Éste es un post de Marina Brocca, autora del blog marinabrocca.com. Marina es también especialista en protección de datos y asesora a empresas en el marco legal del marketing y social media, además de ponente y formadora.
El 25 de mayo del 2018 entró en vigor la nueva Ley de Protección de Datos europea, el Reglamento General de Protección de Datos o simplemente RGPD y el 6 de diciembre, la nueva LOPD española. Si tienes un simple blog o una empresa pequeña, quizás pienses que esto no va contigo, un grave error.
Imagen de Pixabay - © iAmMrRob
Es precisamente aquí dónde este reglamento entra de lleno, porque la materia prima de tu trabajo son precisamente los datos personales de tus suscriptores, clientes, potenciales clientes, alumnos, afiliados, etc.
¿Qué pasaría si un restaurante no tuviera conocimientos sobre normas sanitarias y manipulación de alimentos? ¿Y crees que es posible conducir con seguridad sin conocer las normas de circulación?
¿Crees que se puede gestionar información personal de otros sin conocer las normas que regulan su tratamiento?
Por si esto fuera poco, uno de los puntos más controvertidos y mediáticos han sido precisamente las grandes multas a las que se exponen quienes no cumplan con ella.
Si no sabes gestionar esa información conforme a las reglas y normas específicas establecidas, toda tu estrategia se tambalea y estás poniendo tu negocio en riesgo.
¿Tengo tu atención ahora?
¿Qué encontrarás aquí?
- ¿Qué son el reglamento y la ley de protección de datos y por qué existen?
- ¿Qué diferencia hay entre LOPD y RGPD?
- El derecho fundamental que la protección de datos persigue garantizar
- El nuevo reglamento europeo de protección de datos del 2018 (RGPD)
- El reglamento y la nueva Ley Orgánica de Protección de Datos del 2018 en España
- La Agencia Española de Protección de Datos. Inscripción de ficheros
- ¿A quién obliga la ley de protección de datos?
- Qué necesitas hacer para cumplir con la nueva LOPD
- Crear tu registro de actividades del tratamiento (RAT)
- Establecer protocolos de ejercicios de derecho, modelos de ejercicio y modelos de respuesta
- Establecer protocolos de declaración de brechas
- Contratos de confidencialidad y obligaciones RGPD para trabajadores y colaboradores
- Contratos de encargo de tratamiento con terceros
- Cláusulas específicas de información de uso obligatorio a incluir en todos los formularios
- Adaptar tu página web a todas las exigencias del RGPD y la nueva LOPD
- Principios y conceptos básicos de la Ley de Protección de datos y RGPD
- ¿Qué es un dato personal?
- ¿Qué es (era) un fichero de datos personales?
- El documento de seguridad en el RGPD
- La figura del responsable del tratamiento de datos
- La figura del encargado del tratamiento de datos
- Los datos especialmente protegidos en la LOPD y RGPD
- Las transferencias internacionales de datos en el RGPD
- Novedades y adaptación al reglamento europeo y la Ley de protección de datos del 2018
- Las sanciones de la Ley de Protección de datos de carácter personal
- Modelos de documentos útiles para la Ley de Protección de datos del 2018
- Conclusiones y consejos finales
De todos modos, tampoco te alarmes, no es lo que pretendo; simplemente pretendo concienciarte de que se trata de un tema serio. Pero la buena noticia es que, si le dedicas un poco de atención y voluntad, no es tan complicado adaptarse.
Y precisamente para facilitártelo al máximo, he dedicado todas las navidades a crear esta mega-guía en la que te guiaré en todos los puntos importantes para orientarte y prepararte para afrontar este reto que supone el nuevo RGPD y que “no te pille el toro”.
¿Qué son el reglamento y la ley de protección de datos y por qué existen?
Curiosamente, muchos profesionales siguen sin tener conocimientos sobre las normativas en materia de protección de datos, pese a que gestionan miles de leads (prospectos), contactos, bases de datos,… en definitiva, listas plagadas de datos personales.
- ¿Sabes si puedes utilizar datos de seguidores de redes sociales para mandar información sobre tus servicios?
- ¿Sabes que debes informar a tus suscriptores antes de requerirles datos?
- ¿Conoces qué derechos tienen las personas que te confían sus datos y cómo puedes permitir que puedan ejercerlos?
- ¿Sabes por cuánto tiempo puedes conservar esos datos?
- ¿Tienes idea de si tu lista está suficientemente legitimada para que puedas trabajar con ella sin jugarte el tipo?
- ¿Conoces los requisitos mínimos para realizar una campaña de email marketing adecuada al RGPD?
Podría seguir preguntando y lo cierto es que serían pocos lo que estarían en condiciones de responder correctamente a todas estas preguntas
La Ley de protección de datos y el reglamento, existen justamente por esta razón: marcan unas normas muy específicas para que gestionemos esos datos de forma segura, respetuosa con los derechos y garantista.
Por otra parte, no se trata de cumplir como una exigencia legal, se trata de asumir que la información es el activo más valioso de nuestro negocio y que de su protección depende nuestra supervivencia en un mundo digital.
Se trata básicamente de generar entornos que generen confianza, en donde la información personal sea tratada lícitamente y cada persona sea consciente de quiénes tratan sus datos, con qué finalidades, con quienes los comparten y poder asumir decisiones al respecto.
¿Qué diferencia hay entre LOPD y RGPD?
Cuando hablamos de protección de datos, son muchos los conceptos que se mezclan.
Has escuchado muchas veces las siglas LOPD, que aluden a la Ley Orgánica de Protección de datos de carácter personal, pero este año te han asaltado otras que aparecieron hasta en el Sálvame: el RGPD, el Reglamento europeo de Protección de datos.
Para que no te sigas liando con las siglas, has de saber que la LOPD es una Ley de carácter nacional; por su parte, el RGPD es una regulación europea.
La naturaleza del Reglamento es que es de aplicación directa.
¿Esto qué significa? Que no necesita ninguna ley para implementarlo, tan solo necesita de un “aterrizaje local”.
Por esa razón, la versión española del RGPD ya ha estrenado nuevas siglas, “LOPDGDD”, la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, aprobada el 22 de noviembre de 2018 por el Senado después de un largo proceso de gestación y debate y publicada el 6 de diciembre en el BOE.
Como lo de las siglas se ha complicado bastante, yo he decidido llamarla llanamente “la nueva LOPD” que tiene como objetivo adaptar el RGPD al ámbito nacional, ya que en ningún caso puede contravenir ninguno de sus principios.
Solo puede regular aspectos específicos en los que cada país miembro puede pronunciarse, por ejemplo: la edad en la que establece la mayoría de edad desde el punto de vista de la protección de datos.
El derecho fundamental que la protección de datos persigue garantizar
El derecho fundamental que la protección de datos persigue garantizar y proteger es el tratamiento de los datos personales y los derechos fundamentales de las personas físicas; especialmente, el derecho al honor e intimidad personal y familiar.
Como dato curioso quiero contarte que España fue pionera en el reconocimiento del derecho fundamental a la protección de datos personales cuando dispuso en la Constitución Española que “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.
Recuerda que los datos personales afectan a nuestra intimidad, nuestra privacidad y a nuestra seguridad; por esa razón, se exige a todos los que los que tratan datos personales de terceros, que cumplan con una serie de requisitos que garanticen que estos tratamientos no vulneren derechos y libertades.
Por otra parte, como decía al principio, se otorga a los ciudadanos la capacidad de controlar su propia información personal para que puedan tomar decisiones sobre ésta, como establecer quién puede utilizar su información personal, con qué finalidad, hasta cuándo y pudiendo acceder, limitar, rectificar u oponerse a esa posesión o uso.
Es el propio ciudadano quien tiene la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como decidir sobre las finalidades con las que puede ser tratada su información y con quién puede ser compartida.
Ahora quiero que me acompañes en la siguiente reflexión: vivimos en una sociedad digital, somos ciudadanos 2.0, en alusión a esta casa; no obstante, en lo relativo a la protección de datos, muchas veces actuamos como neandertales.
Desconocemos las normas mínimas para un tratamiento seguro y los derechos fundamentales que deberíamos respetar antes de requerir datos a otros. Es posible que sea un juicio un poco duro, pero no menos cierto.
El nuevo reglamento europeo de protección de datos del 2018 (RGPD)
Hay un antes y un después del RGPD; para esta servidora, el RGPD marcó el inicio de una nueva conciencia colectiva en materia de protección de datos.
La avalancha de correos que recibimos todos para regularizar el consentimiento, nos hizo percatarnos de la cantidad de empresas que tenían nuestros datos sin que fuéramos conscientes de esa circunstancia.
El principal objetivo del RGPD a mi juicio era exactamente ese, el poder tomar conciencia de todas las empresas que almacenan nuestros datos y poder tomar decisiones informadas sobre esto.
También hemos sido más conscientes de la tomadura de pelo de las empresas y sus políticas de privacidad escritas en arameo.
El RGPD impuso de forma rotunda la claridad y que se escriban para personas normales, no para juristas. Un paso adelante hacia la honestidad en la gestión de la información.
Obtén tu eBook aquí
Apúntate a nuestra Zona VIP y descárgate tu eBook ya
Es 100% gratis 🙂
En mayo se aprobó en el parlamento europeo, el reglamento europeo de protección de datos conocido como RGPD. Ríos de tinta corrieron por las redes y las bandejas de correo electrónico se vieron desbordadas de correos revalidando el consentimiento, informando de cambios, haciendo el paripé también a cuenta del RGPD.
Lo que debes saber es que el RGPD es el marco común de la comunidad europea en lo que respecta a la defensa de los datos personales. Antes, cada país tenía su propia regulación en esta materia, algo que no tenía demasiado sentido en un mundo globalizado en donde la información personal viaja constantemente sin pasaporte.
El nuevo reglamento europeo de protección de datos define derechos y obligaciones comunes a todos los estados miembros y a todos los ciudadanos europeos.
Su objetivo es proteger el tratamiento de los datos personales de ciudadanos europeos y esto ha obligado a los procesadores de datos personales a entrar dentro del marco del RGPD, ya que este reglamento obliga a adecuarse a todo el que trate datos personales de ciudadanos europeos, resida o no en la unión europea.
EL RGPD nace con la misión de fortalecer los derechos fundamentales de los ciudadanos en la era digital y armoniza también las obligaciones de las empresas en un mercado único digital.
He de señalarte que el objetivo de la normativa de protección de datos es que cada persona tenga control sobre el uso de sus datos personales; al tratarse de un derecho fundamental, está sujeto al cumplimiento de una serie de principios que todos los que tratamos datos debemos acatar.
Gracias al RGPD, los principales mercaderes de la información personal, como Google o Facebook, han tenido que implantar cambios profundos en sus políticas de privacidad y habilitar nuevos mecanismos de control para que los ciudadanos europeos podamos ejercer nuestros derechos.
Esto era algo impensable antes del RGPD; estas empresas se escudaban en países con regulaciones más laxas y convenientes. Ahora, como si se van a Tombuctú, deberán acatar el RGPD siempre mientras traten datos de ciudadanos europeos.
El reglamento y la nueva Ley Orgánica de Protección de Datos del 2018 en España
Como te explicaba al principio, en noviembre se aprobó la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, es decir, la nueva LOPD. En LEXblogger hemos preparado un extenso post sobre cómo adaptar tu negocio a la nueva LOPD 2019.
Cómo principal característica de esta nueva LOPD y tal como anticipa su nombre, se otorga un gran protagonismo a los derechos digitales de los españoles.
Recuerda que nuestra anterior LOPD existía desde el 1999; el mundo ha sufrido una transformación digital colosal, se han multiplicado los sistemas de procesamiento de información y esto necesitaba urgentemente una regulación que recogiera esta transformación y que pudiera dar un marco legal funcional al mundo digital.
En la nueva LOPD se apuesta por una internet segura e inclusiva, con garantía de acceso universal.
Una de las curiosidades de esta nueva LOPD es el derecho a la a la desconexión de la vida laboral, ya veremos si cuaja o no.
Para los que trabajamos en entornos digitales, se reducen los requisitos informativos exigidos por el RGPD en una primera capa, de 5 puntos se reducen a 3, es decir, habría que informar en una primera capa (en un primer momento) del nombre del responsable del tratamiento, su finalidad y derechos del usuario.
La Agencia Española de Protección de Datos. Inscripción de ficheros
En muchos casos, se ha reducido la adaptación a la ley de protección de datos a la inscripción de ficheros, como si un trámite garantizara que hacemos un uso correcto y seguro de la información personal de otro; así, por ciencia infusa, ”yo ya inscribí los ficheros, lo tengo todo resuelto”.
He escuchado esa frase miles de veces; tristemente, la sigo escuchando.
Verás, inscribir ficheros en la Agencia Española de Protección de datos era uno de los requisitos de la antigua LOPD que quedó extinguido con el RGPD, justamente porque creaba la falsa creencia de cumplimiento cuando se trataba de una mera formalidad.
Ahora ya no es posible declarar ningún fichero. De hecho, desaparece la palabra “ficheros”, ahora se habla de “tratamientos” y en lugar de los ficheros, deberás llevar a cabo un “registro de actividades de tratamientos (RAT)” en donde se describan los tratamientos que realizas y las medidas de seguridad que aplicas en cada caso. Luego veremos en qué consiste el RAT.
¿A quién obliga la ley de protección de datos?
Puedes pensar que, si eres un blogger o propietario de una pequeña web, no te afectan los temas relacionados con la protección de datos. Pero esto no es así.
La filosofía general del Reglamento es que, por defecto, cualquiera persona u organización que realice un tratamiento total o parcialmente automatizado de datos personales entra dentro del ámbito de aplicación de esta ley.
Lo que hace el Reglamento es establecer excepciones a esta obligación de cumplimiento, que puedes en el artículo 2 sobre el ámbito de aplicación material del Reglamento, donde la excepción más importante son las “actividades exclusivamente personales o domésticas”.
Es decir, la agenda de contactos personales de tu teléfono se puede considerar no sujeta al RGPD, pero una simple sección de comentarios de un blog (que recoge nombre y email del comentarista) sí lo estaría (salvo que el blog se pudiese considerar de uso exclusivamente personal, cosa que parece difícil si se trata de un blog público).
Vistos estos principios generales, hilemos un poco más fino con la aplicación al ámbito profesional.
¿Qué empresas que están obligadas por la Ley de Protección de datos?
Deben cumplir con la Ley de protección de datos todas las entidades públicas y privadas que utilicen cualquier dato personal en el desarrollo de sus actividades.
Es decir, si en tu trabajo diario tratas datos personales de terceros, por ejemplo: datos de proveedores, datos de clientes, datos de contactos de tu web, datos de suscriptores, datos de empleados, alumnos, pacientes, datos de navegación de usuario que recabas mediante cookies analíticas, etc., debes cumplir con la Ley de protección de datos, sin excepciones.
Todas las empresas que traten datos personales de ciudadanos europeos, independientemente de su tamaño, están obligadas a cumplir con la Ley de protección de datos europea, el RGPD.
Da igual que seas autónomo o empresa, tengas o no empleados, pertenezcas al sector público o privado, si eres una ONGs o una entidad sin ánimo de lucro; debes cumplir las exigencias de la ley de protección de datos y ofrecer las garantías suficientes a todos los que te facilitan sus datos.
Como decía anteriormente, si tu negocio está radicado fuera de la Unión Europea, deberás cumplir también siempre que trates datos de ciudadanos europeos.
La Ley de Protección de datos del 2018 para PYMES y autónomos
En protección de datos, el tamaño no importa. Los pequeños profesionales autónomos y por supuesto, las PYMES, también están sujetos a la Ley.
Está claro que, a menores tratamientos de datos, menores exigencias; las medidas de seguridad dependerán esencialmente del nivel de riesgo que entrañan esos tratamientos. No es lo mismo tratar datos de salud o de antecedentes penales, que un simple dato de contacto.
Es decir, no importa tanto el tamaño como el tipo de tratamientos que se lleven a cabo. Una gran empresa, con miles de empleados, puede tener requisitos de medidas de seguridad muy simples si trata, por ejemplo, solo datos personales de sus propios empleados y datos básicos de sus clientes.
Sin embargo, imagina ahora a un autónomo sin empleados que se dedica al big data y que maneja datos personales de millones de personas para realizar perfiles de comportamiento por cuenta de las empresas que le solicitan sus servicios.
Este autónomo deberá realizar una implantación verdaderamente exhaustiva de un sistema de protección de datos muy eficiente que garantice un tratamiento seguro y legítimo de toda esa información.
Lo mismo le ocurrirá a una persona que tenga una agencia matrimonial y que requiere datos completos de los candidatos para crear un perfil: va a pedir información académica, personal, sentimental económica, sexual, religiosa.
Esa información se considera muy sensible. la puede liar “muy gorda” si no tiene implantado un sistema de trabajo con un respeto riguroso a las normas de protección de datos.
El RGPD tienen un principio básico que es el de “responsabilidad activa”. Es decir, busca una actitud muy proactiva en lo referente a la protección de datos y que antes de llevar a cabo ningún tratamiento, analices a conciencia el riesgo que puede entrañar ese tratamiento desde el punto de vista de la privacidad de esa persona.
En base a los resultados debes realizar los ajustes necesarios y aplicar las medidas de seguridad necesarias para mitigar ese riesgo.
En cualquier caso, nos centramos en los inconvenientes y pocas veces analizamos las ventajas de una adecuación legal al RGPD; personalmente, yo me centro en estas tres:

Éstas son las tres ventajas más destacadas de una adaptación legal al RGPD.
Qué necesitas hacer para cumplir con la nueva LOPD
Hay una serie de trabajos y documentación mínima que tiene que realizar cualquier PYME o autónomo que trate datos personales, para adecuarse al RGPD y a la nueva LOPD.
Veamos cuáles son:
Crear tu registro de actividades del tratamiento (RAT)
Aunque el término suena rimbombante, éste es un simple documento interno que defina todos los tratamientos que realizas y las medidas de seguridad que aplicas.
Es un documento obligatorio y puede ser requerido por la autoridad de control (la agencia de protección de datos) en cualquier momento. Deberá estar actualizado en todo momento.
Más abajo te remito a modelos de plantillas que puedes usar para crear el tuyo.
Establecer protocolos de ejercicios de derecho, modelos de ejercicio y modelos de respuesta
Esto es algo básico para responder a los derechos que tienen los ciudadanos sobre su información personal, derechos a acceder, rectificar, limitar, oponerse o suprimir la información que le pertenece.
¿Podrías atender eficazmente a estos derechos si alguien te lo requiriera ahora mismo?
Es algo vital que sepas hacerlo, hay un plazo legal para dar respuesta y la negativa a responder es una infracción grave.
Establecer protocolos de declaración de brechas
El RGPD exige que siempre que tengas conocimiento de una brecha de seguridad que exponga información personal de otros tratada bajo tu responsabilidad.
Debes poner en conocimiento de esa brecha a la agencia de protección de datos y a los propios afectados; es decir, debes comunicar a esas personas que sus datos han sufrido un ataque para que tomen las medidas necesarias (cambiar contraseñas, etc.).
Para hacer todo esto bien, debes contar con modelos para notificar oficialmente a ambos, autoridad y afectados.
Contratos de confidencialidad y obligaciones RGPD para trabajadores y colaboradores
Una cuestión básica es informar a todas las personas que tienen acceso a información de terceros sobre sus obligaciones y responsabilidad respecto al tratamiento de datos que realizan.
Se trata de crear una cultura de protección de datos en tu organización, porque de poco servirán las mejores medidas de seguridad si tus empleados no las conocen.
Obtén tu eBook aquí
Apúntate a nuestra Zona VIP y descárgate tu eBook ya
Es 100% gratis 🙂
Están a la orden del día infracciones graves como utilizar datos personales de una base de datos con fines distintos a los informados u organizar una campaña de captación sin saber cuáles son requisitos legales para ello (es decir, informando y requiriendo el consentimiento previo).
Te sorprendería saber la cantidad de sanciones que ha impuesto la agencia de protección de datos por negligencias de empleados que no habían sido informados al respecto.
Aquí profundizo un poco más en este tema:
Contratos de encargo de tratamiento con terceros
Otro aspecto clave en el cumplimiento es que regules las relaciones con los encargados de tratamientos, es decir, personas o autónomos con los que compartes información personal del que eres responsable; por ejemplo, tu gestoría, tu webmaster, la empresa de mensajería, etc.
El RGPD exige que elijas solo a aquellos que ofrezcan las máximas garantías de tratamiento y, para ello, deben firmar un contrato que exprese los límites en el tratamiento y los deberes y obligaciones que tienen respecto a esos datos.
También tendrás que pedirles que acrediten cumplimiento; puedes mandarles un formulario para evaluarlos o pedirles pruebas específicas, como el RAT, capturas, etc.
A diferencia de la antigua LOPD, el RGPD exige mayor diligencia en la contratación de colaboradores y la exigencia de garantías; antes valía solo con el contrato.
Cláusulas específicas de información de uso obligatorio a incluir en todos los formularios
Debes incluir estas cláusulas en los lugares de captura de datos personales, en función de la finalidad de la información recogida.
La transparencia informativa es una pieza clave en el RGPD; se exigen nuevos mecanismos de información previa al tratamiento, esto te obligará a revisar todos tus sistemas de captura, tanto online como offline y asegurarte que informas correctamente, es decir, en una primera y segunda “capa” (diferentes momentos en la recogida).
También deberás garantizar que el consentimiento está presente en los casos en los que es preciso, por ejemplo, en los tratamientos de datos de personas en donde no exista otra base legal que legitime el tratamiento, como pueden ser los suscriptores o leads que recabes en tus campañas.
Adaptar tu página web a todas las exigencias del RGPD y la nueva LOPD
Tu web debería disponer de algunos textos básicos:
- Política de privacidad.
- Aviso legal.
- Política de cookies.
- Primeras capas informativas en cada formulario.
Debes saber que estar adecuado a la ley de protección de datos no es hacer un trámite ni tener unos textos de “quita y pon”; requiere adquirir una cultura de protección de datos en donde la protección de datos esté presente en todas las decisiones estratégicas de tu negocio.


Éstas son las pautas que ha elaborado la Agencia Española de Protección de Datos, para adaptarse al RGPD.
Como la adaptación de una página web al RGPD y nueva LOPD es todo un tema en sí mismo, he redactado también un posts específico para ello:
Te recomiendo encarecidamente su lectura.
Principios y conceptos básicos de la Ley de Protección de datos y RGPD
Toda persona tiene derecho a protección de los datos personales que le conciernen; a partir de ahí, lo que debes saber es que no deberías tratar datos de terceros si no conoces esos derechos.
También se basa en algunos principios básicos, digamos que son las normas de circulación en el mundo de la protección de datos; estos principios son:
- Los datos personales deben ser tratados de forma lícita, leal y transparente: básicamente se trata de tratar datos con máxima honestidad, informando con absoluta transparencia sobre todo lo que afecta al tratamiento, incluyendo el responsable, la finalidad, y los derechos que le asisten.
- Los datos personales deben ser recogidos con fines determinados explícitos y legítimos: tratando los datos exclusivamente para las finalidades para las que fueron recogidos e informando y con una base legal que legitime el tratamiento, como el consentimiento explícito o la relación contractual.
- Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con el tratamiento: se trata de no requerir más información que la estrictamente necesaria para la finalidad; es de sentido común, tendemos acumular sin ser conscientes de que, a más información, mayor riesgo. Debemos ajustarnos a los principios de minimización, menos es más en protección de datos, no solicites más datos que los necesarios.
- Los datos personales deben ser exactos y estar siempre actualizados: los datos personales envejecen y se transforman constantemente; debes asegurarte de que tus bases de datos se mantienen actualizadas y que responden a la realidad.
- Los datos personales deben mantenerse de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento. ¿Sufres el síndrome de Diógenes? ¿Tiendes a acumular? Será importante que analices el ciclo de vida de cada registro y establezcas un sistema que te permita eliminarlo cuando no haya una finalidad que justifique su almacenamiento. Por ejemplo: un potencial cliente que te requiere un presupuesto hace 5 años ¿deberías mantener ese registro?; un CV de hace 3 años ¿tienen sentido almacenarlo cuando ya no está actualizada esa información y no vas a llamar nunca a ese candidato?
- Los datos personales deben ser tratados de tal manera que se garantice su seguridad: Para eso deberás realizar un análisis de riesgo que establezca las medidas de seguridad adecuadas al riesgo, aplicarlas y supervisarlas periódicamente, aplicando técnicas de cifrado de datos, controles de acceso, copias de respaldo, antivirus, etc. Todo lo necesario para garantizar la integridad, la disponibilidad y la confidencialidad de esos datos que afectan a personas.
¿Qué es un dato personal?
Se define como dato personal cualquier información relativa a una persona física identificada o identificable, eso incluye imagen, voz, información biométrica, una dirección IP, es decir, cualquier dato que nos permita identificar a alguien.
Son datos personales también:
Nombre y apellidos, domicilio, dirección de correo electrónico, DNI, datos de geolocalización, etc.
He escuchado muchas veces esto: “yo solo tengo un blog sin formularios para monetizar mediante anuncios, no recojo ningún dato personal”.
Pues sí que recoge información personal, porque las cookies publicitarias recaban datos del usuario y le “persiguen” para mostrarles anuncios vinculados a sus búsquedas; por tanto, hay un tratamiento de datos personales sujetos al RGPD y la nueva LOPD, aunque no haya ningún formulario.
¿Qué es (era) un fichero de datos personales?
Las leyes evolucionan y los conceptos también.
Hemos pasado de llevar un registro de los ficheros, que había que declarar en la Agencia de protección de datos, a que sea exigible llevar un registro de los tratamientos interno, el registro de actividades del tratamiento (RAT) del que hablaba antes.
La antigua LOPD contemplaba la expresión de ficheros y los definía como “un conjunto organizado de datos de carácter personal, independientemente de cuál sea la forma o modalidad de creación, almacenamiento, organización y acceso”.
Por ejemplo, “ficheros de recursos humanos”, “fichero de clientes”, etc. El RGPD y la nueva LOPD suprimen esta expresión y la reemplazan por la palabra “tratamiento”. Ya no se habla de “ficheros de datos personales”, sino de “tratamientos de datos personales”.
Por su parte, se denomina “tratamiento” a cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
Para que entiendas mejor la diferencia, a un solo fichero, por ejemplo, el fichero “clientes” se le pueden atribuir diferentes tratamientos, como:
- La prestación de un servicio o venta de un producto.
- Envío de publicidad de otros productos o servicios de la organización.
- Envío de información sobre eventos organizados por la empresa.
El documento de seguridad en el RGPD
En la antigua LOPD, se establecía la obligatoriedad de elaborar un Documento de Seguridad por parte de los responsables de los ficheros.
Este documento debía identificar los ficheros y especificar las medidas técnicas y organizativas en función los ficheros. Este documento debía de ser de obligado cumplimiento por parte del personal con acceso a los sistemas de información.
Las medidas de seguridad podían de tipo bajo, medio o alto.
Con la llegada del RGPD, desaparece el Documento de Seguridad, igual que desaparecen los ficheros.
En su lugar, se exige al responsable del tratamiento y en su caso, del encargado, un registro de actividades de tratamiento que describa esas actividades y las medidas de seguridad aplicadas.
En lugar de establecerse por niveles (alto-medio-bajo) el RGPD establece que esas medidas serán establecidas en función al riesgo detectado, para lo cual se exige un análisis de riesgo previo al tratamiento.
El registro de actividades de tratamiento o RAT, deberá incluir:
- Nombre y datos de contacto del responsable y, en su caso, del corresponsable, representante del responsable y del delegado de protección de datos.
- Finalidades del tratamiento.
- Categoría de interesados y categoría de datos personales.
- Categoría de destinatarios a quienes se comunicaron o comunicarán datos personales, así como terceros países u organizaciones internacionales.
- Transferencias de datos personales a un tercer país o una organización internacional.
- Plazos previstos para la supresión de los datos, cuando sea posible.
- Descripción general de las medidas técnicas y organizativas de seguridad.
El RAT incluye básicamente, la declaración de ficheros y el documento de seguridad; es una fusión de ambos.
La figura del responsable del tratamiento de datos
El responsable del fichero es la persona física o jurídica que decide sobre el tratamiento de los datos; con qué finalidad se van a utilizar, con quién se van a compartir, durante cuánto tiempo se van a conservar, etc.
Por ejemplo, si tú tienes una web con un formulario de suscripción, eres responsable de ese tratamiento en tanto eres la persona que decide sobre la finalidad con que vas a tratar esos datos.
El responsable del tratamiento deberá determinar si, cuando finalice la prestación de los servicios del encargado, los datos personales deben ser destruidos, devueltos al responsable o entregados, en su caso, a un nuevo encargado.
La figura del encargado del tratamiento de datos
Por su parte, el encargado del tratamiento es la persona física o jurídica que trata datos personales por cuenta del responsable del tratamiento.
Normalmente, se trata de un tercero que realiza determinadas tareas por encargo del responsable, como una gestoría, un webmastser, una empresa de email marketing.
Es decir, siempre que, como responsable, tengas que compartir datos de clientes, empleados, suscriptores, etc. con otra empresa o un autónomo para que realicen un trabajo para ti que implique el tratamiento de estos datos, estamos hablando de una relación de encargo de tratamiento que implica la presencia de un contrato de encargo que defina las condiciones del tratamiento, finalidades, obligaciones, etc.
Recuerda que antes te explicaba que el RGPD refuerza las exigencias en esta materia y obliga a los responsables a acreditar mayor diligencia en la elección de los encargados y que solo elijas aquellos que acrediten garantías de cumplimiento.
Los datos especialmente protegidos en la LOPD y RGPD
Entendemos por datos sensibles, o especialmente protegidos, aquellos que tienen una especial incidencia en la intimidad, las libertades públicas y los derechos fundamentales de la persona.
Desde esa perspectiva y debido a su impacto en la privacidad de las personas, se requiere un nivel mayor de protección.
En la antigua LOPD, entre los datos especialmente protegidos encontrábamos: datos de ideología, religión, creencias, origen racial, salud, vida sexual, comisión o infracciones penales o administrativas.
Con el RGPD, se mantienen los datos que la antigua LOPD definía como especialmente protegidos y añade tres categorías más:
- datos genéticos,
- datos biométricos,
- orientación sexual.
Por otra parte, se exigen nuevas condiciones para su tratamiento, como la seudonimización o anonimización, el cifrado, la necesidad de un informe de impacto sobre la privacidad (EIPD).
También se exige recabar el consentimiento explícito y específico para una finalidad concreta.
Las transferencias internacionales de datos en el RGPD
Este concepto es muy relevante en protección de datos en un contexto de sociedad digital globalizada en donde, de forma habitual, utilizamos herramientas que almacenan datos personales que están ubicadas en países fuera de la Unión Europea. Es el caso de herramientas de email marketing, analíticas o incluso redes sociales.
Se entiende como transferencia internacional de datos, la transmisión de datos personales desde el Espacio Económico Europeo, es decir, los países de la UE más Liechtenstein, Islandia y Noruega a otros países fuera de la Unión europea.
Por ejemplo: si tienes un simple blog con un hosting situ en EEUU, los comentarios (que se almacenan en la base de datos de WordPress) serían una transferencia internacional de datos a EEUU, porque se envían y almacenan en un servidor en EEUU. Por la misma lógica, si tu hosting es español, no lo son.
La transferencia internacional de datos exige que solo se puede llevar a cabo si se cumplen una serie de condiciones establecidas en el RGPD, de tal forma que el nivel de protección de los derechos y libertades de las personas no se vea vulnerado.
De esta manera, el responsable y el encargado del tratamiento pueden transferir datos a un tercer país u organización internacional, si se han establecido las garantías adecuadas y los afectados cuentan con los derechos exigibles y acciones legales efectivas.
Entre estas garantías están:
- Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos.
- Normas corporativas vinculantes.
- Cláusulas tipo de protección de datos adoptadas por la Comisión.
- Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión.
- Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados.
- Mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados.
Recuerda que, si la transferencia internacional de datos es consecuencia de una prestación de servicios, debes suscribir un contrato de prestación de servicios por tercero conforme a lo dispuesto en el art. 28 del RGPD.
Toda esta complejidad en la práctica queda muy reducida, porque las empresas internacionales “serias” como SiteGround (hosting), MailChimp (email marketing), etc. disponen de contratos con cláusulas tipo adoptadas por la comisión, que puedes descargarte.
También es importante que adviertas de estas transferencias en tus cláusulas informativas y que requieras un consentimiento específico con esta transferencia.
Recuerda que, siempre que vayas a compartir datos con una empresa fuera del territorio español, deberás:
- Averiguar primero si se trata de un país con nivel adecuado de Protección de Datos. De momento, estos son los países que cuentan con ese nivel: Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay, Nueva Zelanda.
- Privacy Shield: Si se trata de empresas radicadas en los Estados Unidos, que se trate entidades certificadas en el marco del Escudo de privacidad UE-EEUU (Privacy Shield). Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de 2016.
De nuevo, las empresas conocidas suelen haber hecho sus deberes y ya están preparadas en sus contratos contigo para todo esto. Para ti, será poco menos que automático al firmar el contrato de servicio (o actualizarse el existente).
No obstante, conviene asegurarte de que realmente es así y que aporten algunas de las garantías indicadas en el apartado anterior.
Novedades y adaptación al reglamento europeo y la Ley de protección de datos del 2018
Como vengo repitiendo a lo largo de este post, casi coincidiendo con las uvas, se aprobó finalmente la nueva LOPD, la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, (LOPDGDD) como ley de carácter nacional (España) y que integra todas las disposiciones del RGPD.
El tener una norma común en todos los estados miembros solo puede traducirse en ventajas, ya que no solo armoniza todas las regulaciones europeas, sino que acaba con el escaqueo legal al que nos tenían acostumbrados empresas como Google o Facebook.
Estas empresas se amparaban en regulaciones más laxas para hacer su agosto gracias a nuestros datos personales. Lo seguirán haciendo, claro, pero ahora tendrán que asumir muchas más obligaciones y enfrentarse a sanciones desorbitadas de las que antes se libraban tan fácilmente.
La nueva LOPD es una norma necesaria para la adaptación del ordenamiento español a la regulación europea y, proporcional a este objetivo, para aportar seguridad jurídica.
Me parece muy oportuna la infografía realizada por Correos para resumir las principales novedades:


Aquí puedes ver cuáles son las principales novedades de la nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).
El RGPD nos ha proporcionado una regulación más uniforme del derecho fundamental a la protección de datos en el marco de una sociedad cada vez más globalizada y digitalizada.
Personalmente creo que, en esa universalidad y esa actualización de la regulación a los nuevos paradigmas digitales en el tratamiento de la información, residen las principales novedades del RGPD y la nueva Ley de protección de datos en España.
Se requerían nuevas leyes para nuevos tiempos en donde ya hablamos de big data, machine learning, BYOD, el Internet de las Cosas, inteligencia artificial y muchas otras nuevas tecnologías que generan constantemente nuevos procesamientos de información que repercuten directamente en nuestras vidas.
Es innegable que, a medida que se multiplican los sistemas de tratamientos, se multiplican exponencialmente los riesgos ya que estos datos son cada día más accesibles, por más actores, y cada vez es más difícil el control de su destino y uso.
De ahí la necesidad de una nueva regulación que dé cuenta de estos avances tecnológicos y refuerce la seguridad jurídica y la transparencia.
Desde la perspectiva de un profesional digital, las cuestiones más visibles que debes afrontar para no delatarte como infractor son dos:
El derecho a la información:
Hasta ahora, las políticas de privacidad de las empresas eran opacas, farragosas, incomprensibles para la mayoría de los mortales; el RGPD exige un cambio radical en ese sentido.


Cómo permitir el ejercicio de derechos.
La nueva LOPD o LOPDGDD consolida el deber de implementar estrategias de información y transparencia por capas, garantizando un mínimo indispensable de información visible.
Por otra parte, se modula el ejercicio de los derechos, debiendo garantizar accesibilidad y gratuidad de estos y favoreciendo el acceso digital a los datos mediante fórmulas de ”acceso remoto, directo y seguro a los datos personales”.
El ejemplo del formulario de suscripción de esta casa ilustra perfectamente cómo debe requerirse información, cómo se debe informar por capas y los elementos a integrar en cada formulario:


Éste es el formulario de suscripción de Ciudadano 2.0. Fíjate en que no se ve el botón de «Aceptar», en este caso, para reforzar aún más el acto del consentimiento, el botón aparece una vez marcada la casilla de aceptación.
- Verás que incluye una casilla de selección (check box), no marcado por defecto, para recoger el consentimiento conforme a las exigencias del RGPD.
- También incluye una primera capa informativa visible y accesible justo debajo de los campos.
- Enlaza con la segunda capa informativa: la política de privacidad.
Entre otras cosas, el RGPD y la nueva LOPD exigen que las políticas informativas que expresan la voluntad de las empresas sobre la información de los ciudadanos cumplan algunos requisitos:
- Que sean accesibles.
- Que sean comprensibles para sus destinatarios.
- Que estén sujetas al consentimiento libre, inequívoco, específico e informado por parte de los afectados.
Como responsable, deberás asegurarte de que todos tus mecanismos informativos cumplen con estas condiciones.
El consentimiento reforzado
Se incorpora la necesidad de un consentimiento real, verificable y granular; es decir, que sea específico.
No puedes requerir un consentimiento genérico para diferentes finalidades. No debe deducirse del silencio, ni valen las casillas marcadas de antemano.
Todos tus formularios deben incluir un sistema que recabe el consentimiento de acuerdo con estos requisitos y que permita acreditarlo; concretamente, un formulario que no incluya una casilla que genere a su vez un registro, es un formulario granada, puede estallar en cualquier momento.
El RGPD nos obliga a reformular todas nuestras estrategias, en especial, las de marketing.
La nueva figura del delegado de protección de datos
Esta figura ya estaba presente en otros países, el RGPD la impone en determinados supuestos como:
- Si el tratamiento de los datos corre a cargo de una autoridad u organismo público.
- Si las actividades y operaciones principales del responsable de datos exigen seguimiento regular y sistemático a gran escala.
- Si las actividades y operaciones principales del responsable requieren tratamientos a gran escala de datos personales que tienen que ver con delitos y condenas.
Lo más relevante que debes saber es que el delegado de protección de datos es la persona que actúa como interlocutor del responsable o encargado del tratamiento ante la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos.
Tiene que tener determinadas cualidades y acreditar conocimientos. De hecho, ya hay un registro oficial de delegados de protección de datos certificados de diferentes entidades.
Entre sus muchas funciones, el delegado de protección de datos podrá inspeccionar los procedimientos relacionados con el cumplimiento del RGPD y emitir recomendaciones en el ámbito de sus competencias.
Tampoco podrá ser removido ni sancionado por el responsable o el encargado por desempeñar sus funciones, salvo que incurriera en una negligencia grave en su ejercicio.
Por supuesto, el RGPD y la nueva LOPD establecen que se debe garantizar su independencia dentro de la organización, debiendo evitarse cualquier conflicto de intereses.
El cambio de los tres niveles de seguridad a…
Los niveles de seguridad previstos en la antigua LOPD no seguirán siendo válidos con el RGPD.
Como te explicaba antes, cambia el enfoque de la seguridad, se abandona la estandarización el niveles bajo, medio, alto y se pasa a un modelo basado en el enfoque de riesgo.
Podrás seguir aplicando las mismas medidas que establecía la antigua LOPD, si el resultado del análisis de riesgos previo indica que las medidas que estabas aplicando son realmente las más adecuadas para ofrecer un nivel de seguridad adecuado.
Lo que es evidente es que tendrás que realizar ese análisis de riesgo y establecer las medidas técnicas y organizativas en función de:
- El coste de la técnica.
- Los costes de aplicación.
- La naturaleza, el alcance, el contexto y los fines del tratamiento.
- Los riesgos para los derechos y libertades.
Para resumir y clarificar:
En la antigua LOPD, estaban definidas y tipificadas con detalle las medidas de seguridad que debían aplicarse según el tipo ficheros.
Con el RGPD los responsables y encargados establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado, en función de los riesgos detectados en el análisis previo.
Además, el RGPD exige que se tome en consideración el principio de responsabilidad proactiva.
Los derechos ARCO en la nueva Ley de Protección de Datos
El RGPD nos trae nuevos derechos a los otorgados por la anterior LOPD y conocidos como derechos ARCO: acceso, rectificación, cancelación, oposición.
A esos derechos se les añaden otros tres:
- Derecho a la limitación del tratamiento.
- Derecho a la portabilidad.
- Derecho al olvido.


Éstos son los nuevos derechos que se incluyen en el Reglamento General de Protección de Datos.
Cabe destacar especialmente que el derecho a cancelación o supresión se amplía al mundo digital con el derecho al olvido.
El objetivo de estos nuevos derechos es el de ofrecer un mayor control a los ciudadanos sobre su propia información personal.
Como empresa o profesional, debes permitir ejercer estos derechos de forma gratuita. También estás obligado a informar en tus textos legales sobre los medios que has habilitado para ejercitar estos derechos. Estos medios deben ser accesibles.
Recuerda que las solicitudes deben responderse en el plazo de un mes aunque, si se tiene en cuenta la complejidad y número de solicitudes, se puede prorrogar el plazo otros dos meses más.
Si la solicitud se presenta por medios electrónicos, la información deberás facilitarla también por estos medios cuando sea posible, salvo que el interesado solicite que sea de otro modo.
Si, como responsable, decides no dar curso a la solicitud, deberás informar al solicitante a más tardar en un mes, de las razones de su no actuación y la posibilidad de reclamar ante una Autoridad de Control, en el caso de España, a la Agencia Española de Protección de datos.
Las personas deben poder ejercer los derechos directamente o por medio de su representante legal o voluntario.
Esta infografía de la agencia española de protección de datos ilustra muy bien estos nuevos derechos desde la perspectiva del ciudadano.


Información de la Agencia Española de Protección de Datos sobre los derechos que tienes para proteger tus datos personales.
El derecho al olvido en la protección de datos y RGPD
Es el de derecho que tiene cualquier persona a que se suprima todo enlace que contenga información personal en internet, o las copias o réplicas de tales datos.
Por supuesto, no es tan sencillo como que un buscador elimine o desindexe un artículo o contenido que te afecte, porque solo se puede hacer efectivo si no se trata de información de interés público.
¿Cuándo se puede ejercer el derecho al olvido? Échale un vistazo al siguiente gráfico:


El derecho al olvido ha sido una de las grandes novedades del RGPD.
Las sanciones de la Ley de Protección de datos de carácter personal
Desde la aplicación del RGPD, las denuncias a la Agencia Española de protección de datos han crecido un 33%; en Gran Bretaña, el 160%, algo que da cuenta de la sensibilidad en cada caso respecto al valor de la información personal.
Lo que es evidente es que el ciudadano es cada vez más consciente de sus derechos y cada vez será más exigente con las empresas y profesionales que los gestionan.
En la nueva LOPD se vuelve a la clasificación de la antigua LOPD entre infracciones muy graves, graves y leves, tomando en consideración la diferenciación que el Reglamento General de Protección de Datos establece al fijar la cuantía de las sanciones.
Por supuesto, debes saber que las sanciones han aumentado notablemente: con la antigua LOPD, el importe máximo estaba en los 600.000€; ahora ese tope está en los 20 millones de euros o el 4% de la facturación bruta anual, lo que sea mayor, así que es mejor no tentar a la suerte.
Por otra parte, debes saber que se establece un nuevo sistema de indemnizaciones.
Es decir, aparte del tema sancionador, cualquier afectado puede requerir, además de la sanción, una indemnización si se demuestra que sus derechos se han visto vulnerados.
Así que cuidado con no dar pistas, recuerda que delatarte como infractor por no tener políticas adecuadas ni formularios ajustados a la ley, puede incitar al oportunismo de empresas competidoras u otros que actúen con mala fe contra ti.
Modelos de documentos útiles para la Ley de Protección de datos del 2018
Cómo habrás visto a lo largo y ancho de este post, son muchos los documentos y materiales que necesitas para realizar un cumplimiento efectivo y riguroso del RGPD y de la nueva ley de protección de datos del 2018.
Aquí puedes descargarte algunos de los modelos más importantes que te serán muy útiles para ir adecuando tu web y/o tu empresa:
Has de saber que, para hacerlo realmente bien, necesitas que los textos legales respondan a la realidad de tu negocio y tu web; es decir, deben ser fiel reflejo de la singularidad de tu actividad, offline y online.
Para ayudarte, te daré algunas pautas de cosas que debes tener en cuenta para crear tus modelos, aunque te recomiendo que siempre cuentes con un profesional de confianza para supervisar que todos cumplen de forma exitosa con lo exigido.
Lo primero que tienes que saber es qué tipo de sistemas de captura de datos estás utilizando. Si utilizas los kits de plantillas legales RGPD puedes seleccionar aquellos que utilices, definir la finalidad para cada uno, los destinatarios, el tipo de información que recoges y generar claúsulas específicas a incluir en cada uno de ellos.


Modelos primeras capas KITS GGPD.
Por ejemplo, para el formulario de contacto, podrás obtener la primera capa:


Adecuación al formulario de contacto.
En la siguiente imagen puedes ver claramente cómo hay que realizar la información:


Cómo hay que informar.
Modelo plantilla de consentimiento de protección de datos para clientes y usuarios
Para crear un texto de consentimiento del usuario tienes dos formas de hacerlo: informando en modo párrafo o tipo lista.
1. Modelo de consentimiento tipo párrafo
Este modelo es un simple texto.
2. Tipo lista (igual que lo anterior, pero en formato lista)
Este modelo, más compacto, se presenta como una pequeña lista de puntos.
Modelo plantilla de cláusula para contratos de encargados del tratamiento
La agencia española de protección de datos ofrece modelos de cláusulas adecuadas para realización de estos contratos. Los puedes descargar al final de esta guía con directrices para la elaboración de contratos de encargo.
Modelo plantilla de registro de actividades de tratamiento
El registro de actividades de tratamiento debe describir cada uno de los tratamientos que se lleven a cabo e incluir las medidas de seguridad que se van a aplicar en cada caso.
Un profesional autónomo lleva a cabo algunos tratamientos tipos:
- Tratamientos de clientes para facturación.
- Tratamientos de potenciales clientes para prospección y seguimiento de ofertas.
- Tratamientos de usuarios/suscriptores para envío de comunicaciones comerciales y boletines.
En cada tratamiento, se debe definir lo siguiente:
- Nombre y datos de contacto del responsable del Tratamiento.
- Finalidad del tratamiento.
- Descripción de las categorías de las categorías de datos personales.
- Categorías de datos personales.
- Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales.
- Los plazos previstos para la supresión de las diferentes categorías de datos.
- Origen y procedencia de los datos.
- Medio de obtención / mecanismo de recogida de los datos personales.
- Sistema de tratamiento.
- Aplicación o sistema informático concreto de tratamiento.
- Sistema no informatizado concreto de tratamiento: Nombre y cargo del Responsable Funcional.
- Áreas, Departamentos y/o Personas que traten o accedan a datos personales.
- Procedimiento de ejercicio de derechos de protección de datos.
- Datos de contacto de la persona que gestiona el ejercicio de los derechos de protección de datos.
- Nivel de riesgo provisional.
La Agencia Española de Protección de Datos ha desarrollado herramientas como el Facilita RGPD, para que puedas crear tu propio registro de actividades de tratamiento:


Registro de tratamiento de la Agencia Española de Protección de Datos.
Texto de protección de datos para facturas
El texto que se muestra a continuación deberás incluirlo en todos aquellos formularios que utilices para recabar datos personales de tus clientes, tanto si se realiza en soporte papel, como si se hace en soporte electrónico.
Es decir, se aplica a documentos como facturas, albaranes, presupuestos, etc.
AVISO: Debes tener en cuenta que, si tu cliente marca la opción NO, en ningún caso podrás enviarle publicidad ni correos promocionales.
Texto de protección de datos para emails
Y, finalmente, aquí te dejo un texto que podrás incluir en todos aquellos formularios que utilices para recabar datos personales de tus clientes, tanto si se realiza en soporte papel:
Conclusiones y consejos finales
Llegar hasta aquí no debe de haber resultado sencillo, como no lo ha sido escribir un post de semejante tamaño, pero ahora mismo, tienes en tu poder todo el conocimiento necesario para realizar la reconversión digital y crear un entorno respirable de confianza.
Recuerda que no sobrevive el más fuerte, sino el que mejor se adapta. Asumir una cultura de protección de datos debería ser una prioridad en tu estrategia de continuidad de negocio.
Tú puedes hacerte el sueco y rezar para que ningún cliente, empleado o suscriptor te denuncie y comprometa seriamente tu bolsillo y tu reputación, o ponerte las pilas y asumir que puede generarte enormes ventajas asumir una gestión responsable y segura de la protección de datos.
Estamos estrenando un nuevo año y debemos asumir nuevos retos: ganarnos la confianza y el consentimiento de los usuarios a cambio de aportarles valor. Ese es el eje principio fundamental del marketing moderno y, en particular, del marketing digital.
Para ayudarte, a continuación te puedes descargar gratis una lista de comprobación (una checklist) con los puntos clave que debes tener en orden para estar tranquilo con el RGPD.
Obtén tu eBook aquí
Apúntate a nuestra Zona VIP y descárgate tu eBook ya
Es 100% gratis 🙂
Si no quieres hacerlo tú mismo, siempre puedes contratar el servicio de consultoría avanzada. Es una buena opción si:
- No tienes tiempo para realizar tu autoadecuación.
- Tienes una web que requiere una adecuación profesional a medida.
- No te sientes seguro: prefieres delegarlo en manos de un experto.
- Quieres una adecuación muy personalizada y un servicio de soporte que dé garantías.
Buenas tardes, me gustaría saber si una empresa en el contrato /carta de despido puede poner datos como dirección, cuantías, n de cuenta si va a pasar copia al comité de empresa. Muchas gracias
Buenas, me gustaría citarte porque he usado información que has puesto en un trabajo. Me podrías ayudar?
Gracias
Hola Marina, felicidades por el post, es muy bueno.
¿Te puedo hacer una pequeña pregunta? Quiero hacer una campaña de email marketing y dirigirla a empresas del sector del metal; ¿puedo enviar un mail a empresas cuya dirección de correo esté publicada en directorios de internet? Creo que no, pues no tengo su consentimiento expreso, pero al estar publicadas quizás tengo vía libre para enviar algunos mails. ¿Me darías tu opinión?
Muchas gracias Marina y felicidades otra vez por tu post.
Hola, Marina
Yo estoy haciendo mi emprendimiento y estoy haciendo mi página web, soy de Colombia, pero me asalta la duda de si en mi política de privacidad debo colocar solo la que aplica en mi país, que se llama Habeas data, y/o la que rige en la Unión Europea, pues quisiera tener clientes allí también y en otros países.
De antemano, gracias por tu respuesta.
Hola Martha, si quieres tratar datos de ciudadanos europeos, lo correcto es que tu política de privacidad, incluya ambas regulaciones y que sigas las pautas informativas que exige el RGPD que son finalmente las que aplican a nivel universal.
Un abrazo
Buenas tardes,
Quería saber si una empresa en un proceso de selección tiene derecho o puede ver mi vida laboral sin decirme nada y si ellos me la piden debo entregársela?
Gracias, un saludo.
Habría que analizar si aplica o no el interés legítimo de la empresa o no, eso depende del proceso, del puesto y de varios factores más, si la finalidad lo justifica, te informan correctamente y tye permiten oponerte a ese tratamiento, entiendo que estarían cumplimiento, pero en cualquier caso, habría que analizar el caso en concreto.
Un abrazo
Hola. Me gustarí saber si la empresa que está detrás de la tarjeta prepago e correos tiene derecho a conservar tus datos personales durante 6 años aunque no sigas teniendo relación alguna con ellos por haber cancelado la tarjeta. Gracias
Hola Ana, hay plazos legales establecidos para cada tratamiento, desconozco este tipo de tarjetas , su finalidad y su operativa y por tanto, no puede indicarte el plazo legal de conservación en este caso concreto , lo normal en operaciones financieras, es que el plazo legal esté en los 5 años tras la cancelación por si hubiera algún requerimiento judicial.
Un abrazo
Hola Enresto, el consentimiento ha de ser especifico y por tanto, si pides información personal en un formulario de contacto, debes limitarte a la finalidad de ese formulario que es la de responder o incluir otro check que pida un consentimeinto específico para enviar información comercial.
En mi caso, en mi test, lo hago de esta manera:
i»nformación adicional: En la Política de Privacidad de Marina Brocca encontrarás información adicional sobre la recopilación y el uso de su información personal por parte de Marina Brocca, incluida información sobre acceso, conservación, rectificación, eliminación, seguridad y otros temas..
Autorizo Marina Brocca a ofrecer información sobre servicios relacionados con los solicitados. *
A
Acepto
B
No acepto
Hola Marina.
Primero que todo, enhorabuena por esta entrada, ¡es super útil!
¿Podrías ayudarme con la siguiente duda?, te cuento… Crees que debería de conservar los datos personales de mis posibles clientes, cuando ocurren primeros contactos a través de correo electrónico, como email, nombre, datos relevantes en el cuerpo de correo.
Es decir, si recibo un correo ya sea de consulta por servicios que ofrezco, ya sea por peticiones diferentes a esos servicios y que estén en el ámbito de la empresa, ¿podría almacenar esa información de los clientes?, o ¿debería tener un consentimiento explícito de esa persona que envía el correo? ¿Qué opinas?
Gracias de antemano.
Hola Ernesto,
Según la RGPD, en el momento en que recabas datos, las personas tienen derecho a estar informadas sobre los datos que recopilan, por qué los recopilan y cómo piensan ser utilizarlos y pedir su consentimiento para tratar sus datos a o asumir que el almacenamiento de de estos datos se basan en el interés legítimo, pero en este caso, sólo podrías utilizar sus datos para responder a la consulta en concreto y no para incluirla en una lista de email marketing (para esto necesitas un consentimiento específico) También debes asegurarte de mantener un registro del consentimiento, con el fin de seguir cumpliendo la RGPD.
Si no has obtenido su consentimiento en el momento en que has recogido los datos personales de estos clientes potenciales , debes informarles – en un plazo de 30 días a partir de la obtención de los datos – de que lo ha hecho y la razón por la que mantienes sus datos personales en tu sistema.
Espero haber aclarado tu consulta.
Un fuerte abrazo
Hola Marina.
Entonces, ¿quieres decir que podría mantener los datos de clientes potenciales durante 30 días?, los cuales me contactaron por correo electrónico y si pasan estos 30 días, si no se ha convertido en cliente, ¿podría enviarles un correo electrónico que explique que mantengo sus datos por la consulta que me hizo?
Muchas gracias.
Lo que podrías hacer es pedirles consentimiento para incluirlos en una base de datos y poder mantenerlos actualizados sobre nuevas ofertas o promociones asociadas a su consulta, lo normal es que se pida este consentimiento en el propio formulario de contacto, mira el test que tengo en mi web, es un ejemplo de lo que te comento.
Un abrazo
Hola Marina.
Disculpa que insista, puesto que no encontré como responderte a lo último que me dijiste, me respondo a mi mismo.
Bien, he hecho el test. Pero no consigo identificar la solución que me propones. Veo que tu formulario de contacto, sería como el mio, así pues, con esa opción de contacto no tengo consentimiento de los usuarios, en tu web veo que tampoco, puesto que en tu política de privacidad dice explícitamente que el formulario se usa para responder a la consulta, entonces tampoco tendrías consentimiento del usuario para recopilar sus datos.
¿Lo he entendido mal o como?
Por supuesto, pedir el consentimiento diréctamente por e-mail es otra opción, la cual si que te he entendido, pero realizando el test… no entiendo el ejemplo que me comentas que hay en el test, respecto a mi consulta.
Muchas gracias otra vez.
Saludos.
Marina, gracias por dedicar tu tiempo para darnos tantas informaciones de valor, yo no resido en Europa, pero me sirvio de mucho ya que hay informaciones generales que pueden aplicarse en cualquier continente.
Gracias a ti Maria por comentar, por supuesto que sirve para cualquier continente, recuerda que siempre que recaben datos de residentes europeos, se debe aplicar el RGPD.
Un fuerte abrazo
Enhorabuena Marina, un post muy completo, riguroso y accesible. Bravo!
Gracias Esther por tu comentario y la valoración que haces de mi trabajo.
un fuerte abrazo
Buenas tardes,
el otro día en un parque de animales me hicieron una foto en una de sus experiencias con animales sin mi consentimiento, no me hicieron firmar nada.
El hecho de pagar una entrada y una experiencia, les da permiso a hacerme una foto para luego vendérmela? Les puedo demandar por los derechos de imagen?
La foto la tenían expuesta en un tablón que la veía todos los demás visitantes y me dijeron que si no la compraba en 48 horas la destruirían.
Muchas gracias de antemano.
Hola Juan Manuel,
Lo primero: la obtención del consentimiento para el uso, reproducción y/o publicación de la imagen de una persona a través de cualquier medio o soporte es siempre necesaria.
Según estipula el RGPD, los responsables del parque deberían poner a disposición de los visitantes un documento informando de la finalidad del tratamiento de esos datos, el responsable y tus derechos sobre la misma. y por supuesto, pedirte autorización expresa.
No obstante, es cierto que las empresas no conservan esas imágenes pasadas unas horas pero sería correcto que solicitarán el permiso adecuado e informar justamente de esta circunstancia.
Un abrazo
Hola Marina.
Me han preguntado al respecto de montar un sitio de servicios sin dirección física con todos sus textos legales, aviso de privacidad, cookies, aviso legal, etc. pero a lo sumo incluir una dirección postal donde recepcionar correo. Yo le he dicho que podría usar un servicio de redireccionamiento de correo postal, como por ejemplo myus.com (el cual le da una dirección física en USA). En principio los servicios estarían destinados para cualquier país del mundo.
Los servicios que se ofrecerían no requieren de presencia física en ningún lado, si alguna vez tuviera que recibir alguna carta o paquete de forma postal, utilizaría el forwarding de myus.com a su dirección en España.
Intentando minimizar sus gastos de la mejor forma y como está empezando, y no dispone de clientes, le aconsejé la actividad marginal y cuando pueda facturar que así lo haga.
Como el objetivo es hacer los textos legales de este sitio web, con las circunstancias antes escritas, me surgen las siguientes dudas:
1. ¿Crees que usar la dirección postal procedente de myus.com en los términos legales podría ser posible?
2. Dado el cloud act que parece más restrictivo que el privacy shield y el propio privacy shield en USA, ¿crees que podrían existir problemas ante una persona física como es que no constituye ninguna sociedad pero que si pretende recopilar datos de usuario como nombre y email a través de un formulario de contacto?
3. ¿Si la pregunta 2 es afirmativa, bastaría con cambiar a un alojamiento que no esté en USA, por ejemplo, en UK? ¿Cuál aconsejarías si fuera así?
4. ¿Qué importancia crees que tiene el alojamiento del sitio en este caso?, que sería de una persona física en España, con dirección postal en otro país para disponer de dirección física a través de myus.com y que solo ejecuta sus servicios de forma remota. QUE NO FACTURARÍA DE MOMENTO, PUESTO QUE ESTÁ EN PERIODO DE OFRECER SUS PRIMEROS SERVICIOS.
5. Si el alojamiento está en otro sitio que por ejemplo no esté bajo la privacy shield o el cloud act o el gdpr (cambiando el proveedor de redireccionamiento en tal caso por supuesto), ¿bastaría?
Muchas gracias.
¡Saludos!
Hola Cristina,
Te respondo en el mismo orden de tus preguntas:
1) esa dirección es válida a efectos de envío pero a efectos de RGPD, tienen que tener una dirección válida en dónde se puedan ejercitar derechos y enviar requerimientos, desconozco si ese servicio ofrece dirección fiscal a efectos jurídicos. Por otra parte, no me indicas dónde estaría ubicado el responsable de la tienda y a que tipo de cliente se dirige, si es europeo, tener una dirección en EEUU es un despropósito si trabajará con datos de ciudadanos europeos porque estamos hablando de transferencia internacional de datos y eso requiere muchas gestiones adiciones.
2) Solo estoy especializada en RGPD y la regulación Española en materia de protección de datos, la LOPDGDD, no puedo opinar sobre regulaciones en las que no tengo formación suficiente como las que mencionas, que son leyes federales de EEUU.
3) Idem que la anterior, en cualquier caso, lo ideal es acogerse a la regulación del país en que reside el responsable de la tienda y como decía al principio, todo depende de quien es su publico objetivo, porque aunque establezca residencia en EEUU, si trata datos de ciudadanos europeos, debe cumplir el RGPD, resida donde resida.
4) Respondida en el punto 3, si reside en Europa es un absoluto disparate establecer una dirección en EEUU, eso es complicarse la vida muchísimo sin ningún motivo y sin ningún beneficio, totalmente desaconcejable.
5) También respondida en los puntos anteriores, en materia de protección de datos, lo que cuenta a la hora de establecer la regulación que opera no es dónde residas o dónde alojes los datos, lo importante es qué tipo de datos personales vas a tratar, si entre esos datos están los de ciudadanos europeos, debes cumplir el RGPD si o si, si están en EEUU, además del RGPD, deberás acogerte al Privacy Shield para que se puedan transferir datos legalmente de ciudadanos europeos a EEUU, asi que lo más inteligente es tener una dirección europa, un servidor europeo y acogerse al RGPD.
Un abrazo
Hola Marina,
si,tienes razón, quizás no me expliqué del todo bien.
1) El responsable del sitio que ofrece servicios por internet que no es tienda, por tanto no se trata de una actividad permanente, dirige los servicios a cualquier parte del mundo, por tanto puede tener datos de cualquier cliente del mundo, pero inicialmente lo haría en España y en USA. Respecto a la ubicación del responsable del sitio, ¿sería necesario exponerlo?
2) De acuerdo, gracias igualmente. Y en el caso de que la persona esté en España y como está empezando, realice una actividad marginal, y durante ese estado inicial, como está captando clientes y sus datos a través del formulario, se que debería de poner si o si la RGPD, la duda que tengo es respecto a la LSSI, puesto que la dirección física, pondría la del domicilio postal en USA. ¿Que te parece?
3) Ok, pensaba que el hosting tenia algo que ver también.
Saludos.
Hola otra vez, respecto al punto número 1, como le aplica de lleno RGPD, deben expresar con claridad todos los datos que permitan identificar al responsable, incluyendo su dirección física, recuerda que e¡si hay transferencia internacional de datos, deben asegurarse de cumplir con lo establecido para este tipo de transferencias e informar a los usuarios al respecto.
Sobre l punto número dos, debe informar sobre la dirección fiscal del responsable, esté en EU o en USA.
El hosting repercute en que debe cumplir con el RGPD y ofrecer garantías suficientes, pero no a nivel de dirección o responsabilidad legal.
Si necesitas un asesoramiento más personal para tu cliente, puedes contactarme directamente a través de mi web.
Un abrazo
Aplica para Mexico?
Hola Lucy,
El RGPD es una norma europea.
¡Un saludo!
Berto
Hola Luci, como bien dice Berto, es una norma Europa, pero puede afectarte si tratas datos de ciudadanos europeos, es decir, ni tu blog trata datos de usuarios europeos, entinces si te afecta.
Un fuerte abrazo
Hola Marina,
Yo no tengo ni web, ni blog. Me dedico a la enseñanza de idiomas y me encuentran a través de plataformas de anuncios de clases, por lo que son los padres quienes contactan conmigo via correo o móvil.
Me imagino que yo puedo responderles por los mismos medios sin estar incumpliendo ninguna ley.
Ahora bien, si inscriben a sus hijos a mis clases y yo me quedo con esos correos y/o teléfonos para comunicarme con ellos, ¿ debo cumplir algún requisito aparte del texto que se pone en el correo?, ¿debo inscribir algún fichero en la AEPD?
Te agradecería tu ayuda porque estoy muy perdida con esto y quiero hacerlo bien
Gracias
Un saludo
Hola Pilar, en todo proceso de recogida de información personal, debes de incluir una cláusula informativa relativa al tratamiento que vayas a realizar y por supuesto, llevar a cabo otro tipo de actuaciones para adaptar tu actividad a lo exigido por el RGPD, no se trata de poner una cláusula, se trata de garantizar un trato responsable y seguro de la información que tratas y almacenas.
En la agencia tienes la herramienta facilita que te puede ayudar inicialmente a cumplir con algunos de estos requisitos.
Un abrazo
Hola.
Solicité a mi empresa la Jubilación Anticipada y en RR. HH me exigieron mi «Vida Laboral».
Escribí a la Seguridad Social haciendo la consulta pertinente de si debía entregarla» Literalmente fue NO, porque carecen de ningún tipo de base legal para solicitarla».
De igual forma tuve que mandarla o no me tramitaban la jubilación anticipada.
Obviamente los denuncie a Protección de Datos.
Usted qué opina?
En algún momento Protección de Datos me mandara algún informe?
Han vulnerado mis derechos para solicitar una indemnización?
Gracias
Hola Enric, a mi sinceramente, me parece más que relevante la vida laboral para requerir una jubilación anticipada, porque es el detalle de todas tus aportaciones, algo esencial, no obstante, lo importante es que ellos internamente puedan justificar que tienen legitimación para requerir esa información.
No sé en que tiempos están respondiendo en la Agencia y sólo `podrías pedir indemnización en caso de contar con un informe o sentencia de la Agencia en dónde se demuestre que se han vulnerado tus derechos.
Un abrazo
Muchas gracias Marina, pedazo de artículo, te felicito por lo completo que es. Ahora bien, yo tengo una duda con el tema de las medidas de seguridad. Porque se supone que todas las empresas están obligadas a aplicar las medidas técnicas necesarias para garantizar la seguridad mitigando el riesgo, como bien has dicho. Pero ¿cuáles son esas medidas?, ¿qué tipo de protocolo de copias de seguridad tienen que implementar las empresas, por ejemplo en el caso que comentabas de un autónomo que utiliza big data en su negocio? Es que me parece que la ley lo deja muy abierto. ¿Qué nos puedes decir de este tema?
Muchas gracias por tus aclaraciones de antemano.
Buenos días Marina. Tengo una duda respecto a cuáles son los datos que se deben de proteger. Si estoy de baja médica es obvio que nadie, ni la empresa, tiene que saber cuál es el motivo, pero ¿el simple hecho de estar de baja médica es un dato que se ha de proteger? Quiero decir, la empresa obviamente lo ha de saber, pero ¿puede está decírselo a terceros? ¿Puede por ejemplo decírselo a clientes de la empresa o a otra empresa?
Muchas gracias por tu ayuda
Saludos
Iñaki
Hola Alberto,
Como bien dices, las medidas de seguridad se establecen en función del riesgo. Deberias realizar un análisis de riesgo para realizar para saber que medidas concretamente deberías aplicar en tu caso.
El RGPD describe en su articulo lo siguiente:
«Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
-la seudonimización y el cifrado de datos personales;
-la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
-la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
-un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.»
Creo que el propio artículo de la LEY responde a tu pregunta.
Un abrazo
Buenas tardes Marina,
En primer lugar, enhorabuena por tu post.
Quería consultarte algo de forma muy rápida:
¿Puede alguna empresa «compartir» o ceder clientes a otra con fines exclusivamente comerciales? Es decir, la empresa A hace una serie de acciones comerciales y de marketing y genera 1000 clientes. Ahora, por la buena relación con una empresa (empresa B), le quiere ceder esos 1000 clientes para que los pueda contactar para ofrecerles su servicio (distinto al de A). ¿Se podría? ¿Y si hubiera desde un momento una mención acerca de esta cesión en la Política de Privacidad de la web? ¿Y si fueran empresas del mismo grupo?
Muchas gracias de antemano.
Hola Guillermo ,
Lo primero que debes saber es que se trata de una cesión de datos es que solo podrá hacerse cuando la motivación tenga que ver con la actividad legítima de la organización, o de la persona o empresa a la que se cedan los datos, siempre utilizando un contrato entre ambos (cedente y cesionario).
Sabiendo esto, antes de realizar la cesión será necesario contar con todos los consentimientos de las personas cuyos datos serán cedidos a terceros, tanto para la recogida de sus datos personales como para su tratamiento y cesión.
Sin este consentimiento expreso, inequívoco, específico y verificable, no podría realizarse esa cesión, es motivo de infracción grave.