A QUIEN AFECTA LA RGPD Y LOPDGDD
La PROTECCION DE DATOS PARA EMPRESAS, afecta al tratamiento de los datos personales. Que realice un Responsable o Encargado del tratamiento que son las personas físicas o jurídicas.
Dichas personas que recaben o traten datos de carácter personal y actúen por su cuenta o de terceros. Definiendo el fin de tratamiento y los medios y que esto conlleve una actividad económica.
Los datos afectados podrán ser procesos digitales automatizados o parcialmente automatizados. Tanto en sistemas de la información o bien los clásicos en papel no automatizados.
QUIEN ES EL RESPONSABLE DEL TRATAMIENTO Y EL ENCARGADO EN LA RGPD
Se definen varias responsabilidades en el tratamiento, como Responsable del tratamiento a aquella persona física o jurídica tanto en el ámbito público como privativo que ejerciendo una actividad económica determine por su cuenta el fin y los medios para tratar los datos personales o conjunto de los mismos en «Ficheros de datos», según su categoría.
Siendo el Encargado del Tratamiento aquella persona física o jurídica, tanto en el ámbito público como el privativo. Además ejerciendo una actividad económica trata los datos por cuenta del Responsable y acorde a las estipulaciones que se reflejen. Por tanto en los acuerdos del contrato de encargo de tratamiento según se estipula en el Art.28 de la GDPR.
QUE SON LOS DATOS PERSONALES EN LA PROTECCION DE DATOS PARA EMPRESAS RGPD
La legislación los define como toda información relativa a una persona física que por sus DATOS. Sus datos personales se pueda identificar o pueda ser identificable aunque sea indirectamente, por ejemplo a través de:
Nombres, números, datos de localización, fisiológica, genéticos, económicos, culturales, sociales u otros.
MÁS INFO: ¿Qué son los datos personales?
DIFERENTES CATEGORIAS DE DATOS PUEDEN SER
Los Datos básicos como por ejemplo: nombres, direcciones, cuentas de correo electrónicos, números de teléfono. O bien otros como la edad, el sexo, las firmas, fotografías, aficiones, patrimonio, datos bancarios, datos académicos, datos profesionales, sociales, comerciales o financieros…
Datos Especiales: que son aquellos relativos al, origen étnico, raciales, los datos políticos, religiosos o filosóficos. También los datos sindicales, datos genéticos o biométricos que permitan la identificación univoca de una persona, datos de salud y orientación sexual.
Datos de Condenas y delitos PENALES: Se definen como todo los datos relativos a condenas y delitos PENALES y medidas de seguridad afines.
CATEGORIAS DEL TRATAMIENTO DE BAJO Y ALTO RIESGO EN LA RGPD
Se definen estos como la recogida, el registro, la organización, la estructuración o conservación y adaptación, la modificación, extracción, consulta, utilización, comunicación, la difusión o interconexión la limitación, supresión o destrucción de los datos.
Y su tratamiento puede comportar un bajo o alto riesgo para los derechos y libertades fundamentales de las personas.
Siendo de bajo riego se realizará un análisis del riesgo y en el caso de tratarse de datos de alto riesgo deberemos realizar necesariamente una Evaluación de Impacto que determinará las estrategias a seguir en la organización.
I LEGITIMACION O LICITUD EN EL TRATAMIENTO DE LOS DATOS
Cuestiones que debe tener en cuenta la organización a la hora de tratar los datos personales de los interesados: la recogida, el tratamiento, la conservación, la exactitud, la limitación en el tiempo o la cesión de los mismos datos y su licitud:
La Licitud siendo leal y transparente con los interesados, debiendo solicitar un Consentimiento explícito según el Art 6.1.a GDPR y un fin determinado en la obtención de los datos al interesado.
Limitación determinando el fin la legitimidad de los mismos y acotando los plazos del tratamiento.
La Minimización teniendo en cuenta la adecuación y necesidad de la recogida de los datos.
II LEGITIMACION O LICITUD EN EL TRATAMIENTO DE LOS DATOS
La Integridad y Confidencialidad debiendo implementar medidas técnicas y de organización en la que se protejan los datos ante tratamiento que no estén autorizados que no sean lícitos o que puedan causar brechas o violaciones de la seguridad de los datos.
La Exactitud de los datos por la nos aseguraremos de que estén siempre debidamente actualizados acorde a la necesidad del tratamiento por el cual fueron recogidos.
La limitación en el tiempo de conservación Tratando de forma en la que la persona interesada pueda ser identificada por no mas tiempo del necesario para lleva a cabo el fin por el que fueron recogidos, con la salvedad de archivos públicos, históricos, estadísticos o de interés científico.
Y el principio y responsabilidad pro-activa en el que deberemos ser capaces de demostrar nuestro cumplimiento en el tratamiento de los principios a seguir.
I SABIENDO ESTO, CUALES SON “ MIS OBLIGACIONES COMO RESPONSABLE “
Lo primero será organizar las obligaciones, documentos, advertencias, cláusulas, contratos de encargo, de confidencialidad, ejercicio de los derechos y demás en los que denominamos el proyecto de cumpliendo normativo de protección de datos, ya sea este en formato digital o papel, y así poder contar con una estrategia conjunta y organizada siguiendo correctamente los protocolos del ordenamiento jurídico.
ESTAS OBLIGACIONES DEL RESPONSABLE
Se llevarán a cabo siguiendo los principios de, POLITICAS DE INFORMACION, POLITICAS DE SEGURIDAD, LAS GARANTIAS Y CERTIFICACIONES DE CUMPLIMIENTO, DESDE EL DISEÑO Y POR DEFECTO:
Políticas de información: En las se pongan a disposición del usuario afectado de forma anticipada y cada momento del tratamiento, la información detallada de, quien es el responsable, con que fin se usarán sus datos, por cuanto tiempo se dispondrá de su información, si se pretende o no ceder sus datos, con que propósito, la información de cuales son sus derechos, ante quien y como puede ejercerlos.
Entre estas los textos utilizados habitualmente para seguir las políticas de información se encuentran los:
Consentimientos explícitos de obtención de datos, las firmas de los correos electrónicos, las coletillas de las facturas, las circulares de zonas de vídeo vigilancia. Además de las cláusulas en los contratos de servicios, los consentimiento de recogida de curriculum vitae. O bien circulares de Políticas de privacidad web, aviso legal SSICE web, Política de cookies web.
Contratos de servicios venta-on-line, Circular informativa según el Art 14.1 del Reglamento (UE) 524/2013, la Comisión Europea para la Resolución de Conflictos On-line.
Además de otras relacionadas con la protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.
POLITICAS DE SEGURIDAD
En la que se deberá implementar medidas técnicas y organizativas ajustadas a una garantía y un nivel de seguridad adecuado con el riesgo y según el tratamiento, que tenga en cuenta el estado de la técnica, los costes en su aplicación, la naturaleza, su alcance, contexto y fines del tratamiento.
En la PROTECCION DE DATOS PARA EMPRESAS se deberán tomar medidas de seguridad para evitar. Por ejemplo la destrucción accidental o ilícita de los datos, la pérdida, alteración o comunicación de datos no autorizada por el responsable. Siendo estos utilizando métodos de cifrado de comunicación segura la conservación en copias de respaldo. Y por supuesto cuestiones básicas la implantación de medidas anti hackeo como los firewall, antivirus que deberán estar debidamente actualizados.
II MIS OBLIGACIONES COMO RESPONSABLE
Y otras como la seudonimización, sustitución de los datos reales por identificadores artificiales o pseudónimos. Además de la formación e información en protección de datos del personal a cargo y responsables o encargados.
Imprescindible también para seguir una buena gestión en las POLITICAS DE SEGURIDAD será dar indicaciones claras a los intervinientes.
Como también en caso de brechas, violaciones de seguridad o caídas de los sistemas de la información. Se deberá tener capacidad de restauración y acceso rápido a los sistemas de la información.
En definitiva se tomarán medidas y procesos y se evaluarán y verificarán de forma continua para tomar las medidas mas acordes y seguir así una correcta POLITICA DE SEGURIDAD en la organización.
GARANTIAS DE CUMPLIMIENTO NORMATIVO
Como la adhesión a CODIGOS DE CONDUCTA, documento redactado voluntariamente por la organización. En este se compromete a seguir una serie de normas y requisitos específicos para el cumplimiento en materia de protección de datos.
Que podrá involucrar tanto a la organización como a proveedores o sub-contratas. Códigos que tendrán en cuenta que el tratamiento sea justo, transparente con intereses legítimos.
Que garantice la licitud en la recogida de datos. Así como su seudonimización, en medida especial la protección de los datos de los niños, el respecto al derecho del consumidor. La inclusión de las políticas de información, el ejercicio de los derechos del interesado. Así mimo adoptarlas DESDE EL DISEÑO Y POR DEFECTO.
BRECHAS O VIOLACIONES DE SEGURIDAD
También los plazos en las notificaciones de BRECHAS O VIOLACIONES DE SEGURIDAD, de rápida respuesta y restauración de la información. Que tenga en cuenta las transferencias internacionales, dado el diferente tratamiento de los datos, según cada país o región.
Así como los acuerdos en materia de protección de datos de otros países con la UE.
Otra forma de dar GARANTÍA DEL CUMPLIMIENTO en la PROTECCION DE DATOS PARA EMPRESAS son los mecanismos de CERTIFICACIÓN.
De manera que puedan demostrar la IMPLANTACIÓN de las MEDIDAS DE SEGURIDAD en su organización.
Todo ello según se estipula en el Reglamento GDPR, como sellos o marcados que establecen las AC autoridades competentes en la materia.
DESDE EL DISEÑO Y POR DEFECTO
Los Responsables y Encargados del tratamiento, deberán garantizar antes y mientras dure el tratamiento. El poder proteger los datos en cualquier fase del tratamiento, el acceso, la intervención, obtención, transmisión, supresión y conservación de los mismos.
Que el tratamiento se haga para fines específicos, con exactitud y confidencialidad. Así mismo con integridad, seguridad y tomando medidas precisas en la supresión de los mismos.
Tener en cuenta los DERECHOS DE LOS AFECTADOS, que los datos sean limitados exclusivamente al personal autorizado.
Haber realizado un análisis del riesgo, si procede una evaluación de impacto. Y si como resultado de esta evaluación resulta la necesidad, se asignará a un DPO.
ANALISIS DE RIESGOS
Análisis de Riesgos: Este se deberá realizar en cada caso e independientemente del nivel de datos que se traten. Analizando así los bajos o altos riesgos que puedan entrañar los tratamientos de datos personales.
Según el nivel del riesgo se determinarán las estrategias y protocolos a seguir en la PROTECCION DE DATOS PARA EMPRESAS.
La seudonimización, el cifrados, la integridad, disponibilidad, la firma de acuerdos de confidencialidad con el personal. Por supuesto la periodicidad y cifrado de las copias de seguridad y las auditorias continuas.
EVALUACION DE IMPACTO
Evaluación de Impacto: Si como resultado del ANALISIS DE RIESGOS inicial se determina que. El tratamiento puede resultar de alto riesgo para los derechos fundamentales y las libertades de los afectados. Entonces deberemos realizar una EVALUACIÓN DE IMPACTO que determine cuales pueden ser los riesgos y como mitigarlos. Y tomaremos especial atención a las nuevas tecnologías de la información (e-mail marketing) o recopilación de datos BIG DATA, su naturaleza y alcance a menor o gran escala.
DPO DELEGADO DE PROTECCION DE DATOS
Delegado de Protección de datos en la PROTECCION DE DATOS PARA EMPRESAS: El DPO como resultado en la evaluación de impacto y de la necesidad de implantación en su organización, deberá ser una persona experta en materia de protección de datos asignada por su organización con capacidad y libertad de asesoramiento en sus obligaciones de cumplimiento normativo tanto al Responsable del tratamiento, Encargados, personal, sub-contratas y que sirva de enlace entre los mismos la empresa y la AC Autoridad competente para resolver cualquier duda o incidencia.
En la PROTECCION DE DATOS PARA EMPRESAS la organización tendrá la obligación a asignar un DPO cuando:
- Los datos se traten datos a GRAN ESCALA.
- Se realicen seguimientos periódicos y sistemáticos de afectados.
- Traten datos de categorías especiales o relativos a condenas y delitos penales, también en todas aquellas instituciones de carácter público.
I OTRAS OBLIGACIONES, EL REGISTRO DE ACTIVIDADES
El Registro de actividades en la PROTECCION DE DATOS PARA EMPRESAS. Será un documento proactivo en el que se debe reflejar el flujo de información. Información con datos personales que trate la organización, entradas, salidas, software, hardware, personal, encargados o destinatarios de los mismos. La obligación a llevar estos registros de las actividades, son para las organizaciones que cumplan las siguientes, en cumplimiento de la PROTECCION DE DATOS PARA EMPRESAS:
Si la organización emplea a 250 personas o mas.
El tratamiento que se realiza supone un riesgo elevado para los derechos y libertades de los afectados no siendo ocasional.
También deberá tener el registro de actividades si se tratan datos de categorías especiales o relativas a condenas delitos penales.
II PROTOCOLOS PARA ANTICIPARSE A BRECHAS O VIOLACIONES DE SEGURIDAD DE SUS DATOS
Considerando Brecha o Violación de la seguridad de los datos, un incidente que pueda ocasionar destrucción por error o ilícita. O bien pérdidas, alteraciones, comunicaciones no autorizadas transmitidos, conservados o tratados de otra forma. Además del acceso a estos, pudiéndose producir en cualquier fase del tratamiento en la:
Obtención, acceso, intervención, transmisión, conservación o supresión de datos en la PROTECCION DE DATOS PARA EMPRESAS
En caso de producirse una violación de seguridad la organización debe notificar la misma ante la Autoridad competente AEPD Agencia Española de protección de datos, autoridad catalana, vasca, sin demora injustificada en un plazo máximo de 72 horas a tener en cuenta desde el momento de tener constancia de la misma, pasadas las 72 h se deberá presentar justificación que haya motivado el retraso.
Puede no ser necesaria la notificación ante la AC en la PROTECCION DE DATOS PARA EMPRESAS cuando.
Sea improbable que dicha vulneración de datos constituya un riesgo para los derechos y las libertades de los AFECTADOS.
III EJERCICIO DE LOS DERECHOS DE LOS AFECTADOS
La legislación UE GDPR tanto como la ES LOPDGDD reconocen los derechos fundamentales al control y decisión de los datos. Datos que serán de carácter personal de los afectados, es por ello que para ejercer los mismos legisla los siguientes:
El derecho al acceso a los datos, el derecho a la rectificación, el derecho a la supresión de los datos.
La limitación del tratamiento, a la portabilidad de los datos, a oponerse al tratamiento.
Poder presentar una reclamación ante la AC, a no ser objeto de una elaboración de perfiles.
IMPORTES DE SANCIONES POR INCUMPLIMIENTO
Multas administrativas en la PROTECCION DE DATOS PARA EMPRESAS con un máximo del importe. Importes de, entre 20.000.000 € y el 2% del total de la facturación anual del ejercicio financiero anterior.
No obstante que cada Estado de la UE podrá establecer normas sobre la imposición de multas administrativas. De las Autoridades y Organismos públicos establecidos en dicho Estado. Si por desgracia ya recibiste una denuncia acude a tu asesor jurídico para solicitar ayuda.
LEGISLACIONES INVOLUCRADAS EN LA PRIVACIDAD ES
Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD)
Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD)
Instrucción sobre sistemas de vídeo vigilancia
Reglamento de desarrollo de la LOPD (RDLOPD)
Instrucción sobre el control del acceso a edificios
La Ley de prevención del blanqueo de capitales (LPB)
El Estatuto de los Trabajadores (ET)
La Ley General para la Defensa de los Consumidores y Usuarios
LOCM Ley de Ordenación del Comercio Minorista
Ley General de Telecomunicaciones (LGT)
Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE)
La ley Orgánica 7/2021, de 26 de mayo, prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.
LEGISLACIONES INVOLUCRADAS EN LA PRIVACIDAD EU
La Directiva UE de los Servicios de la Sociedad de la Información (SSI)
Directiva de Secretos Comerciales
Directiva de Registro de Nombres de los Pasajeros (PNR)
Reglamento (UE) 524/2013, de la Comisión Europea para la resolución de Conflictos On-line