La nueva Ley Orgánica de Protección de Datos del 2018 y RGPD ¿Qué cambia?


Éste es un post de invitada de Marina Brocca, autora del blog marinabrocca.com. Marina es también especialista en protección de datos y asesora a empresas en el marco legal del marketing y social media, además de ponente y formadora.

El 25 de mayo del 2018 entró en vigor la nueva Ley de Protección de Datos europea, el Reglamento General de Protección de Datos o simplemente RGPD y el 6 de diciembre, la nueva LOPD española. Si tienes un simple blog o una empresa pequeña, quizás pienses que esto no va contigo, un grave error.

ley proteccion datos rgpd

Imagen de Pixabay - © iAmMrRob

Es precisamente aquí dónde este reglamento entra de lleno, porque la materia prima de tu trabajo son precisamente los datos personales de tus suscriptores, clientes, potenciales clientes, alumnos, afiliados, etc.

¿Qué pasaría si un restaurante no tuviera conocimientos sobre normas sanitarias y manipulación de alimentos? ¿Y crees que es posible conducir con seguridad sin conocer las normas de circulación?

¿Crees que se puede gestionar información personal de otros sin conocer las normas que regulan su tratamiento?

Por si esto fuera poco, uno de los puntos más controvertidos y mediáticos han sido precisamente las grandes multas a las que se exponen quienes no cumplan con ella.

Si no sabes gestionar esa información conforme a las reglas y normas específicas establecidas, toda tu estrategia se tambalea y estás poniendo tu negocio en riesgo.

¿Tengo tu atención ahora?

¿Qué encontrarás aquí?

De todos modos, tampoco te alarmes, no es lo que pretendo; simplemente pretendo concienciarte de que se trata de un tema serio. Pero la buena noticia es que, si le dedicas un poco de atención y voluntad, no es tan complicado adaptarse.

Y precisamente para facilitártelo al máximo, he dedicado todas las navidades a crear esta mega-guía en la que te guiaré en todos los puntos importantes para orientarte y prepararte para afrontar este reto que supone el nuevo RGPD y que “no te pille el toro”.

¿Qué son el reglamento y la ley de protección de datos y por qué existen?

Curiosamente, muchos profesionales siguen sin tener conocimientos sobre las normativas en materia de protección de datos, pese a que gestionan miles de leads (prospectos), contactos, bases de datos,… en definitiva, listas plagadas de datos personales.

  • ¿Sabes si puedes utilizar datos de seguidores de redes sociales para mandar información sobre tus servicios?
  • ¿Sabes que debes informar a tus suscriptores antes de requerirles datos?
  • ¿Conoces qué derechos tienen las personas que te confían sus datos y cómo puedes permitir que puedan ejercerlos?
  • ¿Sabes por cuánto tiempo puedes conservar esos datos?
  • ¿Tienes idea de si tu lista está suficientemente legitimada para que puedas trabajar con ella sin jugarte el tipo?
  • ¿Conoces los requisitos mínimos para realizar una campaña de email marketing adecuada al RGPD?

Podría seguir preguntando y lo cierto es que serían pocos lo que estarían en condiciones de responder correctamente a todas estas preguntas

La Ley de protección de datos y el reglamento, existen justamente por esta razón: marcan unas normas muy específicas para que gestionemos esos datos de forma segura, respetuosa con los derechos y garantista.

¿Cumples la Ley de Protección de Datos?

Con esta lista de chequeo y plantillas gratuitas:

  • Comprobarás si cumples la Ley de Protección de Datos.
  • Te guiará en implementar las medidas que faltan.
  • Tendrás modelos de textos para empezar.
  • Evitarás multas y problemas legales.
  • Mejorarás tu imagen profesional.

Obtén tu eBook aquí

Apúntate a nuestra Zona VIP y descárgate tu eBook ya

Es 100% gratis 🙂

Por otra parte, no se trata de cumplir como una exigencia legal, se trata de asumir que la información es el activo más valioso de nuestro negocio y que de su protección depende nuestra supervivencia en un mundo digital.

Se trata básicamente de generar entornos que generen confianza, en donde la información personal sea tratada lícitamente y cada persona sea consciente de quiénes tratan sus datos, con qué finalidades, con quienes los comparten y poder asumir decisiones al respecto.

¿Qué diferencia hay entre LOPD y RGPD?

Cuando hablamos de protección de datos, son muchos los conceptos que se mezclan.

Has escuchado muchas veces las siglas LOPD, que aluden a la Ley Orgánica de Protección de datos de carácter personal, pero este año te han asaltado otras que aparecieron hasta en el Sálvame: el RGPD, el Reglamento europeo de Protección de datos.

Para que no te sigas liando con las siglas, has de saber que la LOPD es una Ley de carácter nacional; por su parte, el RGPD es una regulación europea.

La naturaleza del Reglamento es que es de aplicación directa.

¿Esto qué significa? Que no necesita ninguna ley para implementarlo, tan solo necesita de un “aterrizaje local”.

Por esa razón, la versión española del RGPD ya ha estrenado nuevas siglas, “LOPDGDD”, la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, aprobada el 22 de noviembre de 2018 por el Senado después de un largo proceso de gestación y debate y publicada el 6 de diciembre en el BOE.

Como lo de las siglas se ha complicado bastante, yo he decidido llamarla llanamente “la nueva LOPD” que tiene como objetivo adaptar el RGPD al ámbito nacional, ya que en ningún caso puede contravenir ninguno de sus principios.

Solo puede regular aspectos específicos en los que cada país miembro puede pronunciarse, por ejemplo: la edad en la que establece la mayoría de edad desde el punto de vista de la protección de datos.

El derecho fundamental que la protección de datos persigue garantizar

El derecho fundamental que la protección de datos persigue garantizar y proteger es el tratamiento de los datos personales y los derechos fundamentales de las personas físicas; especialmente, el derecho al honor e intimidad personal y familiar.

Como dato curioso quiero contarte que España fue pionera en el reconocimiento del derecho fundamental a la protección de datos personales cuando dispuso en la Constitución Española que “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.

Recuerda que los datos personales afectan a nuestra intimidad, nuestra privacidad y a nuestra seguridad; por esa razón, se exige a todos los que los que tratan datos personales de terceros, que cumplan con una serie de requisitos que garanticen que estos tratamientos no vulneren derechos y libertades.

Por otra parte, como decía al principio, se otorga a los ciudadanos la capacidad de controlar su propia información personal para que puedan tomar decisiones sobre ésta, como establecer quién puede utilizar su información personal, con qué finalidad, hasta cuándo y pudiendo acceder, limitar, rectificar u oponerse a esa posesión o uso.

Es el propio ciudadano quien tiene la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como decidir sobre las finalidades con las que puede ser tratada su información y con quién puede ser compartida.

Ahora quiero que me acompañes en la siguiente reflexión: vivimos en una sociedad digital, somos ciudadanos 2.0, en alusión a esta casa; no obstante, en lo relativo a la protección de datos, muchas veces actuamos como neandertales.

Desconocemos las normas mínimas para un tratamiento seguro y los derechos fundamentales que deberíamos respetar antes de requerir datos a otros. Es posible que sea un juicio un poco duro, pero no menos cierto.

El nuevo reglamento europeo de protección de datos del 2018 (RGPD)

Hay un antes y un después del RGPD; para esta servidora, el RGPD marcó el inicio de una nueva conciencia colectiva en materia de protección de datos.

La avalancha de correos que recibimos todos para regularizar el consentimiento, nos hizo percatarnos de la cantidad de empresas que tenían nuestros datos sin que fuéramos conscientes de esa circunstancia.

El principal objetivo del RGPD a mi juicio era exactamente ese, el poder tomar conciencia de todas las empresas que almacenan nuestros datos y poder tomar decisiones informadas sobre esto.

También hemos sido más conscientes de la tomadura de pelo de las empresas y sus políticas de privacidad escritas en arameo.

El RGPD impuso de forma rotunda la claridad y que se escriban para personas normales, no para juristas. Un paso adelante hacia la honestidad en la gestión de la información.

Multiplica el Nº de clics en tus contenidos

Con este eBook gratuito de plantillas de copywriting crearás titulos que dispararán los clics en tus contenidos:

  • 77 Plantillas de títulos probadas que multiplicarán los clics.
  • Sacaras infinitas ideas crear tus propios títulos.
  • Con las palabras "mágicas" redactarás textos irresistibles.
  • Vale para todo: blogs, tiendas online, redes sociales, etc.

Obtén tu eBook aquí

Apúntate a nuestra Zona VIP y descárgate tu eBook ya

Es 100% gratis 🙂

En mayo se aprobó en el parlamento europeo, el reglamento europeo de protección de datos conocido como RGPD. Ríos de tinta corrieron por las redes y las bandejas de correo electrónico se vieron desbordadas de correos revalidando el consentimiento, informando de cambios, haciendo el paripé también a cuenta del RGPD.

Lo que debes saber es que el RGPD es el marco común de la comunidad europea en lo que respecta a la defensa de los datos personales. Antes, cada país tenía su propia regulación en esta materia, algo que no tenía demasiado sentido en un mundo globalizado en donde la información personal viaja constantemente sin pasaporte.

El nuevo reglamento europeo de protección de datos define derechos y obligaciones comunes a todos los estados miembros y a todos los ciudadanos europeos.

Su objetivo es proteger el tratamiento de los datos personales de ciudadanos europeos y esto ha obligado a los procesadores de datos personales a entrar dentro del marco del RGPD, ya que este reglamento obliga a adecuarse a todo el que trate datos personales de ciudadanos europeos, resida o no en la unión europea.

EL RGPD nace con la misión de fortalecer los derechos fundamentales de los ciudadanos en la era digital y armoniza también las obligaciones de las empresas en un mercado único digital.

He de señalarte que el objetivo de la normativa de protección de datos es que cada persona tenga control sobre el uso de sus datos personales; al tratarse de un derecho fundamental, está sujeto al cumplimiento de una serie de principios que todos los que tratamos datos debemos acatar.

Gracias al RGPD, los principales mercaderes de la información personal, como Google o Facebook, han tenido que implantar cambios profundos en sus políticas de privacidad y habilitar nuevos mecanismos de control para que los ciudadanos europeos podamos ejercer nuestros derechos.

Esto era algo impensable antes del RGPD; estas empresas se escudaban en países con regulaciones más laxas y convenientes. Ahora, como si se van a Tombuctú, deberán acatar el RGPD siempre mientras traten datos de ciudadanos europeos.

El reglamento y la nueva Ley Orgánica de Protección de Datos del 2018 en España

Como te explicaba al principio, en noviembre se aprobó la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, es decir, la nueva LOPD. En LEXblogger hemos preparado un extenso post sobre cómo adaptar tu negocio a la nueva LOPD 2019.

Cómo principal característica de esta nueva LOPD y tal como anticipa su nombre, se otorga un gran protagonismo a los derechos digitales de los españoles.

Recuerda que nuestra anterior LOPD existía desde el 1999; el mundo ha sufrido una transformación digital colosal, se han multiplicado los sistemas de procesamiento de información y esto necesitaba urgentemente una regulación que recogiera esta transformación y que pudiera dar un marco legal funcional al mundo digital.

En la nueva LOPD se apuesta por una internet segura e inclusiva, con garantía de acceso universal.

Una de las curiosidades de esta nueva LOPD es el derecho a la a la desconexión de la vida laboral, ya veremos si cuaja o no.

Para los que trabajamos en entornos digitales, se reducen los requisitos informativos exigidos por el RGPD en una primera capa, de 5 puntos se reducen a 3, es decir, habría que informar en una primera capa (en un primer momento) del nombre del responsable del tratamiento, su finalidad y derechos del usuario.

La Agencia Española de Protección de Datos. Inscripción de ficheros

En muchos casos, se ha reducido la adaptación a la ley de protección de datos a la inscripción de ficheros, como si un trámite garantizara que hacemos un uso correcto y seguro de la información personal de otro; así, por ciencia infusa, ”yo ya inscribí los ficheros, lo tengo todo resuelto”.

He escuchado esa frase miles de veces; tristemente, la sigo escuchando.

Verás, inscribir ficheros en la Agencia Española de Protección de datos era uno de los requisitos de la antigua LOPD que quedó extinguido con el RGPD, justamente porque creaba la falsa creencia de cumplimiento cuando se trataba de una mera formalidad.

Ahora ya no es posible declarar ningún fichero. De hecho, desaparece la palabra “ficheros”, ahora se habla de “tratamientos” y en lugar de los ficheros, deberás llevar a cabo un “registro de actividades de tratamientos (RAT)” en donde se describan los tratamientos que realizas y las medidas de seguridad que aplicas en cada caso. Luego veremos en qué consiste el RAT.

¿A quién obliga la ley de protección de datos?

Puedes pensar que, si eres un blogger o propietario de una pequeña web, no te afectan los temas relacionados con la protección de datos. Pero esto no es así.

La filosofía general del Reglamento es que, por defecto, cualquiera persona u organización que realice un tratamiento total o parcialmente automatizado de datos personales entra dentro del ámbito de aplicación de esta ley.

Si necesitas un hosting para tu web o tu blog, ¡actúa!

Lo que hace el Reglamento es establecer excepciones a esta obligación de cumplimiento, que puedes en el artículo 2 sobre el ámbito de aplicación material del Reglamento, donde la excepción más importante son las “actividades exclusivamente personales o domésticas”.

Es decir, la agenda de contactos personales de tu teléfono se puede considerar no sujeta al RGPD, pero una simple sección de comentarios de un blog (que recoge nombre y email del comentarista) sí lo estaría (salvo que el blog se pudiese considerar de uso exclusivamente personal, cosa que parece difícil si se trata de un blog público).

Vistos estos principios generales, hilemos un poco más fino con la aplicación al ámbito profesional.

¿Qué empresas que están obligadas por la Ley de Protección de datos?

Deben cumplir con la Ley de protección de datos todas las entidades públicas y privadas que utilicen cualquier dato personal en el desarrollo de sus actividades.

Es decir, si en tu trabajo diario tratas datos personales de terceros, por ejemplo: datos de proveedores, datos de clientes, datos de contactos de tu web, datos de suscriptores, datos de empleados, alumnos, pacientes, datos de navegación de usuario que recabas mediante cookies analíticas, etc., debes cumplir con la Ley de protección de datos, sin excepciones.

Todas las empresas que traten datos personales de ciudadanos europeos, independientemente de su tamaño, están obligadas a cumplir con la Ley de protección de datos europea, el RGPD.

Da igual que seas autónomo o empresa, tengas o no empleados, pertenezcas al sector público o privado, si eres una ONGs o una entidad sin ánimo de lucro; debes cumplir las exigencias de la ley de protección de datos y ofrecer las garantías suficientes a todos los que te facilitan sus datos.

Como decía anteriormente, si tu negocio está radicado fuera de la Unión Europea, deberás cumplir también siempre que trates datos de ciudadanos europeos.

La Ley de Protección de datos del 2018 para PYMES y autónomos

En protección de datos, el tamaño no importa. Los pequeños profesionales autónomos y por supuesto, las PYMES, también están sujetos a la Ley.

Está claro que, a menores tratamientos de datos, menores exigencias; las medidas de seguridad dependerán esencialmente del nivel de riesgo que entrañan esos tratamientos. No es lo mismo tratar datos de salud o de antecedentes penales, que un simple dato de contacto.

Es decir, no importa tanto el tamaño como el tipo de tratamientos que se lleven a cabo. Una gran empresa, con miles de empleados, puede tener requisitos de medidas de seguridad muy simples si trata, por ejemplo, solo datos personales de sus propios empleados y datos básicos de sus clientes.

Sin embargo, imagina ahora a un autónomo sin empleados que se dedica al big data y que maneja datos personales de millones de personas para realizar perfiles de comportamiento por cuenta de las empresas que le solicitan sus servicios.

Este autónomo deberá realizar una implantación verdaderamente exhaustiva de un sistema de protección de datos muy eficiente que garantice un tratamiento seguro y legítimo de toda esa información.

Lo mismo le ocurrirá a una persona que tenga una agencia matrimonial y que requiere datos completos de los candidatos para crear un perfil: va a pedir información académica, personal, sentimental económica, sexual, religiosa.

Esa información se considera muy sensible. la puede liar “muy gorda” si no tiene implantado un sistema de trabajo con un respeto riguroso a las normas de protección de datos.

El RGPD tienen un principio básico que es el de “responsabilidad activa”. Es decir, busca una actitud muy proactiva en lo referente a la protección de datos y que antes de llevar a cabo ningún tratamiento, analices a conciencia el riesgo que puede entrañar ese tratamiento desde el punto de vista de la privacidad de esa persona.

En base a los resultados debes realizar los ajustes necesarios y aplicar las medidas de seguridad necesarias para mitigar ese riesgo.

En cualquier caso, nos centramos en los inconvenientes y pocas veces analizamos las ventajas de una adecuación legal al RGPD; personalmente, yo me centro en estas tres:

ventajas adaptacion rgpd

Éstas son las tres ventajas más destacadas de una adaptación legal al RGPD.

Qué necesitas hacer para cumplir con la nueva LOPD

Hay una serie de trabajos y documentación mínima que tiene que realizar cualquier PYME o autónomo que trate datos personales, para adecuarse al RGPD y a la nueva LOPD.

Veamos cuáles son:

Crear tu registro de actividades del tratamiento (RAT)

Aunque el término suena rimbombante, éste es un simple documento interno que defina todos los tratamientos que realizas y las medidas de seguridad que aplicas.

Es un documento obligatorio y puede ser requerido por la autoridad de control (la agencia de protección de datos) en cualquier momento. Deberá estar actualizado en todo momento.

Más abajo te remito a modelos de plantillas que puedes usar para crear el tuyo.

Establecer protocolos de ejercicios de derecho, modelos de ejercicio y modelos de respuesta

Esto es algo básico para responder a los derechos que tienen los ciudadanos sobre su información personal, derechos a acceder, rectificar, limitar, oponerse o suprimir la información que le pertenece.

¿Podrías atender eficazmente a estos derechos si alguien te lo requiriera ahora mismo?

Es algo vital que sepas hacerlo, hay un plazo legal para dar respuesta y la negativa a responder es una infracción grave.

Establecer protocolos de declaración de brechas

El RGPD exige que siempre que tengas conocimiento de una brecha de seguridad que exponga información personal de otros tratada bajo tu responsabilidad.

Debes poner en conocimiento de esa brecha a la agencia de protección de datos y a los propios afectados; es decir, debes comunicar a esas personas que sus datos han sufrido un ataque para que tomen las medidas necesarias (cambiar contraseñas, etc.).

Para hacer todo esto bien, debes contar con modelos para notificar oficialmente a ambos, autoridad y afectados.

Contratos de confidencialidad y obligaciones RGPD para trabajadores y colaboradores

Una cuestión básica es informar a todas las personas que tienen acceso a información de terceros sobre sus obligaciones y responsabilidad respecto al tratamiento de datos que realizan.

Se trata de crear una cultura de protección de datos en tu organización, porque de poco servirán las mejores medidas de seguridad si tus empleados no las conocen.

¿Cumples la Ley de Protección de Datos?

Con esta lista de chequeo y plantillas gratuitas:

  • Comprobarás si cumples la Ley de Protección de Datos.
  • Te guiará en implementar las medidas que faltan.
  • Tendrás modelos de textos para empezar.
  • Evitarás multas y problemas legales.
  • Mejorarás tu imagen profesional.

Obtén tu eBook aquí

Apúntate a nuestra Zona VIP y descárgate tu eBook ya

Es 100% gratis 🙂

Están a la orden del día infracciones graves como utilizar datos personales de una base de datos con fines distintos a los informados u organizar una campaña de captación sin saber cuáles son requisitos legales para ello (es decir, informando y requiriendo el consentimiento previo).

Te sorprendería saber la cantidad de sanciones que ha impuesto la agencia de protección de datos por negligencias de empleados que no habían sido informados al respecto.

Contratos de encargo de tratamiento con terceros

Otro aspecto clave en el cumplimiento es que regules las relaciones con los encargados de tratamientos, es decir, personas o autónomos con los que compartes información personal del que eres responsable; por ejemplo, tu gestoría, tu webmaster, la empresa de mensajería, etc.

El RGPD exige que elijas solo a aquellos que ofrezcan las máximas garantías de tratamiento y, para ello, deben firmar un contrato que exprese los límites en el tratamiento y los deberes y obligaciones que tienen respecto a esos datos.

También tendrás que pedirles que acrediten cumplimiento; puedes mandarles un formulario para evaluarlos o pedirles pruebas específicas, como el RAT, capturas, etc.

A diferencia de la antigua LOPD, el RGPD exige mayor diligencia en la contratación de colaboradores y la exigencia de garantías; antes valía solo con el contrato.

Cláusulas específicas de información de uso obligatorio a incluir en todos los formularios

Debes incluir estas cláusulas en los lugares de captura de datos personales, en función de la finalidad de la información recogida.

La transparencia informativa es una pieza clave en el RGPD; se exigen nuevos mecanismos de información previa al tratamiento, esto te obligará a revisar todos tus sistemas de captura, tanto online como offline y asegurarte que informas correctamente, es decir, en una primera y segunda “capa” (diferentes momentos en la recogida).

También deberás garantizar que el consentimiento está presente en los casos en los que es preciso, por ejemplo, en los tratamientos de datos de personas en donde no exista otra base legal que legitime el tratamiento, como pueden ser los suscriptores o leads que recabes en tus campañas.

Adaptar tu página web a todas las exigencias del RGPD y la nueva LOPD

Tu web debería disponer de algunos textos básicos:

  • Política de privacidad.
  • Aviso legal.
  • Política de cookies.
  • Primeras capas informativas en cada formulario.

Debes saber que estar adecuado a la ley de protección de datos no es hacer un trámite ni tener unos textos de “quita y pon”; requiere adquirir una cultura de protección de datos en donde la protección de datos esté presente en todas las decisiones estratégicas de tu negocio.

Como la adaptación de una página web al RGPD y nueva LOPD es todo un tema en sí mismo, he redactado también un posts específico para ello:

adaptar pagina web rgpd proteccion datos Cómo adaptar tu página web al RGPD y a la Ley de Protección de Datos

Con el RGPD la protección de datos se ha vuelto definitivamente un tema muy serio. Aquí te enseño cómo adaptar tu web para no llevarte sustos.

Te recomiendo encarecidamente su lectura.

Principios y conceptos básicos de la Ley de Protección de datos y RGPD

Toda persona tiene derecho a protección de los datos personales que le conciernen; a partir de ahí, lo que debes saber es que no deberías tratar datos de terceros si no conoces esos derechos.

También se basa en algunos principios básicos, digamos que son las normas de circulación en el mundo de la protección de datos; estos principios son:

  • Los datos personales deben ser tratados de forma lícita, leal y transparente: básicamente se trata de tratar datos con máxima honestidad, informando con absoluta transparencia sobre todo lo que afecta al tratamiento, incluyendo el responsable, la finalidad, y los derechos que le asisten.
  • Los datos personales deben ser recogidos con fines determinados explícitos y legítimos:  tratando los datos exclusivamente para las finalidades para las que fueron recogidos e informando y con una base legal que legitime el tratamiento, como el consentimiento explícito o la relación contractual.
  • Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con el tratamiento: se trata de no requerir más información que la estrictamente necesaria para la finalidad; es de sentido común, tendemos acumular sin ser conscientes de que, a más información, mayor riesgo. Debemos ajustarnos a los principios de minimización, menos es más en protección de datos, no solicites más datos que los necesarios.
  • Los datos personales deben ser exactos y estar siempre actualizados: los datos personales envejecen y se transforman constantemente; debes asegurarte de que tus bases de datos se mantienen actualizadas y que responden a la realidad.
  • Los datos personales deben mantenerse de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento. ¿Sufres el síndrome de Diógenes? ¿Tiendes a acumular? Será importante que analices el ciclo de vida de cada registro y establezcas un sistema que te permita eliminarlo cuando no haya una finalidad que justifique su almacenamiento. Por ejemplo: un potencial cliente que te requiere un presupuesto hace 5 años ¿deberías mantener ese registro?; un CV de hace 3 años ¿tienen sentido almacenarlo cuando ya no está actualizada esa información y no vas a llamar nunca a ese candidato?
  • Los datos personales deben ser tratados de tal manera que se garantice su seguridad: Para eso deberás realizar un análisis de riesgo que establezca las medidas de seguridad adecuadas al riesgo, aplicarlas y supervisarlas periódicamente, aplicando técnicas de cifrado de datos, controles de acceso, copias de respaldo, antivirus, etc. Todo lo necesario para garantizar la integridad, la disponibilidad y la confidencialidad de esos datos que afectan a personas.

¿Qué es un dato personal?

Se define como dato personal cualquier información relativa a una persona física identificada o identificable, eso incluye imagen, voz, información biométrica, una dirección IP, es decir, cualquier dato que nos permita identificar a alguien.

Son datos personales también:

Nombre y apellidos, domicilio, dirección de correo electrónico, DNI, datos de geolocalización, etc.

He escuchado muchas veces esto: “yo solo tengo un blog sin formularios para monetizar mediante anuncios, no recojo ningún dato personal”.

Pues sí que recoge información personal, porque las cookies publicitarias recaban datos del usuario y le “persiguen” para mostrarles anuncios vinculados a sus búsquedas; por tanto, hay un tratamiento de datos personales sujetos al RGPD y la nueva LOPD, aunque no haya ningún formulario.

¿Qué es (era) un fichero de datos personales?

Las leyes evolucionan y los conceptos también.

Hemos pasado de llevar un registro de los ficheros, que había que declarar en la Agencia de protección de datos, a que sea exigible llevar un registro de los tratamientos interno, el registro de actividades del tratamiento (RAT) del que hablaba antes.

La antigua LOPD contemplaba la expresión de ficheros y los definía como “un conjunto organizado de datos de carácter personal, independientemente de cuál sea la forma o modalidad de creación, almacenamiento, organización y acceso”.

Por ejemplo, “ficheros de recursos humanos”, “fichero de clientes”, etc. El RGPD y la nueva LOPD suprimen esta expresión y la reemplazan por la palabra “tratamiento”. Ya no se habla de “ficheros de datos personales”, sino de “tratamientos de datos personales”.

Por su parte, se denomina “tratamiento” a cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Para que entiendas mejor la diferencia, a un solo fichero, por ejemplo, el fichero “clientes” se le pueden atribuir diferentes tratamientos, como:

  • La prestación de un servicio o venta de un producto.
  • Envío de publicidad de otros productos o servicios de la organización.
  • Envío de información sobre eventos organizados por la empresa.

El documento de seguridad en el RGPD

En la antigua LOPD, se establecía la obligatoriedad de elaborar un Documento de Seguridad por parte de los responsables de los ficheros.

Este documento debía identificar los ficheros y especificar las medidas técnicas y organizativas en función los ficheros. Este documento debía de ser de obligado cumplimiento por parte del personal con acceso a los sistemas de información.

Las medidas de seguridad podían de tipo bajo, medio o alto.

Con la llegada del RGPD, desaparece el Documento de Seguridad, igual que desaparecen los ficheros.

En su lugar, se exige al responsable del tratamiento y en su caso, del encargado, un registro de actividades de tratamiento que describa esas actividades y las medidas de seguridad aplicadas.

En lugar de establecerse por niveles (alto-medio-bajo) el RGPD establece que esas medidas serán establecidas en función al riesgo detectado, para lo cual se exige un análisis de riesgo previo al tratamiento.

El registro de actividades de tratamiento o RAT, deberá incluir:

  1. Nombre y datos de contacto del responsable y, en su caso, del corresponsable, representante del responsable y del delegado de protección de datos.
  2. Finalidades del tratamiento.
  3. Categoría de interesados y categoría de datos personales.
  4. Categoría de destinatarios a quienes se comunicaron o comunicarán datos personales, así como terceros países u organizaciones internacionales.
  5. Transferencias de datos personales a un tercer país o una organización internacional.
  6. Plazos previstos para la supresión de los datos, cuando sea posible.
  7. Descripción general de las medidas técnicas y organizativas de seguridad.

El RAT incluye básicamente, la declaración de ficheros y el documento de seguridad; es una fusión de ambos.

La figura del responsable del tratamiento de datos

El responsable del fichero es la persona física o jurídica que decide sobre el tratamiento de los datos; con qué finalidad se van a utilizar, con quién se van a compartir, durante cuánto tiempo se van a conservar, etc.

Por ejemplo, si tú tienes una web con un formulario de suscripción, eres responsable de ese tratamiento en tanto eres la persona que decide sobre la finalidad con que vas a tratar esos datos.

El responsable del tratamiento deberá determinar si, cuando finalice la prestación de los servicios del encargado, los datos personales deben ser destruidos, devueltos al responsable o entregados, en su caso, a un nuevo encargado.

La figura del encargado del tratamiento de datos

Por su parte, el encargado del tratamiento es la persona física o jurídica que trata datos personales por cuenta del responsable del tratamiento.

Normalmente, se trata de un tercero que realiza determinadas tareas por encargo del responsable, como una gestoría, un webmastser, una empresa de email marketing.

Es decir, siempre que, como responsable, tengas que compartir datos de clientes, empleados, suscriptores, etc. con otra empresa o un autónomo para que realicen un trabajo para ti que implique el tratamiento de estos datos, estamos hablando de una relación de encargo de tratamiento que implica la presencia de un contrato de encargo que defina las condiciones del tratamiento, finalidades, obligaciones, etc.

Recuerda que antes te explicaba que el RGPD refuerza las exigencias en esta materia y obliga a los responsables a acreditar mayor diligencia en la elección de los encargados y que solo elijas aquellos que acrediten garantías de cumplimiento.

Los datos especialmente protegidos en la LOPD y RGPD

Entendemos por datos sensibles, o especialmente protegidos, aquellos que tienen una especial incidencia en la intimidad, las libertades públicas y los derechos fundamentales de la persona.

Desde esa perspectiva y debido a su impacto en la privacidad de las personas, se requiere un nivel mayor de protección.

En la antigua LOPD, entre los datos especialmente protegidos encontrábamos: datos de ideología, religión, creencias, origen racial, salud, vida sexual, comisión o infracciones penales o administrativas.

Con el RGPD, se mantienen los datos que la antigua LOPD definía como especialmente protegidos y añade tres categorías más:

  • datos genéticos,
  • datos biométricos,
  • orientación sexual.

Por otra parte, se exigen nuevas condiciones para su tratamiento, como la seudonimización o anonimización, el cifrado, la necesidad de un informe de impacto sobre la privacidad (EIPD).

También se exige recabar el consentimiento explícito y específico para una finalidad concreta.

Las transferencias internacionales de datos en el RGPD

Este concepto es muy relevante en protección de datos en un contexto de sociedad digital globalizada en donde, de forma habitual, utilizamos herramientas que almacenan datos personales que están ubicadas en países fuera de la Unión Europea. Es el caso de herramientas de email marketing, analíticas o incluso redes sociales.

Se entiende como transferencia internacional de datos, la transmisión de datos personales desde el Espacio Económico Europeo, es decir, los países de la UE más Liechtenstein, Islandia y Noruega a otros países fuera de la Unión europea.

Por ejemplo: si tienes un simple blog con un hosting situ en EEUU, los comentarios (que se almacenan en la base de datos de WordPress) serían una transferencia internacional de datos a EEUU, porque se envían y almacenan en un servidor en EEUU. Por la misma lógica, si tu hosting es español, no lo son.

Si necesitas un hosting para tu web o tu blog, ¡actúa!

La transferencia internacional de datos exige que solo se puede llevar a cabo si se cumplen una serie de condiciones establecidas en el RGPD, de tal forma que el nivel de protección de los derechos y libertades de las personas no se vea vulnerado.

De esta manera, el responsable y el encargado del tratamiento pueden transferir datos a un tercer país u organización internacional, si se han establecido las garantías adecuadas y los afectados cuentan con los derechos exigibles y acciones legales efectivas.

Entre estas garantías están:

  • Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos.
  • Normas corporativas vinculantes.
  • Cláusulas tipo de protección de datos adoptadas por la Comisión.
  • Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión.
  • Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados.
  • Mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados.

Recuerda que, si la transferencia internacional de datos es consecuencia de una prestación de servicios, debes suscribir un contrato de prestación de servicios por tercero conforme a lo dispuesto en el art. 28 del RGPD.

Toda esta complejidad en la práctica queda muy reducida, porque las empresas internacionales “serias” como SiteGround (hosting), MailChimp (email marketing), etc. disponen de contratos con cláusulas tipo adoptadas por la comisión, que puedes descargarte.

También es importante que adviertas de estas transferencias en tus cláusulas informativas y que requieras un consentimiento específico con esta transferencia.

Recuerda que, siempre que vayas a compartir datos con una empresa fuera del territorio español, deberás:

  • Averiguar primero si se trata de un país con nivel adecuado de Protección de Datos. De momento, estos son los países que cuentan con ese nivel: Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay, Nueva Zelanda.
  • Privacy Shield: Si se trata de empresas radicadas en los Estados Unidos, que se trate entidades certificadas en el marco del Escudo de privacidad UE-EEUU (Privacy Shield). Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de 2016.

De nuevo, las empresas conocidas suelen haber hecho sus deberes y ya están preparadas en sus contratos contigo para todo esto. Para ti, será poco menos que automático al firmar el contrato de servicio (o actualizarse el existente).

No obstante, conviene asegurarte de que realmente es así y que aporten algunas de las garantías indicadas en el apartado anterior.

Novedades y adaptación al reglamento europeo y la Ley de protección de datos del 2018

Como vengo repitiendo a lo largo de este post, casi coincidiendo con las uvas, se aprobó finalmente la nueva LOPD, la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, (LOPDGDD) como ley de carácter nacional (España) y que integra todas las disposiciones del RGPD.

El tener una norma común en todos los estados miembros solo puede traducirse en ventajas, ya que no solo armoniza todas las regulaciones europeas, sino que acaba con el escaqueo legal al que nos tenían acostumbrados empresas como Google o Facebook.

Estas empresas se amparaban en regulaciones más laxas para hacer su agosto gracias a nuestros datos personales. Lo seguirán haciendo, claro, pero ahora tendrán que asumir muchas más obligaciones y enfrentarse a sanciones desorbitadas de las que antes se libraban tan fácilmente.

La nueva LOPD es una norma necesaria para la adaptación del ordenamiento español a la regulación europea y, proporcional a este objetivo, para aportar seguridad jurídica.

Me parece muy oportuna la infografía realizada por Correos para resumir las principales novedades:

novedades nueva lopd

Aquí puedes ver cuáles son las principales novedades de la nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).

El RGPD nos ha proporcionado una regulación más uniforme del derecho fundamental a la protección de datos en el marco de una sociedad cada vez más globalizada y digitalizada.

Personalmente creo que, en esa universalidad y esa actualización de la regulación a los nuevos paradigmas digitales en el tratamiento de la información, residen las principales novedades del RGPD y la nueva Ley de protección de datos en España.

Se requerían nuevas leyes para nuevos tiempos en donde ya hablamos de big data, machine learning, BYOD, el Internet de las Cosas, inteligencia artificial y muchas otras nuevas tecnologías que generan constantemente nuevos procesamientos de información que repercuten directamente en nuestras vidas.

Es innegable que, a medida que se multiplican los sistemas de tratamientos, se multiplican exponencialmente los riesgos ya que estos datos son cada día más accesibles, por más actores, y cada vez es más difícil el control de su destino y uso.

De ahí la necesidad de una nueva regulación que dé cuenta de estos avances tecnológicos y refuerce la seguridad jurídica y la transparencia.

Desde la perspectiva de un profesional digital, las cuestiones más visibles que debes afrontar para no delatarte como infractor son dos:

El derecho a la información:

Hasta ahora, las políticas de privacidad de las empresas eran opacas, farragosas, incomprensibles para la mayoría de los mortales; el RGPD exige un cambio radical en ese sentido.

requisitos informacion

Estos son los requisitos que ha de tener la información.

La nueva LOPD o LOPDGDD consolida el deber de implementar estrategias de información y transparencia por capas, garantizando un mínimo indispensable de información visible.

Por otra parte, se modula el ejercicio de los derechos, debiendo garantizar accesibilidad y gratuidad de estos y favoreciendo el acceso digital a los datos mediante fórmulas de ”acceso remoto, directo y seguro a los datos personales”.

El ejemplo del formulario de suscripción de esta casa ilustra perfectamente cómo debe requerirse información, cómo se debe informar por capas y los elementos a integrar en cada formulario:

formulario captacion

Éste es el formulario de suscripción de Ciudadano 2.0. Fíjate en que no se ve el botón de «Aceptar», en este caso, para reforzar aún más el acto del consentimiento, el botón aparece una vez marcada la casilla de aceptación.

  • Verás que incluye una casilla de selección (check box), no marcado por defecto, para recoger el consentimiento conforme a las exigencias del RGPD.
  • También incluye una primera capa informativa visible y accesible justo debajo de los campos.
  • Enlaza con la segunda capa informativa: la política de privacidad.

Entre otras cosas, el RGPD y la nueva LOPD exigen que las políticas informativas que expresan la voluntad de las empresas sobre la información de los ciudadanos cumplan algunos requisitos:

  • Que sean accesibles.
  • Que sean comprensibles para sus destinatarios.
  • Que estén sujetas al consentimiento libre, inequívoco, específico e informado por parte de los afectados.

Como responsable, deberás asegurarte de que todos tus mecanismos informativos cumplen con estas condiciones.

El consentimiento reforzado

Se incorpora la necesidad de un consentimiento real, verificable y granular; es decir, que sea específico.

No puedes requerir un consentimiento genérico para diferentes finalidades. No debe deducirse del silencio, ni valen las casillas marcadas de antemano.

Todos tus formularios deben incluir un sistema que recabe el consentimiento de acuerdo con estos requisitos y que permita acreditarlo; concretamente, un formulario que no incluya una casilla que genere a su vez un registro, es un formulario granada, puede estallar en cualquier momento.

El RGPD nos obliga a reformular todas nuestras estrategias, en especial, las de marketing.

La nueva figura del delegado de protección de datos

Esta figura ya estaba presente en otros países, el RGPD la impone en determinados supuestos como:

  • Si el tratamiento de los datos corre a cargo de una autoridad u organismo público.
  • Si las actividades y operaciones principales del responsable de datos exigen seguimiento regular y sistemático a gran escala.
  • Si las actividades y operaciones principales del responsable requieren tratamientos a gran escala de datos personales que tienen que ver con delitos y condenas.

Lo más relevante que debes saber es que el delegado de protección de datos es la persona que actúa como interlocutor del responsable o encargado del tratamiento ante la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos.

Tiene que tener determinadas cualidades y acreditar conocimientos. De hecho, ya hay un registro oficial de delegados de protección de datos certificados de diferentes entidades.

Entre sus muchas funciones, el delegado de protección de datos podrá inspeccionar los procedimientos relacionados con el cumplimiento del RGPD y emitir recomendaciones en el ámbito de sus competencias.

Tampoco podrá ser removido ni sancionado por el responsable o el encargado por desempeñar sus funciones, salvo que incurriera en una negligencia grave en su ejercicio.

Por supuesto, el RGPD y la nueva LOPD establecen que se debe garantizar su independencia dentro de la organización, debiendo evitarse cualquier conflicto de intereses.

El cambio de los tres niveles de seguridad a…

Los niveles de seguridad previstos en la antigua LOPD no seguirán siendo válidos con el RGPD.

Como te explicaba antes, cambia el enfoque de la seguridad, se abandona la estandarización el niveles bajo, medio, alto y se pasa a un modelo basado en el enfoque de riesgo.

Podrás seguir aplicando las mismas medidas que establecía la antigua LOPD, si el resultado del análisis de riesgos previo indica que las medidas que estabas aplicando son realmente las más adecuadas para ofrecer un nivel de seguridad adecuado.

Lo que es evidente es que tendrás que realizar ese análisis de riesgo y establecer las medidas técnicas y organizativas en función de:

  1. El coste de la técnica.
  2. Los costes de aplicación.
  3. La naturaleza, el alcance, el contexto y los fines del tratamiento.
  4. Los riesgos para los derechos y libertades.

Para resumir y clarificar:

En la antigua LOPD, estaban definidas y tipificadas con detalle las medidas de seguridad que debían aplicarse según el tipo ficheros.

Con el RGPD los responsables y encargados establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado, en función de los riesgos detectados en el análisis previo.

Además, el RGPD exige que se tome en consideración el principio de responsabilidad proactiva.

Los derechos ARCO en la nueva Ley de Protección de Datos

El RGPD nos trae nuevos derechos a los otorgados por la anterior LOPD y conocidos como derechos ARCO: acceso, rectificación, cancelación, oposición.

A esos derechos se les añaden otros tres:

  • Derecho a la limitación del tratamiento.
  • Derecho a la portabilidad.
  • Derecho al olvido.
infografia nuevos derechos rgpd

Nuevos derechos en la Ley de Protección de Datos.

Cabe destacar especialmente que el derecho a cancelación o supresión se amplía al mundo digital con el derecho al olvido.

El objetivo de estos nuevos derechos es el de ofrecer un mayor control a los ciudadanos sobre su propia información personal.

Como empresa o profesional, debes permitir ejercer estos derechos de forma gratuita. También estás obligado a informar en tus textos legales sobre los medios que has habilitado para ejercitar estos derechos. Estos medios deben ser accesibles.

Recuerda que las solicitudes deben responderse en el plazo de un mes aunque, si se tiene en cuenta la complejidad y número de solicitudes, se puede prorrogar el plazo otros dos meses más.

Si la solicitud se presenta por medios electrónicos, la información deberás facilitarla también por estos medios cuando sea posible, salvo que el interesado solicite que sea de otro modo.

Si, como responsable, decides no dar curso a la solicitud, deberás informar al solicitante a más tardar en un mes, de las razones de su no actuación y la posibilidad de reclamar ante una Autoridad de Control, en el caso de España, a la Agencia Española de Protección de datos.

Las personas deben poder ejercer los derechos directamente o por medio de su representante legal o voluntario.

Esta infografía de la agencia española de protección de datos ilustra muy bien estos nuevos derechos desde la perspectiva del ciudadano.

infografia usuario lopd

Información de la Agencia Española de Protección de Datos sobre los derechos que tienes para proteger tus datos personales.

El derecho al olvido en la protección de datos y RGPD

Es el de derecho que tiene cualquier persona a que se suprima todo enlace que contenga información personal en internet, o las copias o réplicas de tales datos.

Por supuesto, no es tan sencillo como que un buscador elimine o desindexe un artículo o contenido que te afecte, porque solo se puede hacer efectivo si no se trata de información de interés público.

¿Cuándo se puede ejercer el derecho al olvido? Échale un vistazo al siguiente gráfico:

derecho olvido rgpd

El derecho al olvido ha sido una de las grandes novedades del RGPD.

Las sanciones de la Ley de Protección de datos de carácter personal

Desde la aplicación del RGPD, las denuncias a la Agencia Española de protección de datos han crecido un 33%; en Gran Bretaña, el 160%, algo que da cuenta de la sensibilidad en cada caso respecto al valor de la información personal.

Lo que es evidente es que el ciudadano es cada vez más consciente de sus derechos y cada vez será más exigente con las empresas y profesionales que los gestionan.

En la nueva LOPD se vuelve a la clasificación de la antigua LOPD entre infracciones muy graves, graves y leves, tomando en consideración la diferenciación que el Reglamento General de Protección de Datos establece al fijar la cuantía de las sanciones.

Por supuesto, debes saber que las sanciones han aumentado notablemente: con la antigua LOPD, el importe máximo estaba en los 600.000€; ahora ese tope está en los 20 millones de euros o el 4% de la facturación bruta anual, lo que sea mayor, así que es mejor no tentar a la suerte.

Por otra parte, debes saber que se establece un nuevo sistema de indemnizaciones.

Es decir, aparte del tema sancionador, cualquier afectado puede requerir, además de la sanción, una indemnización si se demuestra que sus derechos se han visto vulnerados.

Así que cuidado con no dar pistas, recuerda que delatarte como infractor por no tener políticas adecuadas ni formularios ajustados a la ley, puede incitar al oportunismo de empresas competidoras u otros que actúen con mala fe contra ti.

Modelos de documentos útiles para la Ley de Protección de datos del 2018

Cómo habrás visto a lo largo y ancho de este post, son muchos los documentos y materiales que necesitas para realizar un cumplimiento efectivo y riguroso del RGPD y de la nueva ley de protección de datos del 2018.

Aquí puedes descargarte algunos de los modelos más importantes que te serán muy útiles para ir adecuando tu web y/o tu empresa:

descarga plantillas rgpd

Descarga las plantillas aquí.

Pero has de saber que, para hacerlo realmente bien, no basta con tener unas plantillas de quita y pon; necesitas que todos esos documentos respondan a la realidad de tu negocio, es decir, deben ser fiel reflejo de la singularidad de tu actividad.

Para ayudarte, te daré algunas pautas de cosas que debes tener en cuenta para crear tus modelos, aunque te recomiendo que siempre cuentes con un profesional de confianza para supervisar que todos cumplen de forma exitosa con lo exigido.

Lo primero que tienes que saber es qué tipo de sistemas de captura de datos estás utilizando. En la herramienta de LEXblogger puedes seleccionar aquellos que utilices, definir la finalidad para cada uno, los destinatarios, el tipo de información que recoges y generar cláusulas específicas a incluir en cada uno de ellos.

adaptacion comentarios blog

Ejemplo de generación de las cláusulas de primera capa con LEXblogger.

Por ejemplo, para el formulario de contacto, podrás obtener la primera capa:

sistemas captura informacion

Sistemas de captura de información.

Modelo plantilla de consentimiento de protección de datos para clientes y usuarios

Para crear un texto de consentimiento del usuario tienes dos formas de hacerlo: informando en modo párrafo o tipo lista.

1.   Modelo de consentimiento tipo párrafo

Este modelo es un simple texto.

Información básica de protección de datos

Le informamos que sus datos personales serán tratados por “NOMBRE DEL RESPONSABLE” con la finalidad de ___________________.

Sus datos podrán ser cedidos a las entidades necesarias para realizar esta gestión: __________________________________.

Este tratamiento de datos es necesario para ______________________ y sus datos serán conservados ________________ o durante los plazos de prescripción marcados en la ley.

Ud. puede ejercer sus derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento de sus datos dirigiéndose a “NOMBRE DEL RESPONSABLE”, con domicilio fiscal en DIRECCION o a CORREO ELECTRONICO, acompañando copia de su DNI acreditando debidamente su identidad.

En cualquier situación, Ud. tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD).

Información adicional: enlace a la política de privacidad

En………….., a ….. de……………….de 20..

Firma del interesado:

<firma>

2.   Tipo lista (igual que lo anterior, pero en formato lista)

Este modelo, más compacto, se presenta como una pequeña lista de puntos.

Información básica de protección de datos

Responsable:

Finalidad:

Derechos:

Información adicional

<enlace política privacidad>

Modelo plantilla de cláusula para contratos de encargados del tratamiento

La agencia española de protección de datos ofrece modelos de cláusulas adecuadas para realización de estos contratos. Los puedes descargar al final de esta guía con directrices para la elaboración de contratos de encargo.

La herramienta de LEXblogger, en su módulo de documentación de actividad, te genera todos los contratos de encargo en función a los proveedores que hayas declarado en la aplicación:

contrato prestacion servicios

Ejemplo de un contrato de prestaciones de servicios por terceros, generado por LEXblogger.

Modelo plantilla de registro de actividades de tratamiento

El registro de actividades de tratamiento debe describir cada uno de los tratamientos que se lleven a cabo e incluir las medidas de seguridad que se van a aplicar en cada caso.

Un profesional autónomo lleva a cabo algunos tratamientos tipos:

  • Tratamientos de clientes para facturación.
  • Tratamientos de potenciales clientes para prospección y seguimiento de ofertas.
  • Tratamientos de usuarios/suscriptores para envío de comunicaciones comerciales y boletines.

En cada tratamiento, se debe definir lo siguiente:

  1. Nombre y datos de contacto del responsable del Tratamiento.
  2. Finalidad del tratamiento.
  3. Descripción de las categorías de las categorías de datos personales.
  4. Categorías de datos personales.
  5. Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales.
  6. Los plazos previstos para la supresión de las diferentes categorías de datos.
  7. Origen y procedencia de los datos.
  8. Medio de obtención / mecanismo de recogida de los datos personales.
  9. Sistema de tratamiento.
  10. Aplicación o sistema informático concreto de tratamiento.
  11. Sistema no informatizado concreto de tratamiento: Nombre y cargo del Responsable Funcional.
  12. Áreas, Departamentos y/o Personas que traten o accedan a datos personales.
  13. Procedimiento de ejercicio de derechos de protección de datos.
  14. Datos de contacto de la persona que gestiona el ejercicio de los derechos de protección de datos.
  15. Nivel de riesgo provisional.

Por ejemplo, el registro de tratamiento de LEXblogger, incluye los siguientes puntos:

registro tratamientos

Registro de tratamientos para el ejemplo de LEXblogger.

Texto de protección de datos para facturas

El texto que se muestra a continuación deberás incluirlo en todos aquellos formularios que utilices para recabar datos personales de tus clientes, tanto si se realiza en soporte papel, como si se hace en soporte electrónico.

Es decir, se aplica a documentos como facturas, albaranes, presupuestos, etc.

Responsable Tratamiento: <razón Social>
Teléfono:  <indicar teléfono>

Correo electrónico: <E-MAIL>

“En <NOMBRE Y RAZÓN SOCIAL> tratamos la información que nos facilita con el fin de prestarles el servicio solicitado.

Los datos proporcionados se conservarán mientras se mantenga la relación comercial o durante los años necesarios para cumplir con las obligaciones legales.

Los datos se cederán a terceros, para dar cumplimiento a la finalidad recogida en nuestra Política de Privacidad (consultar texto “Política de Privacidad”), además de en los casos en que exista una obligación legal.

Usted tiene derecho a obtener confirmación sobre si <Razón Social>, trata sus datos personales, por tanto, tiene derecho a acceder a sus datos personales, rectificar los datos inexactos o solicitar su supresión cuando los datos ya no sean necesarios.

Asimismo, solicito su autorización para ofrecerle productos y servicios relacionados con los solicitados”
Casilla SI / NO

AVISO: Debes tener en cuenta que, si tu cliente marca la opción NO, en ningún caso podrás enviarle publicidad ni correos promocionales.

Texto de protección de datos para emails

Y, finalmente, aquí te dejo un texto que podrás incluir en todos aquellos formularios que utilices para recabar datos personales de tus clientes, tanto si se realiza en soporte papel:

De conformidad con el reglamento europeo en materia de protección de datos 2016/679 del parlamento europeo y del consejo del 27 de abril del 2016 relativo a la protección de datos de las personas físicas (RGPD), le recordamos que sus datos son tratados por……………..como responsable.

Estos datos son gestionados con la finalidad de informar y comunicar todo aquello relativo a la prestación de nuestros servicios profesionales y actividades relacionadas con la web ……………………………..

Recibe este correo porque has facilitado y/o cedido voluntariamente su dirección electrónica. No obstante, puede ejercer sus derechos de acceso, rectificación, limitación y suprimir los datos en –………………………..(poniendo en el asunto “Ejercicio de derechos» y adjuntando una copia de su DNI), así como el derecho a presentar una reclamación ante una autoridad de control.

Recuerda que todos sus datos serán tratados con la máxima confidencialidad según las vigentes leyes 2016/679 de protección de datos de personas físicas (RGPD), y 34/2002 de Servicios de la sociedad de la información y de comercio electrónico (LSSI-CE).

Conclusiones y consejos finales

Llegar hasta aquí no debe de haber resultado sencillo, como no lo ha sido escribir un post de semejante tamaño, pero ahora mismo, tienes en tu poder todo el conocimiento necesario para realizar la reconversión digital y crear un entorno respirable de confianza.

Recuerda que no sobrevive el más fuerte, sino el que mejor se adapta. Asumir una cultura de protección de datos debería ser una prioridad en tu estrategia de continuidad de negocio.

Tú puedes hacerte el sueco y rezar para que ningún cliente, empleado o suscriptor te denuncie y comprometa seriamente tu bolsillo y tu reputación, o ponerte las pilas y asumir que puede generarte enormes ventajas asumir una gestión responsable y segura de la protección de datos.

Estamos estrenando un nuevo año y debemos asumir nuevos retos: ganarnos la confianza y el consentimiento de los usuarios a cambio de aportarles valor. Ese es el eje principio fundamental del marketing moderno y, en particular, del marketing digital.

Para ayudarte, a continuación te puedes descargar gratis una lista de comprobación (una checklist) con los puntos clave que debes tener en orden para estar tranquilo con el RGPD.

¿Cumples la Ley de Protección de Datos?

Con esta lista de chequeo y plantillas gratuitas:

  • Comprobarás si cumples la Ley de Protección de Datos.
  • Te guiará en implementar las medidas que faltan.
  • Tendrás modelos de textos para empezar.
  • Evitarás multas y problemas legales.
  • Mejorarás tu imagen profesional.

Obtén tu eBook aquí

Apúntate a nuestra Zona VIP y descárgate tu eBook ya

Es 100% gratis 🙂

Y si no quieres hacerlo todo tú mismo, en mi empresa, LEXblogger, te ofrecemos la herramienta que te ayuda a cumplir con todos estos requisitos de forma autónoma, sencilla y eficiente y rigurosa.

Avatar

Acerca del autor: Marina Brocca

Marina Brocca es la autora del blog marinabrocca.com.

Consultora, especialista en protección de datos, cumplimiento normativo y seguridad en el nuevo entorno digital, se ha especializado en asesoramiento a empresas en el marco legal de acciones de marketing y social medida.

Es también ponente y formadora habitual en diversos seminarios y cursos de formación relacionados con proyectos de negocio, protección de datos y marketing legal.

Marina colabora también, en calidad de autora, con medios digitales como: Mail Relay, Puro Marketing, Semrush, Marketing and web, Blogger3.cero, Santander Advance, o Digital Marketing Trends.


Comentarios

  1. AvatarDaniel dice

    Hola Marina,

    Primero felicitarte por tu post, me ha servido de gran ayuda.
    Por otro lado, necesito un poco de orientación ya que no estoy muy puesto en este mundo.
    Dentro de unos meses mi compañía y yo queremos lanzar un nuevo tipo de CRM en el mercado español, ya está siendo implantado tanto en Asia como en Irlanda. Queremos abrirnos mercado en el mercado Español pero previamente me gustaría saber cómo está el tema de Protección de datos en España. Necesito un poco de guía por donde empezar a mirar ya que cada país tiene sus distintas leyes y hacer las modificaciones necesarias dentro del software.
    Ahora mismo Irlanda es uno de los países Europeos que más estrictos están en este apartado, me gustaría saber que diferencias hay entre España e Irlanda para saber por dónde tirar. Si pudieses, como he dicho, orientarme por donde empezar a mirar para no dar palos de ciego y malgastar tiempo te lo agradecería.

    Gracias y un cordial saludo.

  2. AvatarTaisa dice

    La verdad es que sorprende que siga habiendo empresas que no cumplen lo más básico. Está claro que para emprendedores autónomos (donde hay un gran boom) no es fácil para todo el mundo aplicar las medidas o las desconocen. Pero empresas más grandes deberían hacerlo.

    Yo tuve un problema con una clienta, que no se dio cuenta y se le caducó el dominio de su web. Lo compraron, además para meter publicidad y redirecciones a páginas dudosas… Un tipo con numerosas demandas ya, por lo que pude averiguar además. Y en las metadescripciones de la búsqueda de google aparece el nombre completo de mi clienta del aviso legal aún!! No hemos conseguido que Google retire la información todavía, y ya hace meses… ¿Dónde debería reportarse esto?

  3. AvatarIvan dice

    ¡Muy buen artículo y super bien redactado! Gracias por toda la info.

    Tengo una duda. He creado una aplicación para android en la cual pido geolocalización y además los usuarios se pueden registrar dando su email y una contraseña. Luego una vez registrados pueden añadir algun dato más como nombre año de nacimiento y poco más.

    Qué es lo que necesito exactamente? No quiero tener ningún problema. De momento en el momento del registro voy a poner una casilla que diga que aceptas la politica de privacidad. Y ahí es donde tengo que poner toda la información nuestra, qué datos necesitamos, durante cuanto tiempo y demás. Pero con eso ya estaría todo?

    Muchas gracias de antemano!

    Ivan

  4. AvatarAntonio dice

    Hola, excelente artículo! Gracias por la aportación.
    Me surgen alguna duda en cuanto a las webs de directorios de profesionales. En mi caso quiero hacer una web donde se listen profesionales relacionados con oficios de la construcción por zonas, electricistas por ejemplo. Según he leído en varios sitios la nueva LOPD y en base al concepto del «interés legítimo», el tratamiento de datos de contacto y en su caso los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica estarán habilitados bajo la base jurídica del artículo 6f) del RGPD, es decir, el interés legítimo del Responsable del tratamiento, siempre y cuando se cumplan los siguientes requisitos:
    – Que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional.
    – Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.

    Por tanto, se puede decir que el desarrollador de este tipo de webs está amparado por la LOPD para usar esos datos mínimos en su sitio web?

    Gracias de antemano

    • AvatarMarina Brocca dice

      Hola, Antonio.

      Todos los sitios web están amparados por el RGPD y la nueva LOPD, es decir, no hay sitio prohibido por estas regulaciones; de lo que se trata es de aplicar los principios que regulan estos tratamientos, es decir, informar adecuadamente, requerir el consentimiento cuando corresponda, tener políticas adecuadas.

      Básicamente, lo que debes hacer es adecuar tu web al RGPD y definir en tus políticas la base legal para el tratamiento de los datos de tu directorio.

      Un abrazo.

  5. AvatarGonzalo dice

    Buenas tardes: soy un particular que tuvo un incidente en un centro lúdico. Publiqué en una página de Facebook de mi localidad lo sucedido, no dando el nombre de la empresa pero si su ubicación. La respuesta de la empresa, fue publicar a través de un usuario de Facebook, un comunicado poniéndome pintando y nombrando me, nombre y apellidos, que tomaron de la reclamación que les puse. Me parece increíble que hayan mentido y faltado a mi honor. Me puede aconsejar que hacer? Que multa les pueden meter y si además puedo solicitar daños y perjuicios? Gracias

    • AvatarMarina Brocca dice

      Hola Gonzalo, si has presentado una reclamación privada ante el centro y este ha difundido tus datos en una red social, tienes derecho a presentar una denuncia o reclamación ante el propio centro y/o ante la Autoridad del control, en este caso, la Agencia Española de Protección de datos.

      Te copio la respuesta dela propia Agencia en relación a las diferentes opciones que tienes:

      «Si usted alberga dudas acerca de dicho tratamiento puede dirigirse directamente al responsable del tratamiento, a través de los canales de contacto previstos por este, donde puede asimismo ejercer sus derechos, los cuales deben ser atendidos de forma gratuita, según lo previsto en el artículo 12 del RGPD.

      En el caso de que el responsable no haya resuelto las cuestiones planteadas, de conformidad con el artículo 38 del RGPD, puede ponerse en contacto con el Delegado de Protección de Datos (DPD) que, en su caso, haya designado el responsable o el encargado de tratamiento, entre cuyas funciones figura la de supervisar el cumplimiento de la normativa de protección de datos.

      También puede hacer uso de los mecanismos de mediación, procedimientos extrajudiciales y otros procedimientos de resolución de conflictos, previstos en el artículo 40 del RGPD, para resolver las controversias surgidas con los responsables del tratamiento.

      Finalmente y sin perjuicio de las acciones ejercitables ante los Tribunales de Justicia, contempladas en el artículo 79 del RGPD, puede presentar una reclamación ante la Agencia Española de Protección de Datos, de acuerdo con lo señalado en el artículo 77.»

      Te paso enlace al formulario de reclamaciones de la Agencia.

      Espero haberte ayudado,

      Un abrazo
      https://sedeagpd.gob.es/sede-electronica-web/vistas/formNuevaReclamacion/limeSurvey.jsf

  6. AvatarClara dice

    ¡¡¡¡¡Excelente artículo!!!!

    En referencia a divulgar el nombre, por ejemplo cuando enviamos un wasap, correo, sms, etc con textos como:….» En relación a lo hablado con Laura Goyanes, directora de BCC….» estaríamos por tanto incumpliendo la ley, aún no indicando la totalidad de los datos.

    • AvatarMarina Brocca dice

      Hola Clara, es una pregunta muy genérica y muy imprecisa que no me permite dar una respuesta clara, habría que valorar la pertinencia de la mención, el contexto de la mención, la licitud de ese tratamiento, la finalidad de la mención, etc. , no obstante, WhatsApp nunca es un canal recomendable para comunicaciones corporativas y menos cuando se comparte información personal, respecto a la totalidad de los datos, eso es irrelevante, porque toda información que permita identificar a otros, es un dato de carácter personal y está sujeto al RGPD y a la nueva LOPD.

      Un abrazo

  7. AvatarJose Luis dice

    Buenos días.

    Tengo una empresa de limpieza y tengo la duda de si en los contratos que firme con los clientes se debe firmar, también, un acuerdo de encargado de tratamiento. Los datos personales que voy a facilitar son el nombre y apellidos de los trabajadores que van a prestar el servicio en el lugar que se fije por el cliente.

    Por otro lado, en la firma de un contrato en la que no voy a facilitar ningún dato personal, ¿debería existir en el contrato alguna clausula relativa a los datos personales de las personas que firman el contrato?

    Muchas gracias.

    • AvatarMarina Brocca dice

      Hola Jose,
      En tu caso, necesitas resolver 2 cuestiones esenciales:
      1) Información a proporcionar a los trabajador en relación al tratamiento de datos de carácter personal (incluyendo destinatarios a quienes vayas a proporcionar sus datos) y cláusulas de confidencialidad.
      2) contratos de encargo de tratamiento con empresas que traten esos datos para prestarte un servicio .

      Por lo tanto, en cada relación profesional que suponga acceso a datos personales que la empresa establezca con terceros externos, es muy importante que se asegure que el correspondiente contrato de prestación de servicios refleje todos los condicionantes indicados en el artículo 12 de la LOPD y el RGPD, habiendo informado al propietario de los datos de esta cesión, preservando sus derechos ARCO.

      Un fuerte abrazo

  8. AvatarJesús Gómez dice

    Hola, Marina.

    Estoy preparando una app en la que se listan los desguaces de vehículos de España. Mi base de datos se nutre de datos de internet.

    Entre ellos figuran: nombre de la empresa, teléfono, dirección y correo-e.

    Doy la opción a los mismos de inscribir 10 ofertas de forma gratuita y para ello tienen que registrarse con tres datos: usuario, clave y correo-e, que debe coincidir con el de la lista de mi base de datos.

    ¿Cuál es el tratamiento correspondiente que debo hacer para cumplir la ley?

    Muchas gracias y un saludo.

    • AvatarMarina Brocca dice

      Hola Jesús.

      Para empezar, tienes que diferenciar entre dos tratamientos:

      1) El de las empresas de desguaces.
      2) El de los usuarios que van buscarlas.

      La app debe incluir todos los elementos informativos y de consentimiento descritos en este post pero, además, establecer qué tipo de permisos va a requerir la app sobre el terminal de los usuarios; es decir, deberán ser los pertinentes, adecuados y necesarios.

      También sería importante tener un informe de impacto sobre la privacidad de los datos tratados, un informe de riesgos y la aplicación de medidas adecuadas en función al riesgo establecido.

      Recuerda que la adaptación de tu app al RGPD es un aspecto clave para el éxito de tu negocio, así que me alegra que te estés preocupando por este tema y si además te ocupas de resolverlo correctamente, ¡bingo!

      • AvatarJesús Gómez dice

        Hola de nuevo, Marina.

        Hay algo que no te comenté en el primer comentario y es que el artículo es muy bueno, es concreto, completo y muy pedagógico, es tan bueno que por ello «alarma» un poco, pero no tu artículo sino la ley en sí.

        La cantidad (y calidad) de los requisitos y elementos a tener en cuenta es muy importante, y «pesada», cosas de las leyes. En el caso de un negocio bien estructurado desde un principio, con presupuesto (y dotación económica )inicial de gastos para ponerlo en marcha todo esto hay que tenerlo en cuenta y lo mejor, después de leer el artículo, es dejarlo en manos de un profesional.

        Pero hay una enorme cantidad de «aficionados» a la programación de aplicaciones en general que lleva a cabo pequeños proyectos muy interesantes, pero que no tienen de antemano ninguna seguridad de éxito (algo cada vez más frecuente en Internet) e incluso que no disponen de dinero para acudir a un profesional para que le legalice su proyecto; ¿qué pueden hacer? Pues dos cosas: o trabajar mucho más en lo accesorio que en el propio proyecto, para quizás hacer algo mal y verte en un gran problema, o abandonar el proyecto, algo que quizás sea una pena por lo que podría aportar a la comunidad de
        usuarios de Internet.

        Yo en mi caso tengo un blog (sobre política y ciudadanía), al que le he anulado los comentarios, otro blog sobre relatos escritos por mí, que acabo de cancelar, una página web sobre los barrios de la ciudad de Sevilla que lo tengo en «stand by» y cuatro apps casi bastante avanzadas pero sin publicar, precisamente por miedo.

        Perdona si me he extendido demasiado, simplemente creo que con estas leyes, y no estoy de acuerdo con «utilizar libremente» lo ajeno, creo que solo tiene cabida en internet el «business». Eso sí, nos quedan de momento las redes sociales, siempre, claro está, que no te bloqueen por verter opiniones que no interesan.

        Muchas gracias por tu tiempo y felicidades por el artículo.

  9. AvatarMónica dice

    Hola, Marina.

    ¡Excelente artículo!

    Estoy en proceso de creación de un blog y me pregunto qué obligaciones tendría si me decido por un sistema de registro a través de terceros, por ejemplo: Facebook, Twiter o Google.

    En realidad, los únicos datos que mi sitio necesitaría en un principio para funcionar serían un nick o seudónimo y e-mail.

    Sin embargo, si todo sale bien, más adelante podría ofrecer servicios de pago, con lo que necesitaría nombre real y otros datos que ya figuran en las redes sociales . No me queda claro si utilizando esta opción, los responsables de los datos serían esas redes o también mi blog.

    Muchas gracias.

    • AvatarMarina Brocca dice

      Hola Mónica, desde el momento es que tu capturas información personal para una finalidad propia, eres responsable de ese tratamiento y debes cumplir con todas las exigencias que se mencionan en este post, es independiente de dónde se originen esos datos, porque imagino que te refieres a poder logarse desde un perfil social y por tanto, desde el momento en que un usuario se registra en tu web con su perfil social, tu eres enteramente responsable del tratamiento de esa información y debes cumplir con todas exigencias que plantea el RGPD y la nueva LOPD, incluyendo el deber de infiormar y requerir el consentimiento de esos usuarios.

      Fíjate hasta dónde llega tu responsabilidad que incluso si tienes una fan page, la ley dice que eres corresponsable de ese tratamiento junto con la red social.

      Lo mismo ocurre con las opciones de pago, con mucha mas razón, si tu recabas los datos de pago, no tiene ningún sentido que las redes sociales se hagan cargo de un tratamiento que no realizan.
      Espero haberte ayudado con la respuesta.

      Un fuerte abrazo

  10. AvatarAlfredo dice

    Buenos días.
    Soy miembro de la junta de gobierno de una mancomunidad de propietarios, que cuenta con unas oficinas con un ordenador, donde se guarda muy diversa información, desde la inocua como puede ser el horario de apertura de las piscinas, otra menos inocua como datos relativos a proveedores y contratos, y alguna muy delicada, como puede ser la relativa a denuncias ante la guardia civil o a las cámaras de vigilancia de la urbanización.
    Hasta ahora tenían acceso el conserje/encargado de la urbanización y el presidente, pero ambos puestos han cambiado de titulares y los nuevos no nos atrevemos a entrar en el ordenador por no vernos afectados por la ley de protección de datos. De momento tenemos el ordenador en las oficinas bajo llave, pero es una herramienta necesaria para el día a día de la mancomunidad. Por otra parte, en algún momento podría ser necesario acceder a alguna información delicada.
    ¿Que se puede hacer para disponer de esa información?. Se nos ocurre que accedan, por ejemplo el presidente y el encargado, previa firma de un compromiso de confidencialidad, algo así como el secreto de confesión .
    Gracias por su consejo

    • AvatarMarina Brocca dice

      Hola Alfredo, lo más importante es que exista un acta con los nuevos nombramientos, esos nombramientos estarán reflejados en el registro de actividades de tratamiento que debería tener la mancomunidad , así como las bajas de los usuarios que ya no tienen acceso. Si hay nuevos nombramientos, y están dados de alta como usuarios con permisos de acceso y tratamiento, no habría problema , tampoco estaría de más firmar acuerdos de confidencialidad y contar con una guía de uso seguro de información personal y recursos . os recomiendo una adecuación al RGPD que os dará todo lo necesario para proceder con plenas garantías a esa información y evitar errores que puedan comprometer legalmente a la mancomunidad.

      Un fuerte abrazo

  11. AvatarDavid dice

    Buenas tardes.

    En el caso de que un texto de información hiciera referencia al «LOPD – Artículo 5 . Derecho de información en la recogida de datos», ¿cuál sería el equivalente con la nueva ley orgánica?

    Gracias.

    • AvatarMarina Brocca dice

      Hola David,

      Los derechos a la transparencia e información del interesado se encuentran, regulados en los artículos 12, 13 y 14 del RGPD, y en el artículo 11 de la LOPDGDD (la nueva LOPD).

      El derecho de información se encuentra regulado por un lado en el «principio de transparencia» se configura como un instrumento para satisfacer los derechos del interesado (artículo 12 RGPD), y por otro, el derecho a la información del interesado correlativamente (artículos 13 y 14 RGPD) se vincula con unas obligaciones concretas relacionadas con el deber de informar.

      En cuanto a la LOPDGDD se regula en el título III sobre los Derechos de las persones en su «artículo 11. Transparencia e información», donde básicamente se recogen las disposiciones del RGPD.

      Espero haberte ayudado, un abrazo y gracias por comentar

  12. Avatarrocio dice

    Buenos días, Marina.

    Trabajo en una inmobliaria pequeña y tengo contratos que no contemplan la cláusula de recogida de datos. Me gustaría que me aclararas qué debo de hacer respecto a dichos contratos para poder cumplir con la legislación de protección de datos.

    Gracias.

    • AvatarMarina Brocca dice

      Hola Rocío, todo proceso de recogida de información personal exige incluir cláusulas informativas claras y transparentes, en un formato de capas, lo ideal es que contactes con un profesional para que analice el tipo de información que recabas y te prepare cláusulas informativas adecuadas para incluir en tus contratos y en el resto de documentación que trabajes en la inmobiliaria, facturas, albaranes, notas de encargo, etc

      También indicarte que una inmobiliaria recaba datos financieros que requieren un análisis de riesgo previo y un registro de actividades de tratamiento, es básico para la continuidad de tu negocio y para evitar sanciones derivadas del incumplimiento.

      Un abrazo

    • AvatarMarina Brocca dice

      Hola Antonio,
      No dice nada específicamente sobre centros comerciales porque lo que defiende la Ley es la información personal y en ese sentido, una imágen es un dato de carácter personal y para tratarlo, debes contar con los principios que regulan el tratamiento de la información personal.
      Es decir:, en le momento que una fotografía permita identificar a una persona claramente debes:
      1) Contar con el consentimiento especifico, del afectado para ser fotografiado
      2) Si la persona es menor de 14 años habrá que solicitar ese consentimiento de padres o tutores legales.
      3) Informar con anterioridad de la finalidad de la captación de imágenes, lugares donde se van a publicar y quién puede acceder a ellas
      4) Informar con qué destinatarios se van a compartir esas imágenes
      5) informar de los derechos que tiene esa persona sobre su propia imagen.

      Otra cosa es que hagas tomas desde arriba en donde solo se ven cabezas que impiden la identificación de una persona, pero siempre que una imagen permita identificar a una persona, es necesario cumplir con todos los requisitos explicados.
      Un abrazo

      • AvatarAntonio dice

        Muchísimas gracias por tu respuesta, superprofesional!! Sólo una duda,si las fotos son del producto,su implantación o del establecimiento, y NO de las personas?

        • AvatarMarina Brocca dice

          Recuerda que se trata de una regulación que protege solo la información de carácter personal, un producto o un local no son datos personales y por tanto, no sujetas a esa regulación.
          Un abrazo

      • AvatarAntonio dice

        De nuevo, muchísimas gracias!! La información más completa no puede ser, superprofesional!
        Tengo una nueva pregunta, con respecto a la información que una empresa tiene de sus antiguos empleados, a la hora de una entrevista para un nuevo puesto, una 2* empresa puede solicitar referencias a otra empresa sobre un trabajador a la que ya no pertenece? Que pasa con esa información, con el historial y su vida laboral? Antonio, un saludo y gracias!

        • AvatarMarina Brocca dice

          Hola Antonio, aunque es una práctica común, lo cierto que incluso antes del RGPD, el facilitar información sobre un trabajador sin el consentimiento de este consitituia una infracción de la antigua LOPD ya que e trataría de una cesión de datos del trabajador (art. 11 de la LOPD) para la que necesitamos su consentimiento previo. Esto es así porque esta cesión de datos no es en absoluto necesaria para el mantenimiento o cumplimiento de la relación laboral que manteníamos con el trabajador, que ya ha finalizado.

          Con el RGPD esta exigencia no ha cambiado, se sigue precisando un consentimiento expreso, libre. específico, inequívoco e informado para poder ceder datos acerca de un trabajador a un tercero.

          Hay que tener en cuenta que desde el momento en que finaliza la relación laboral con un trabajador, todo lo que se quiera hacer con sus datos personales, salvo que esté amparado por una Ley, deberá contar con su consentimiento previo.

          De hecho, el facilitar datos de un ex trabajor supone un riesgo de sanción, por lo que deberíamos evitar esta práctica a menos que el trabajo nos haya facilitado una autorización expresa para proporcionar esta información y dónde consten los datos de la empresa a la que se facilitarán los datos.
          Como veo que el tema de la protección de datos te interesa, te recomiinedo pasarte por mi blog personal dónde encontraras un montón de artículos prácticos que aclaran este tipo de cuestiones.

          Un abrazo

  13. AvatarLaura dice

    Buenos días:

    Me gustaría hacerte una consulta por si pudieras ayudarme.

    Me queda claro la parte de informar en el momento de recabar los datos, pero no sé como actuar en el caso de datos que ya dispongo y que he obtenido por distintos medios, no siempre directamente del interesado.

    ¿Tendría que enviar un correo a cada uno solicitando el consentimiento explícito informado indicándoles que datos tengo y cómo los he obtenido? y en caso de no obtenerlo ¿borrar los datos?

    En caso de que esto sea así, ¿cuánto tiempo se espera a recibir respuesta y que podría hacer si no la obtengo: borro los datos o insisto?

    Muchas gracias de antemano

    • AvatarMarina Brocca dice

      Hola Laura, justamente en este post lo explicamos https://www.lexblogger.com/el-consentimiento-de-los-suscriptores/

      Respecto a tu base de datos, uno de los requisitos es que sea verificable, es decir, deberás acreditar que lo has obtenido conforme exige la ley, algo imposible si no has obtenido los datos del interesado y que convierte esos registros en una bomba de relojería, por tanto, o buscar la manera de obtener el consentimiento, o los borras directamente.

      Lo último es una jugada arriesgada, porque le tienes que «confesar» a esos registros que no has obtenido sus datos legalmente y requerirles su consentimiento para poder seguir tratándonos, pero dependerá de la relación que mantengas con ellos.

      En cualquier caso, para poder decir que el consentimiento es acreditable, las empresas deben de poder acreditar y documentar lo siguiente:

      ¿Quién otorgó su consentimiento?: Se debe poder identificar al titular de los datos por su nombre u otros elementos que puedan identificarle. Además, se debe poder demostrar si se ha revocado o no el consentimiento. En caso de que se revoque, se debe poder demostrar cuándo fue revocado.

      ¿Cuándo y cómo se otorgó el consentimiento?Si el consentimiento se realiza por escrito y de forma online, es necesario obtenerlo con un sello de tiempo.

      ¿Qué información recibió la persona que consintió? Para cumplir con la exigencia que establece el RGPD de mayor información se recomienda implantar un modelo de información por capas o niveles, como el que expongo en el post.

      Mi recomendación es nunca tener registros que no cumplan con ese requisito, a menos que tengas otra base legal para tratarlos, como una relación comercial o el interés legítimo, mejor eliminarlos de la lista y empezar a captar leads de forma legítima, como se hace en este blog por ejemplo.

      Un abrazo

      • AvatarLaura dice

        Buenos días.

        En mi caso no se trata de una lista de suscriptores a un blog; tengo datos de personas que se han apuntado a actividades que hemos realizado, otra lista de la newsletter, otra de personas que han colaborado, etc. y quería unificarlos para poder enviarles información de actividades y talleres. Cuando se inscribieron obtuvimos los datos de forma «legal», pero en ese momento no se les pidió el consentimiento para ese fin; por eso ahora sí quiero enviarles información sobre actividades; no sé si tendría que solicitarles consentimiento, porque nos dieron consentimiento para tratarlos en el marco de esa actividad o colaboración en concreto.

        Por otro lado, otros de los datos los he obtenido a través de repositorios y por eso tampoco sé si podría enviarles un correo solicitando el consentimiento, indicando que datos tengo y para qué quiero usarlos (envío de información sobre actividades futuras).

        Gracias.

  14. AvatarAdoración Requena dice

    Hola Marina, estoy apunto de lanzar mi blog aunque llevo un año dilatándolo por tema de trabajos. Ahora tengo contenidos y estoy en la fase de lanzarme a conseguir audiencia. Me frena el hecho de la nueva legislación. Querría saber como salvaguardarme que texto tengo que poner, si hay plantillas y en qué partes de la web. Para mí, si no lo entiendo mal es muy simple si pides el consentimiento con los textos validados para el efecto y aceptan pues es que estan interesados en recibir tu información y consejos sobre productos o servicios que puedan adquirir en tu web u otras (marketing de afiliación). Me equivoco? Muchas gracias.

    • AvatarMarina Brocca dice

      Hola Adoración, no tienes que preocuparte por la legislación, se trata de acometer algunas acciones en tu blog para asegurarte que cumples con la legalidad y que tu blog será percibido como sitio seguro y de confianza .

      Como explico en el post, esta adecuación legal no se resuelve con plantillas, pero tienes una solución mucho más sencilla en el mismo post para contar con una adecuación legal 100% rigurosa, efectiva, y que incluye un seguro anti sanciones, Mira la herramienta de LEXblogger que utilizan en este blog y verás que fácil y que económico te resulta dormir tranquila.

      Un fuerte abrazo

  15. AvatarCarlos García Pérez dice

    Hola Marina,
    Muchas gracias por el post.
    La verdad que es muy desalentador. Una cosa es proteger la privacidad de una persona física y otra no permitir ninguna actividad comercial entre empresas en las que el correo es la única forma de contactar.
    Tenía un proyecto para proveer a empresas españolas de información de mercados internacionales y potenciales distribuidores en el ámbito de la alimentación y de esta manera es meramente imposible hacerlo. No entiendo como puede ser tan restrictivo este asunto cuando lo que se estarían gestionando son correos que son públicos y de libre acceso en internet en sus propias webs.
    – ¿Hay alguna manera que pueda seguir para cumplir con la ley y proveer de esta información a terceros?
    – ¿Podría hacerse facilitando listados de empresas que no contuvieran emails y tan sólo nombre de la empresa, actividad y web?
    – ¿Podríamos dirigirnos a esos emails con intenciones comerciales mencionando en el primer contacto que en el caso de que no tuviéramos autorización expresa a partir de ese momento se dejaría de enviar información a dicha empresa?

    No sé si opinas así, pero como te comento , es lo restrictivo llevado al extremo y de esta manera, las conexiones comerciales con potenciales clientes sólo van a poder hacerse físicamente lo que dificulta muchísimo cualquier actividad.
    Muchas gracias por la brillantez del post.

    Quedo a la espera de tus comentarios.

    • AvatarMarina Brocca dice

      Hola Carlos, creo que no se trata de restricciones a secas, de hecho, no hay prohibiciones absolutas, lo que se intenta hacer es poner alguna normas para que las comunicaciones se realicen de forma legitima, no instrusiva y se limite la práctica del SPAM, que es la lacra de la sociedad digital.

      Se debe evolucionar hacia una cultura del permiso y eso exige plantear nuevas estrategias que permitan obtenerlo y realizar un marketing más cercano, mas personalizado y más comprometido.

      Que algunas direcciones estén Internet, no nos da permiso para meterlas en listas y bombardedarlos de publicidad que no han solicitado, ni autorizado ni consentido.
      Por otra parte hay que diferenciar a las dos regulaciones que entran en juego en las comunicaciones electrónicas:
      La LOPDGDD- RGPD, ambas protegen el dato personal, por tanto, si no interviene ninguna información personal en la comunicación, no aplico.

      La LSSI, no distingue entre persona física y persona jurídica y prohíbe toda comunicación comercial que no haya sido autorizada o solicitada expresamente.

      La opción de enviar listados de empresas que no incluyeran emails y tan sólo nombre de la empresa, actividad y web, es perfectamente legal y no colisiona con ninguna regulación.

      Otra opción es contactar para pedir autorización para ponerse en contacto comercialmente, en este caso, esta primera comunicación, si no incluye ofertas, también sería válida, en cualquier caso, hay millones de estrategias de atracción que se pueden utilizar para atraer a tu publico objetivo en lugar de hacer puerta fría.
      Suerte y un abrazo

      • AvatarCarlos García Pérez dice

        Buenos días, Marina.

        Muchas gracias por tu respuesta.

        Entiendo tu posición perfectamente, porque hay empresas que abusan de manera «enfermiza» del spam, aunque también creo que se ha regulado a nivel empresarial con un cariz de protección de lo personal y son dos ámbitos muy diferentes.

        Creo sinceramente que, a negocios nuevos que necesitan de promoción, siendo el mailing marketing una herramienta muy importante, les hace mucho daño esta normativa.

        De la misma manera, si se considera spam cualquier email de carácter masivo, ¿no se le consideraría también a aquel que se mandara de este modo para pedir permiso para mandar una propuesta comercial y de esa manera tomar ese paso previo con el que estaríamos respetando la ley?

        Yo entiendo por spam, el envío de propuestas comerciales continuadas en el tiempo, sea por una vía u otra, sin que el interesado sea cliente o haya mostrado interés en ningún momento por esa propuesta.

        Si lo entendemos de esta manera, ¿por qué no podría mandar yo mi propuesta comercial a una empresa que hace público su correo (incluso correos de departamentos de purchasing) en el que especificara que, si no se respondía al mismo, entenderíamos que no habría interés y no volveríamos a contactar con ellos? Evitaríamos el paso anterior y no creo que eso fuera spam. Sería una primera y última vez en caso de que no se hiciera efectivo ese interés.

        Por otro lado, ¿se entiende por información personal en listados también además del correo, el número de teléfono de la empresa? Lo único que se me ocurriría es trabajar con listados de distribuidores sin correo electrónico y dar la oportunidad a nuestros terceros clientes de contactar directamente a esos teléfonos para recibir el mencionado permiso.

        Por último, hablabas de estrategias de atracción y que existen muchísimas y tienes toda la razón, pero creo que para una nueva pyme como pueda ser la mía, o de cualquier emprendedor, la inversión en posicionamiento es muy costosa y el Social Media es muy long-term para crear algo que pueda tener repercusión. Quizás me equivoque en este sentido, pues no soy ningún especialista, pero es la impresión que me da.

        Quiero agradecerte de nuevo tu post y me encantaría que pudieras darme alguna última impresión respecto a este comentario.

        Un saludo.

        • AvatarMarina Brocca dice

          Hola Carlos, me planteas muchas cuestiones como yo si yo fuera el regulador que hace las leyes y ciertamente no lo soy , soy un simple emisario de lo que dice la ley e intento explicar en cristiano lo uno y lo otro. Entiendo tu posición, pero solo puedo decirte lo que hay, que es básicamente lo que explico en el post, puedes estar más o menos de acuerdo, pero lo cierto, es que son leyes de cumplimiento obligado.

          Por otra parte, discrepo de tu ultimo comentario «la inversión en posicionamiento es muy costosa» este post es el claro de ejemplo de lo contrario y es como yo he conseguido alcanzar mayor audiencia y posicionar mis servicios, sin invertir ni un solo céntimo, a través de marketing de contenidos y guest post. Llevo años utilizando la misma estrategia y jamás me hizo falta hacer puerta fría, doy visibilidad a mis servicios aportando valor a otros, te aseguro que no le pago a este medio ni un céntimo, Berto y Raquel pueden dar fe de ello, se trata de explorar otras formas de conquistar audiencia sin ser intrusivos y te aseguro que muchos profesionales y pymes ganan clientes de esta forma.
          Seth Godin , uno de los referentes mundiales del marketing, a quien las regulaciones le importan nada, es el precursor del marketing de permiso como estrategia funcional y clave en la consecución de resultados, el expresa cosas como esta:

          «El concepto básico del marketing del permiso es muy simple: todos y cada uno de nosotros venimos al mundo dotados de una cantidad limitada de tiempo y una de las actividades vitales más importantes que debemos aprender es saber administrarlo sabiamente. “Prestar atención a algo”, a lo que sea, es un acto consciente que requiere un esfuerzo consciente. Por esa razón, una de las formas de vender algo al consumidor en el futuro simplemente consiste en obtener su permiso previo. Para ello, es necesario entablar un diálogo con los consumidores, creando una relación interactiva en la que participen tanto ellos como nosotros. En lugar de limitarse a interrumpir un programa de televisión con un anuncio o de invadir la vida del consumidor con una llamada improcedente o por medio de una carta, el profesional del marketing del futuro primero debe intentar obtener el consentimiento del consumidor para participar en el proceso de venta. Una empresa ahora puede preguntar directamente a un consumidor si desea recibir más información y así después proporcionársela. Ahora puede gratificar a un cliente por haber recibido y leído su mensaje, asegurándose así de que se satisface el interés del cliente por conocer las características de un nuevo producto o servicio»

          Por tanto, ya no es solo una cuestión legal , es una cuestión de sentido común, márketing y legalidad como ves, van de la mano.

          Un abrazo

  16. AvatarM. Antonia dice

    Me gusta muchísimo el post, muchas gracias!!
    Me ha servido para conocer todo este tema de la protección de datos y poder aplicarlo en la página que estoy creando.

  17. AvatarJavier dice

    Hola buenas tardes, muy buen artículo, muchas gracias.

    Quisiera preguntar si es lícito que la empresa en calidad de encargado de tratamiento de datos cobre por facilitarte dicho documento, ya que en mi caso con una conocida empresa española de Email Márketing así me lo han dicho, y nada menos que un mínimo de 500€ sólo por ello.

    Gracias!

    • AvatarMarina Brocca dice

      Hola Javier, no tengo claro a que te refieres con » cobrar por dicho documento» ¿por el contrato de encargo? ¿por e RAT? me gustaría que me aclares este tema, me resulta del todo extraño que un encargado de tratamiento cobre a un responsable por cualquier tipo de documentación en materia de protección de datos, a menos que se dedique justamente a eso, a realizar adecuaciones en materia de protección de datos.
      Un abrazo

      • AvatarJavier dice

        Muchas gracias Marina,

        Les he solicitado que devuelvan firmado el impreso en el que constan como encargados del tratamiento de mis datos.

        Además del pago (a cuenta de sus servicios jurídicos) me piden que entregue lo siguiente, entre los que más me llama la atención el punto 1 ya que tengo mil y pico suscriptores que además se dieron de alta en su propia plataforma con doble opt-in y siguiendo la nueva normativa del consentimiento RGPD en mi sitio web):

        1. Autorización por escrito de cada suscriptor permitiendo a recibir información para el uso que se pretende.
        2. Documento acreditativo del procedimiento para la cancelación y rectificación de los datos de sus suscriptores.
        3. Autorización de los suscriptores para el tratamiento de datos como:
        4. Base Jurídica del Tratamiento (campañas de email marketing, generación de contactos, boletines, etc), transferencias internacionales, plazo previsto de conservación de los datos, y elaboración de perfiles, en caso positivo deberá también mostrar qué criterios y lógica se va a seguir para la creación de dichos perfiles y la importancia o consecuencia para el usuario.
        5. Acreditación de haber informado al suscriptor si las finalidades son distintas a las previstas para el tratamiento.
        6. Una evaluación de Impacto sobre la protección de datos (EIPD): incluyendo los tipos de tratamiento, naturaleza de datos, y número de interesados afectados.
        7. Verificación fehaciente de que cada suscriptor es mayor de edad o que su representante legal ha autorizado el registro.

        • AvatarMarina Brocca dice

          Honestamente, es la primera vez que veo que un responsable debe facilitarle a un encargado toda esa información, lo lógico es que sea justo al revés, que tú, en calidad de responsable le exijas a todos tus encargados que acrediten debidamente el cumplimiento de sus obligaciones en materia de RGPD, es justamente lo que exige la ley, lo del cobro ya si que me ha terminado de descolocar completamente y respecto al EIPD, debería realizarse sobre nuevos tratamientos que vayas a realizar, no sobre los que ya realizas, al menos deberían matizar eso.

          En cualquier caso, en mi caso particular, nunca he visto algo como lo que me comentas, siento no poder ayudarte más en este sentido.
          Un abrazo

  18. AvatarFrancisco dice

    Tremendo y completísimo articulo, muchas gracias.

    Sin embargo, esperaba que hablases de la realidad de esta nueva Ley de Protección de Datos; me refiero a la falta de cumplimiento, casi un año despues, por parte no solo de quien se dedica al mundo online, sino al mundo offline.

    Por ejemplo, he comprobado que entre el 70% y 80% de los abogados no solo no la cumplen, sino que directamente ¡no han hecho nada! y eso teniendo en cuenta que ¡son Nivel 3 (alto)! Por no hablar de miles de empresas españolas que pasan de todo.

    Además, hay una percepción de que no pasa nada por no cumplirla, ya que desde su aprobacion aún llega más spam desde empresas españolas y otras prácticas.

    ¿Por qué ocurre eso? Pues por 2 fallos importantes de la Ley: la total falta de inspecciones (de hecho, no hay inspectores a pie de calle para esto que sancionen a las empresas). Y.. la falta de medios fáciles, claros y rápidos en España para denunciar éstas y otras prácticas que van en contra de estas Leyes.

    Sí, ésta la Agencia de Protección de Datos, pero para denunciar es complicado, leeeento y todo son barreras, por lo que sé de buena tinta que nadie denuncia, excepto a empresas tipo Google, Facebook, etc. y por eso la mayoría de la gente ya empieza a identificar estas Leyes con grandes corporaciones multinacionales ya que, en realidad, la pequeña empresa es inmune o eso parece.

    ¿Pruebas de esto? Fácil: ¿se escuchan en los medios casos de pequeñas empresas sancionadas? No, solo de Google, etc. Si se arreglaran estos 2 graves problemas y se empezaran a conocer casos de empresas sancionadas, otro gallo cantaría, pero de momento, aquí no pasa nada y las empresas pasan del tema (igual que ya hicieron con la anterior Ley del 99).

    • AvatarMarina Brocca dice

      Hola Francisco, en primer lugar, gracias por la valoración del post y por acercarte a comentar.
      Respecto a tus observaciones, tienes razón en lo que respecta al nivel de cumplimiento, es muy deficiente, debido en gran parte a falta de cultura de responsabilidad social frente al dato y a que efectivamente, no existen inspecciones de oficio.

      A mi juicio, lo triste es que es que el único motor de cumplimiento sea el temor sancionador, no debería serlo, cumplir debería ser parte de un pacto de confianza y transparencia, ligado a la ética del tratamiento , algo básico en las relaciones de confianza.
      Yo tengo claro que los jueces e inspectores más implacables son los usuarios y clientes que serán más selectivos con los prestadores a quienes les confían su información y se decantarán por aquellos que les ofrezcan garantías suficientes, el RGPD es suficientemente delator, hoy cualquier usuario puede ponerte la cara colorada en público si tu web no cumple (y créeme que lo hacen) , si eso no moviliza a las empresas o autónomos a cumplir, es que tienen menos visión que un topo.

      Un fuerte abrazo !

      • AvatarFrancisco dice

        Cierto y deberia ser asi, solo por responsabilidad profesional pero vivimos en España y aqui tristemente es tradicion lo de que si no hay sancion no hay accion. En el mundo online, tal y como dices, muchos usuarios se fijan en estas cosas cada vez mas pero en el mundo offline o el «mixto», el panorama es desolador. Como sabes desde la entrada en vigor parece que se han incluso aumentado las campañas de llamadas por empresas de telemarketing a las que no has autorizado, pero te llaman mas que nunca y si les dices que los vas a denunciar o se rien o se atreven a decirte que tu no conoces la Ley (saben que en realidad no hay medios para poner una denuncia facil). El Spam sigue aumentando. Yo incluso recibo Spam de gabinetes de abogados!! es increible. Es muy triste la falta de responsabilidad pero en este pais lamentablemente parece que si no hay sancion la Ley no existe en la practica y a eso se referia mi comentario. Yo, como director de 2 empresas online que desarrollan software SAAS para gestion de areas privadas, se que cumplir estas leyes es vital, sobre todo pensando en la seguridad y transparencia (otra gran olvidada por las empresas actuales). Gracias de nuevo por el articulo

        • AvatarMarina Brocca dice

          Supongo que tendrá que evolucionar la cultura de la importancia del dato y la conciencia de las prácticas de abuso de nuestra información. En cuanto empecemos los ciudadanos a denunciar activamente, muchas empresas se lo pensarán dos veces, igual que las páginas webs con políticas opacas, en cuanto pierdan usuarios, seguro que cambian el chimp.
          Gracias a ti por contribuir a esta comunidad.

Deja un comentario

Para ello, por favor, sigue estas pautas, por respeto a nuestra comunidad (y a nosotros):

  • Usa tu nombre personal, ni nombres inventados, ni el de tu web, ni el de tu empresa.
  • Cuida la redacción: separa párrafos y no escribas en mayúsculas (equivale a gritar).
  • No dejes enlaces a tu web en el comentario, dispones del campo "sitio web" para ello.
  • Eliminaremos comentarios con insultos, ofensivos o con lenguaje soez.

Al rellenar el formulario estás dando el consentimiento expreso al tratamiento de tus datos (guardar tu comentario y datos del formulario en el blog) conforme al Reglamento General de Protección de Datos (RGPD).

El responsable de este sitio es Wenova Online S.L., cuya finalidad es el envío de información y formación sobre blogging y marketing online, con la legitimación de tu consentimiento otorgado en el formulario.

El destinatario de tus datos es Webempresa (el hosting de este blog, ubicado en España) y podrás ejercer tus derechos de acceso, rectificación, limitación o supresión de tus datos (ver la política de privacidad).

*

 

Accede al training de pro-blogging

Aprenderás paso a paso y desde cero las mejores técnicas, trucos y secretos de los top bloggers

Y todo 100% gratis :)