Necesitas adaptarte a la nueva ley de protección de datos en Gipuzkoa?
-Calidad – Garantía – Fiabilidad
-Primer año de mantenimiento gratuito
-Delegado de Protección de Datos Certificado
(nº 22- ADK0133), en base al Esquema AEPD-DPD.
Adaptamos su negocio al Reglamento General Europeo (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPD) Con dicha normativa se establecen una serie de obligaciones que deben de cumplir los responsables de tratamiento y establecer medidas de responsabilidad proactiva.
Las medidas aplicables de responsabilidad proactiva son:
-Elaborar el registro de las actividades de tratamiento
-Realizar un análisis de riesgos de los tratamientos de datos
-Aplicar medidas técnicas y organizativas adecuadas al nivel del riesgo
-Implementar medidas de seguridad
-Adoptar procedimiento de gestión y notificación de brechas de seguridad
-Realizar una evaluación de impacto sobre la protección de datos si procede
-Nombrar un delegado de protección de datos cuando sea obligatorio o voluntariamente
El principio de Responsabilidad proactiva
Supone que la organización no sólo es responsable de cumplir los principios y obligaciones de la normativa, sino que, además, debe ser capaz de demostrar dicho cumplimiento. Para ello, como mínimo deberá identificar con detalle sus tratamientos de datos, determinar qué medidas son apropiadas para ajustar los tratamientos a la normativa y demostrar su aplicación y su eficacia.
El enfoque de riesgos
Para determinar qué medidas deben cumplir los tratamientos de datos hay que partir del nivel de riesgo que conllevan para los derechos de las personas físicas. El RGPD pone el foco en los riesgos para las personas titulares de los datos, por lo que a mayor riesgo mayores medidas deben aplicarse para proteger sus derechos.
Privacidad desde el diseño y por defecto
Conlleva que los principios del RGPD deben tenerse en cuenta tanto antes del tratamiento de datos (durante la fase de diseño), como durante el mismo. Además, por defecto sólo deberán tratarse los mínimos datos necesarios para sus fines y no ser accesibles por un número indeterminado de personas.
Legitimación del tratamiento
Para que sea lícito, el tratamiento de datos debe tener una legitimación o base jurídica en la que apoyarse. Las posibles bases jurídicas están previstas en el RGPD (art. 6) o en otro Derecho aplicable. La novedad del RGPD es que el consentimiento es una más de las posibles bases jurídicas que legitima el tratamiento, en pie de igualdad con el resto de bases jurídicas, que son:
- Relación contractual/precontractual
- Obligación legal del responsable
- Intereses vitales de la persona física
- Interés público o ejercicio de poderes públicos
- Interés legítimo prevalente del responsable
Por otra parte, los datos de naturaleza más sensible (categorías especiales de datos) sólo pueden tratarse si, además de una base de legitimación, concurre alguna de las circunstancias previstas en el art. 9.2 del RGPD.
Consentimiento del interesado
Con el RGPD el consentimiento del interesado para el tratamiento de sus datos ya no puede ser tácito o por omisión, sino que debe ser inequívoco y prestado mediante una manifestación u otra clara acción afirmativa. Además, deberá reunir otras condiciones para ser válido:
- Ser específico
- Prestarse de forma libre
- Ser informado
- Ser demostrable
- Ser revocable en cualquier momento
De acuerdo a la LOPD, el tratamiento de datos basado en el consentimiento de un menor de edad será válido cuando sea mayor de 14 años. Por debajo de esa edad será necesario el consentimiento de los padres o tutores.
Nuevos derechos de los ciudadanos
La Ley Orgánica de Protección de Datos establecía 4 derechos para los interesados: Acceso, Rectificación, Cancelación y Oposición. Pues bien, con el nuevo Reglamento Europeo de Protección de Datos esta lista se modifica y se contemplan también los siguientes derechos:
Derecho a la transparencia de la información, Derecho de supresión (sustituye al derecho de cancelación), Derecho de limitación y Derecho de portabilidad.
Por otra parte, el RGPD unifica el plazo para que el responsable del tratamiento responda a las solicitudes de ejercicio de derechos recibidas, siendo en todos los casos de 1 mes a partir de la recepción de la solicitud.
Derecho al olvido
Como una manifestación del derecho de supresión en el entorno online, el RGPD establece que cualquier persona tendrá derecho a que su información personal sea eliminada de los proveedores de servicios de Internet cuando lo desee, siempre y cuando quien posea esos datos no tenga razones legítimas para retenerlos. También obliga a los responsables de los datos que han difundido la información a terceros a comunicarles la obligación de suprimir cualquier enlace a los datos publicados, así como a eliminar cualquier copia o réplica de dichos datos.
Derecho a la portabilidad de los datos
En el RGPD se prevé en determinados casos la posibilidad para el interesado de solicitar al responsable la devolución de los datos que le conciernan y que le hubiera proporcionado, así como la transmisión de los datos directamente a otro responsable cuando sea técnicamente posible.
Ampliación del deber de información
El nuevo Reglamento exige la obligación de informar sobre nuevos aspectos:
- Base jurídica del tratamiento de los datos
- Periodo de conservación de los datos
- Derecho a presentar una reclamación ante la autoridad de control
- Intención de realizar transferencias internacionales
- Datos de contacto del Delegado de protección de datos, si procede
- Intereses legítimos en que se basa el tratamiento, en su caso
- Elaboración de perfiles, cuando proceda
Además, se prevé la posibilidad de que la Comisión UE apruebe iconos normalizados como vía para facilitar la información.
Registro de las actividades de tratamiento (RAT)
Con la nueva normativa de protección de datos desaparece la obligación de inscribir ficheros ante la autoridad de control.
En cambio, tanto los responsables como los encargados del tratamiento deben elaborar el RAT, incluyendo información detallada sobre las características de cada tratamiento realizado.
Este registro es un documento interno, que debe contar por escrito y mantenerse permanentemente actualizado.
Análisis de riesgos y medidas de seguridad
El RGPD ya no predetermina qué medidas de seguridad deben adoptarse para garantizar la confidencialidad e integridad de los datos. En adelante, el responsable deberá determinar las medidas técnicas y organizativas que sean apropiadas para cada caso concreto, en función del tipo de tratamientos de datos realizados y de los riesgos que conllevan para los derechos y libertades de las personas titulares de los datos.
Por tanto, será necesario realizar un análisis de riesgos, a fin de determinar qué medidas son las adecuadas para garantizar un nivel de seguridad adecuado al riesgo.
Notificación de brechas de seguridad
Otra de las novedades importantes previstas en el RGPD consiste en el deber del responsable del tratamiento de notificar a la autoridad de control las brechas de seguridad de datos que se produzcan, cuando sea probable que constituya un riesgo para los derechos de los interesados. La notificación debe realizarse en el plazo de 72 horas después de haber tenido constancia de la brecha, a través de la sede electrónica de la Agencia Española de Protección de Datos (AEPD). Además, si la brecha implica un alto riesgo para los interesados, también se les deberá comunicar a los mismos sin dilación indebida.
Evaluación de impacto relativa a la protección de datos (EIPD)
El RGPD introduce la novedad de exigir la realización de una evaluación de impacto relativa a la protección de datos, cuando el responsable proyecte iniciar un tratamiento de datos que pueda implicar un alto riesgo para los derechos y libertades de las personas físicas. La EIPD es una herramienta preventiva, cuyo objeto es identificar los riesgos potenciales de un tratamiento y adoptar anticipadamente medidas eficaces para reducir dichos riesgos a niveles aceptables.
Delegado de Protección de Datos (DPD)
El RGPD crea la figura del Delegado de Protección de Datos (DPD), cuyo nombramiento será obligatorio en los supuestos generales previstos en su art. 37.1 (ej.: autoridades públicas) y en los sectores de actividad específicos que establece el art. 34.1 de la LOPD (ej.: centros docentes, centros sanitarios, empresas de seguridad privada, etc.).
El DPD supone una medida de refuerzo o garantía de que el tratamiento de datos personales se realice de conformidad al RGPD. Sus funciones principales incluyen el asesoramiento de protección de datos, la supervisión del cumplimiento, la cooperación con la autoridad de control y la actuación como punto de contacto de la misma, así como la mediación en caso de reclamación.
Su nombramiento debe recaer en una persona que reúna una cualificación profesional adecuada, acreditable mediante mecanismos de certificación, como el Esquema de Certificación AEPD-DPD, elaborado por la Agencia Española de Protección de Datos.
El DPD, que puede ser interno o externo, debe actuar siempre con autonomía e independencia, siendo obligación de la entidad que le nombre respaldarle en su cometido y facilitarle los recursos necesarios.
Transferencias internacionales de datos
Con carácter general, el RGPD mantiene el principio por el cual la transmisión de datos personales desde la UE a países situados fuera del Espacio Económico Europeo no debe suponer un menoscabo del nivel de protección que el RGPD brinda a las personas físicas en la UE. Para ello, las transferencias deberán ampararse en alguno de los mecanismos previstos en el RGPD, como las decisiones de adecuación, garantías adecuadas como las cláusulas contractuales tipo y las normas corporativas vinculantes, o el consentimiento explícito.
El RGPD supone una flexibilización de los requisitos a cumplir por las transferencias internacionales de datos, ya que sólo excepcionalmente será obligatorio informar o solicitar autorización previa a la autoridad de control.
Nuevo régimen sancionador
El nuevo régimen sancionador del RGPD endurece sensiblemente las sanciones en caso de incumplimiento, pudiendo alcanzar los 20 millones de euros o hasta el 4% del volumen total anual de negocio del infractor.
La LOPD, por su parte, no prevé para autoridades y organismos públicos la imposición de multas administrativas, sustituyéndolas por el apercibimiento.
Derechos digitales
Como novedad, la LOPD incluye un Título X de “Garantía de los derechos digitales”, en el que se recogen una serie de derechos en el entorno digital que afectan a ámbitos diversos (laboral, Internet, menores, medios de comunicación, redes sociales…), y que deberán ser objeto de desarrollo reglamentario.
Te ayudamos a legalizar tu página web en Gipuzkoa
Por tanto, esta categoría de servicios abarca:
- Páginas Web y Blogs: aviso legal y condiciones generales de uso
- Asesoramiento legal en materia de cookies y elaboración de la Política de cookies
- Evaluación de requisitos para el envío de comunicaciones comerciales electrónicas
- Comercio electrónico: elaboración de condiciones de compra o contratación de productos o servicios, tanto en modalidad B2C como B2B
- Asesoramiento y redacción de textos legales aplicables a la recogida y tratamiento de datos personales online, elaboración de la política de privacidad en páginas web y apps.
Protección de datos para empresas en: Gandia, Alcoy, Alicante, Almería, Córdoba, Granada, Jaen, Málaga, Sevilla, Teruel, Zaragoza, Asturias, Gijón, Oviedo, Baleares, Ibiza, Mallorca, Menorca, Cantabria, Santander, Albacete, Ciudad Real, Cuenca, Toledo, Burgos, León, Palencia, Salamanca, Valladolid, Girona, Valencia, Murcia, Castellón, Extremadura, Galicia, La Coruña, Lugo, Pontevedra, Vigo, Canarias, Las Palmas de Gran Canaria, Tenerife, La Rioja, Logroño, Pamplona, Alava, Vitoria, San Sebastián, Bilbao ¡Solicite presupuesto de protección de datos ahora!