Protección de datos

RGPD y LOPDGDD

La regulación sobre la protección de datos personales ha experimentado cambios importantes a raíz de la entrada en vigor del Reglamento (UE) 2016/679 del Parlamento y del Consejo, de 27 de abril de 2016 (Reglamento General de Protección de Datos o «RGPD») y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales («LOPDGDD»).

El cumplimiento con la vigente normativa europea y española se ha convertido en una cuestión de vital importancia para todo tipo de empresas, independientemente de su tamaño. Estas son sólo algunas de las medidas que toda empresa que trate datos personales está obligada a implementar:

  • Análisis de riesgos: Es necesario realizar una valoración previa de los riesgos inherentes a cada tratamiento de datos, a fin de adoptar las medidas de seguridad adecuadas.
  • Consentimiento de los clientes: Cuando el tratamiento de datos se base en el consentimiento de los interesados, este deberá ser libre, específico, informado e inequívoco. Ya no sirven los consentimientos tácitos, ni los genéricos. Cuando queramos utilizar los datos para diferentes finalidades, es preciso mencionarlas todas y obtener el consentimiento para cada una de ellas.
  • Deber de información: Antes de solicitar datos personales a los clientes se les informará de aspectos como la identidad del responsable del tratamiento, las finalidades del tratamiento, los destinatarios de los datos, posibles transferencias, plazos de conservación, derechos que puede ejercer el interesado, etc. Esta información se facilitará de forma clara y comprensible, y debe ser visible tanto en la Política de Privacidad de la página web como en cada formulario de recogida de datos (formularios de contacto, registro, cesta de la compra, etc. ).
  • Registro de actividades de tratamiento: Si bien ya no es obligatorio registrar los ficheros de datos ante la AEPD, algunas empresas han de llevar a cabo un registro de los tratamientos de datos que realizan, incluyendo información como el tipo de personas interesadas y de datos recogidas, la finalidad del tratamiento, los destinatarios de los datos, transferencias internacionales, plazos de supresión de los datos, las medidas de seguridad (técnicas y organizativas) adoptadas, etc. De esta obligación están exentas las empresas con menos de 250 trabajadores, siempre y cuando no traten datos sensibles.
  • Delegado de Protección de Datos (DPO): Se trata de una nueva figura introducida por el RGPD, y que resulta obligatoria para empresas que traten datos de forma habitual, sistemática y a gran escala, o que traten datos personales sensibles (ideología, religión, salud …). Entre otros, el DPO tiene las funciones de supervisar y asesorar al responsable sobre el cumplimiento de la normativa de protección de datos, asesorar en las evaluaciones de impacto que haya que realizar, actuar de intermediario en caso de inspección por parte de la AEPD, etc.
  • Contratos de encargo de tratamiento: Cuando una empresa encarga el tratamiento de datos personales a un tercero que le presta algún servicio (p.ej. gestoría, transporte, marketing, mantenimiento informático, etc.) es obligatorio firmar un contrato con ese tercero encargado del tratamiento, con el contenido indicado en el RGPD.
  • Medidas de seguridad: En todo tratamiento de datos hay que implementar las medidas de seguridad, técnicas y organizativas, adecuadas al riesgo, entre las que destacan: el cifrado y la seudonimización de los datos, la capacidad de garantizar la confidencialidad, la integridad, la disponibilidad y la resiliencia permanente de los sistemas y servicios de tratamiento, la capacidad de restaurar la disponibilidad y el acceso a los datos en caso de incidente físico o técnico, etc.
  • Contratos de confidencialidad: Hay que firmarlos tanto con aquellos terceros que nos prestan algún servicio como encargados del tratamiento, como con los propios empleados que tienen acceso a los datos personales que trata la empresa.
  • Notificación de violaciones de seguridad: Si se produce la destrucción, pérdida o alteración accidental o ilícita de datos personales, o su comunicación o acceso no autorizados (por ejemplo a través de un ataque informático), hay que notificar a los afectados (clientes y/o empleados) y a la AEPD en un plazo máximo de 72 horas.
  • Evaluación de Impacto sobre la Protección de Datos (EIPD): Hay que llevarla a cabo, con los requisitos que indica el RGPD, cuando el tratamiento de datos conlleve un elevado riesgo para los derechos y libertades de los interesados.
  • Derechos de los interesados: Aparte de los ya conocidos derechos «ARCO» (Acceso, Rectificación, Cancelación y Oposición), el RGPD ha añadido algunos derechos más que toda empresa o responsable del tratamiento deberá garantizar a las personas interesadas. Se trata de los derechos de portabilidad, limitación del tratamiento, derecho a no ser objeto de decisiones individuales automatizadas, y derecho a formular reclamación ante la autoridad de control. Para ello es preciso poner los correspondientes formularios a disposición de los clientes para que puedan ejercer sus derechos, y en caso de que lo hagan, habrá que darles respuesta dentro del plazo que marca la ley.

En Domènech Corbella – Servicios Jurídicos ofrecemos un asesoramiento integral en materia de protección de datos y velamos para que nuestros clientes estén al día en el cumplimiento de la nueva normativa (RGPD y LOPDGDD).


COMO PODEMOS ASESORARTE

  • Adaptación de tu empresa a la vigente normativa de protección de datos: Analizamos de forma individualizada las necesidades de cada empresa en relación con su grado de cumplimiento con el RGPD y la LOPDGDD, y ofrecemos un asesoramiento integral con el objeto de evitar posibles sanciones derivadas del incumplimiento de la normativa.
  • Preparación, revisión y redacción de los documentos legales básicos sobre privacidad: Nos encargamos de redactar y/o adaptar la Política de Privacidad, la Política de Cookies, las cláusulas de protección de datos y los formularios de ejercicio de derechos para la página web de tu empresa.
  • Redacción, revisión y negociación de contratos: Acuerdos y cláusulas de confidencialidad, contratos de encargo de tratameinto, contratos sobre otras materias que incluyan cláusulas sobre privacidad, confidencialidad o protección de datos personales, etc.