y cómo pueden ejercer esos derechos.
7. ¿La RGPD se aplica a todos los tipos de datos personales? Sí, la RGPD se aplica a todos los tipos de datos personales, incluidos nombres, direcciones, información de identificación, información de salud, información financiera, etc.
8. ¿Puedo transferir datos personales fuera de la Unión Europea? Sí, pero solo si se cumplen ciertas condiciones. Debe garantizar que el país fuera de la UE tenga un nivel adecuado de protección de datos o establecer medidas de seguridad adicionales para proteger los datos durante la transferencia.
9. ¿Qué debo hacer si se produce una violación de datos? Debe notificar a las autoridades competentes de protección de datos en un plazo de 72 horas y, en algunos casos, también debe notificar a los ciudadanos afectados. Además, debe tomar medidas para mitigar el impacto de la violación de datos y prevenir futuras violaciones.
10. ¿Cuál es la importancia de cumplir con la RGPD? El cumplimiento de la RGPD es fundamental para proteger los datos personales de los ciudadanos y mantener la confianza de los clientes en la empresa. Además, el incumplimiento de la RGPD puede resultar en multas y sanciones financieras significativas.

En resumen, la RGPD es una regulación importante que establece los derechos de los ciudadanos en relación con sus datos personales y las responsabilidades de las empresas que procesan esos datos. Si su empresa opera en la Unión Europea o procesa datos de ciudadanos europeos, es fundamental que cumpla con la RGPD y adopte medidas para proteger los datos personales de los clientes. Esto no solo protege los derechos de los ciudadanos, sino que también puede mejorar la reputación y la confianza de su empresa en el mercado.

Además, el incumplimiento de la RGPD puede resultar en sanciones financieras significativas y dañar la reputación de su empresa. Por lo tanto, es importante tomarse en serio la protección de datos personales y dedicar tiempo y recursos para garantizar el cumplimiento de la RGPD.

En conclusión, la RGPD es una regulación importante que busca proteger los datos personales de los ciudadanos y establecer responsabilidades claras para las empresas que procesan esos datos. Si su empresa opera en la Unión Europea o procesa datos de ciudadanos europeos, es esencial que cumpla con la RGPD y adopte medidas para proteger los datos personales de los clientes. El cumplimiento de la RGPD no solo es una obligación legal, sino que también puede mejorar la reputación y la confianza de su empresa en el mercado.

La entrada ¿Cómo Cumplir con la Normativa de Protección de Datos en España? se publicó primero en Adaptación RGPD.

¿Quiénes pueden solicitar ese derecho al testamento digital? En el artículo 96 de la LOPDGDD se regula el acceso a los contenidos digitales gestionados por los prestadores de servicios de la sociedad de la información sobre personas que han fallecido:

• Las personas que están vinculadas al fallecido por razones familiares o, de hecho, así como sus herederos, se podrán dirigir a los prestadores de servicios de la sociedad de la información y solicitar el acceso a ese contenido e impartir instrucciones oportunas sobre utilización, destino o supresión. En el caso de que el fallecido hubiese prohibido expresamente ese acceso, o bien una ley lo prohibiera, no se podría solicitar ese derecho de acceso.
• El albacea testamentario y la persona o institución que se hubiese designado expresamente podrá solicitar el acceso con las instrucciones dadas por el fallecido en el mandato. También podrán solicitarlo de oficio, los representantes legales y en su caso el Ministerio Fiscal.

IMPORTANTE

El responsable del servicio al que se la comunique la solicitud de eliminación de un perfil deberá proceder sin dilación.

La entrada Garantía de los derechos digitales: derecho al testamento digital (III) se publicó primero en Adaptación RGPD.

En este boletín y los siguientes analizaremos las recomendaciones más relevantes detalladas en este documento. La AEPD analizó diferentes centros públicos y privados que prestan servicios sociosanitarios con atención directa a usuarios, siendo de ámbito estatal, regional y local y de diferentes tamaños. A lo largo del documento se recomiendan acciones de mejora.

En el apartado de “Historia sociosanitaria y documentación”, tras analizar la situación del tratamiento de los historiales sociosanitarios por parte de los centros auditados, se recomiendan las siguientes acciones:

• evitar la dispersión de documentos por diferentes departamentos, copias duplicadas, etc.: supone un riesgo en la integridad de la documentación al no poder realizar una actualización de la información adecuada.
• digitalización total de la historia sociosanitaria del centro: lo que permite acceder a ellas según las necesidades de los diferentes profesionales.
• incluir registro de acceso: cuando la digitalización no fuera posible, se instaurará un procedimiento de gestión de la documentación en papel, que incluya un registro de los accesos, para conocer en todo momento la trazabilidad de los datos personales.

IMPORTANTE

Crear procedimientos seguros para el traslado de la documentación sociosanitaria y aplicar una política de mesas limpias para evitar un acceso no autorizado de terceras personas.

La entrada Plan de Inspección de Oficio de la Atención Sociosanitaria (I) Historia sociosanitaria y documentación se publicó primero en Adaptación RGPD.

La AEPD inicia el procedimiento sancionador por la reclamación presentada por una persona al fijarse que la página web visitada no tenía una política de privacidad adecuada a la normativa de protección de datos.

En concreto, la afectada indica que al querer enviar una reclamación al titular de la web no había modo alguno de realizarlo, puesto que no existía teléfono y el email facilitado no funcionaba correctamente ya que devolvía los correos enviados. La reclamante facilita en su escrito de reclamación una copia a la AEPD de los textos legales que se encuentran en la página. Estos textos hacían referencia a la antigua ley de protección de datos.

Los formularios de la página web sancionada incluían la recogida de datos personales incluidos en su caso datos bancarios.

La AEPD determina que no se proporciona una información clara y adecuada al usuario. Además, se tienen en cuenta como agravantes, la negligencia en la infracción, la forma en que la AEPD conoce la infracción a través de una reclamación y por ultimo la falta de cooperación con la AEPD para poner remedio a la situación. La multa ascendió a un total de 10.000 euros.

IMPORTANTE

Las páginas web que contengan formularios deben incluir políticas de privacidad claras, concisas y conforme al RGPD.

La entrada Página web sancionada con 10.000 euros por no incluir la política de privacidad RGPD se publicó primero en Adaptación RGPD.

En un primer momento, cuando el reclamante recibió el primer e-mail con todas las direcciones de correo electrónico de los clientes de YBL ABOGADOS, solicitó a la entidad que suprimieran sus datos para el envío de publicidad, sobre esa petición, no recibió contestación alguna, sino que la entidad continuó realizando campañas publicitarias.

En la resolución se hace constar que, en todos los correos que la entidad envió al reclamante con la finalidad de informar de sus servicios, se hizo sin tomar las medidas adecuadas de seguridad e incumpliendo, uno de los principios fundamentales que se regulan en el RGPD, el deber de confidencialidad. Este principio supone que el responsable de los datos debe garantizar al interesado que se realicen filtraciones de los datos no consentidas por ellos.

La infracción cometida por SHOP MACOYN, S.L. (YBL ABOGADOS), está tipificada en el art.83.5 del RGPD y es considerada muy grave a efectos de prescripción del art. 72.1.a de la LOPDGDD. La multa ascendió a 5.000 euros. Se tuvieron en cuenta como atenuantes, que solo existió un reclamante, no hubo una actitud dolosa y la entidad reclamada era una pequeña empresa.

IMPORTANTE

El deber de confidencialidad no solamente incumbe al responsable y al encargado del tratamiento si no a todo aquel que interviene en cualquier fase del tratamiento.

La entrada Sanción por enviar e-mails comerciales sin copia oculta se publicó primero en Adaptación RGPD.

Son muchas las preguntas que como responsables del tratamiento de los datos nos surgen a raíz de esta sentencia. Por ejemplo, ¿puedo seguir utilizando los servicios en la nube facilitados por proveedores americanos? ¿qué debemos tener en cuenta para que éstas cumplan la normativa europea?

Las transferencias internacionales podrán realizarse bajo la celebración de las Cláusulas contractuales tipo de la Decisión 2010/87, que regulan los contratos de acceso a datos por cuenta de terceros ya que éstas no han sido invalidadas por el TJUE. En cuanto a la utilización de estas Cláusulas, el CEPD está estudiando incorporar medidas adicionales para garantizar un nivel de protección adecuado. Mientras tanto, se deja en manos del responsable (el exportador de datos) la valoración, entre otros requisitos, las medidas de seguridad aportadas por el proveedor de servicios.

El CEPD insta a utilizar mecanismos de excepción del art. 49RGPD, por ejemplo, el consentimiento del interesado. Este debe ser explícito, específico para esa transferencia e informado de los riesgos de la falta de protección adecuada.

IMPORTANTE

En el apartado de Transferencias internacionales de la AEPD se puede encontrar toda la información relativa a la supresión del Privacy-Shield.

La entrada ¿Cuáles son las consecuencias de la cancelación del Privacy-Shield? se publicó primero en Adaptación RGPD.

En el art.4 del RGPD se define al responsable del tratamiento, como aquella persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento. Por otro lado, el encargado es aquella persona física o jurídica, autoridad pública, servicio u otro organismo que trata datos personales siguiendo las instrucciones del responsable.

En la LOPDGDD existe un apartado, denominado “disposiciones aplicables a tratamientos concretos”, en el cual, la normativa indica cómo tienen que actuar el responsable y encargado en relación con los datos personales y esos tratamientos.

En sucesivos boletines los iremos desarrollando:

1º Tratamiento datos de contacto de empresarios.

2º Sistemas de información crediticia.

3º Videovigilancia.

4º Sistemas de exclusión publicitaria.

5º Información de denuncias internas.

IMPORTANTE

Es obligatorio que el responsable y encargado de tratamiento tengan bien cumplimentado y actualizado el registro de actividades del tratamiento.

La entrada Responsable del tratamiento y encargado del tratamiento se publicó primero en Adaptación RGPD.

¿Qué significa entonces, el concepto por defecto? El responsable en este caso, debe garantizar que los datos se traten con la mayor protección de la intimidad posible. Es decir, solamente se tratarán los datos necesarios para la finalidad del tratamiento, el plazo de conservación será el mínimo imprescindible y la accesibilidad a esos datos será limitada.

¿Y cómo puede el responsable aplicar estos principios y demostrar además su cumplimiento? Lo puede hacer mediante la realización de la Evaluación de Impacto de protección de datos regulada en el art.35 del RGPD. En determinados supuestos la evaluación de impacto resultará obligatoria, en particular, cuando se vayan a utilizar nuevas tecnologías que entrañen un alto riesgo para los derechos y libertades de los interesados.

IMPORTANTE

En este listado publicado por la AEPD se recogen los tratamientos que requieren una evaluación de impacto.

La entrada La protección de datos desde el diseño y por defecto se publicó primero en Adaptación RGPD.