Transparencia e información a los interesados: las cláusulas

La información que vayamos a facilitar a los interesados para  las condiciones de tratamiento de datos como ejercicio de derechos debe ser: Concisa, Transparente, Inteligente y de Fácil Acceso -> En un lenguaje claro y sencillo.

– Se debe emplear una fórmula sencilla y que no tenga tecnicismos jurídicos.

– Las clausulas informativas deben explicar el contenido al que se refieran de forma sencilla y clara siendo comprensible para los interesados.

– Se amplía la lista de información que se proporcionará al interesado, respecto la actual que dispone la LOPD, añadiendo:

  • La base jurídica del tratamiento.
  • Si se van a realizar transferencias internacionales.
  • Publicación de los datos del Delegado de Protección de Datos (figura novedosa del RGPD), si lo hay.
  • Si se van a utilizar datos para la elaboración de perfiles.

– Se comunicará la información al interesado por escrito y cuando sea apropiado por medios electrónicos

Consentimiento de menores

En el marco de actuación de los servicios de la sociedad de la información el consentimiento de menores será válido si tienen más de 16 años, pudiendo los estados miembros de la UE rebajarla hasta los 13 años. El lenguaje para dirigirnos a ellos para cumplir el deber de información debe ser comprensible.

Bases de Legitimación para el Tratamiento de Datos

El RGPD mantiene lo establecido en la Directiva 95/46 de que todo tratamiento de datos tiene que apoyarse en una base que lo legitime. El RGPD recoge las bases jurídicas que aparecían en la Directiva y se reproducían en la LOPD, por lo que no supone cambios en este sentido a los responsables:

  • Consentimiento
  • Relación contractual
  • Interés vital del interesado o de otras personas
  • Obligación legal para el Responsable
  • Interés público  o ejercicio de poderes públicos
  • Interese legítimos prevalentes del responsable o de terceros a los que se comunican datos

Recomendación

Justificar e identificar la base legal de los tratamientos, esto se deduce en algunos artículos y en el principio de  responsabilidad activa. Por ejemplo en el momento de la recogida de datos hay que informar acerca de la base legal sobre la que se desarrolla el tratamiento.

Saber identificar la base legal va a ser indispensable para poder demostrar que se está cumpliendo lo que establece el RGPD.

El consentimiento debe de ser “inequívoco”

El actual Reglamento 1720/2007 que desarrolla la LOPD admite la forma de consentimiento tácito, es decir, que es válido por la omisión de la respuesta: se basa en la inacción.

Con la aprobación del RGPD el consentimiento pasa a ser inequívoco, que es aquel que se presta mediante una manifestación del interesado o una clara acción afirmativa. A estos efectos las casillas ya marcadas, el consentimiento tácito o la inacción no constituirán un consentimiento válido.

– El consentimiento será inequívoco y además explícito en aquellas situaciones en las que:

  • Se traten datos sensibles
  • Se adopten decisiones automatizadas
  • Se realicen trasferencias internacionales

– Podrá ser inequívoco el consentimiento y otorgarse de forma implícita si se deduce una acción del interesado, como puede ser si continúa navegando en una página web, habiendo aceptado la política de cookies.

– Los tratamiento de datos que se han iniciado antes del RGPD sólo serán válidos si se ha prestado el consentimiento según lo estipulado en el RGPD, es decir mediante una acción o manifestación afirmativa.

Recomendación

– Comenzar cuanto antes a recabar el consentimiento conforme a lo estipulado en el RGPD, abandonando la recogida de consentimientos tácitos.

– La adaptación de los consentimientos debemos hacerla:

  • Obteniendo un consentimiento de los interesados conforme a lo establecido en el RGPD, es decir, mediante una manifestación o acción afirmativa.
  • Comprobando si existe alguna otra base legal para justificar los tratamientos de los titulares de los datos. Si se contempla esta opción los interesados deberán ser informados pudiendo ejercitar sus derechos.

¿Cómo afecta LOPDGDD y RGPD a las empresas?

Para poder saber cómo afecta la normativa en protección de datos a las empresas hay que:

  • Determinar si los tratamientos son de alto o de bajo riesgo para los derechos y libertadas de las personas.
  • Determinar el Registro de Actividades.
  • Responsabilidad no sólo activa, también proactiva.
  • Análisis de riesgos y en algunos casos evaluación de impacto.
  • Protección de datos desde el diseño y por defecto.
  • Notificación de brechas de seguridad.

 

A continuación, vamos a explicar cada una de ellas:

  1. Determinar si los tratamientos son de alto o de bajo riesgo para los derechos y libertades de las personas.

– Son de bajo riesgo:

* los datos personales de contacto de clientes o proveedores.

* los datos básicos de recursos humanos.

– Son de alto riesgo:

* los tratamientos masivos como por ejemplo los datos de empresas de servicios de telecomunicaciones, entidades bancarias y financieras, generación y uso de perfiles o publicidad.

* los datos de categorías especiales como los que realizan las empresas del sector sanitario o legal; de seguros; de servicios sociales; de actividades políticas, sindicales o religiosas; de solvencia patrimonial y crédito; videovigilancia en centros comerciales o en estaciones de ferrocarril.

 

2. Determinar el Registro de Actividades, anteriormente, era necesario que las empresas inscribieran el fichero en la AEPD ya que era una forma de notificar que realizaban un tratamiento de datos con una descripción del mismo, actualmente ya no es necesario inscribir ese fichero, ahora el responsable del tratamiento y el encargado deben llevar sendos Registros de actividades de tratamiento que se realicen bajo su responsabilidad. Este registro contendrá en caso del responsable:

– Nombre y datos de contacto del responsable o corresponsable y del Delegado de Protección de Datos cuando corresponda.

– Finalidades o motivos del tratamiento.

– Descripción de categorías de interesados y datos personales tratados.

– Categorías de los destinatarios a quienes se comunican los datos personales, incluso si están en otros países o son organizaciones internacionales.

– Transferencias de datos a otro país u organización.

– Cuando sea posible, el plazo previsto para eliminar los datos.

– Cuando sea posible, una descripción de las medidas de seguridad utilizadas durante el tratamiento.

 

3. Responsabilidad no sólo activa, también proactiva ya que el RGPD se basa en los mismos principios que la legislación anterior, pero se diferencia de la misma en que se desarrolla además en torno a la responsabilidad proactiva y el enfoque de riesgo.

La responsabilidad proactiva implica que el responsable del tratamiento debe aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme al Reglamento. En la práctica supone analizar los datos, las finalidades y las operaciones de los tratamientos, para determinar de forma explícita la aplicación de las medidas que el RGPD prevé, para proteger la privacidad y poder demostrarlo.

Para aplicar las medidas de responsabilidad proactiva se ha de utilizar un enfoque de riesgos teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertadas de las personas. En la práctica esto supone que algunas medidas (por ejemplo, evaluación de impacto o el nombramiento del DPD) se aplicarán sólo cuando exista un alto riesgo y el resto por ejemplo, la privacidad desde el diseño) serán adaptadas al nivel y tipo de riesgo que los tratamientos presenten.

 

4. Análisis de riesgos y en algunos casos evaluación de impacto.

Para saber si la empresa está obligada a llevar un registro de operaciones de tratamiento o a nombrar un Delegado de Protección de Datos y a realizar una evaluación de impacto, es necesario que el responsable haga una valoración continua de los riesgos que entrañan los tratamientos a los derechos y libertadas de los usuarios. Este análisis también servirá para establecer el resto de medidas de responsabilidad proactiva.

La evaluación de riesgos dará como resultado la adopción de las medidas necesarias para eliminar o mitigar los riesgos que el producto o servicio pueda entrañar para la protección de datos de las personas. La evaluación de impacto permitirá aplicar la privacidad desde el diseño, evitando costes de mitigación de riesgos a posteriori.

 

5.  Protección de datos desde el diseño y por defecto.

Protección y explotación de datos personales son para la empresa dos caras de una misma moneda. Por esto, la nueva legislación europea exige una mayor proactividad a las empresas y las insta a que valoren sus riesgos e incorporen mecanismos para minimizarlos, garantizando entre otros la privacidad desde el diseño y por defecto desde la concepción de sus productos o servicios. Este tipo de medidas pueden ser controles técnicos o políticas proactivas que se aplican desde el principio, pensando en todo el ciclo de vida del proyecto y centrados en garantizar la privacidad del usuario. Si tu empresa es de las que tiene que hacer una evaluación de impacto, con él tendrás identificados los riesgos del tratamiento con lo que podrás adoptar medidas en su fase de diseño.

 

6. Notificación de brechas de seguridad.

La nueva normativa obliga a notificar las violaciones de datos que podamos sufrir en la empresa a la autoridad de protección de datos competente y a las personas afectadas, salvo que sea improbable que suponga un riesgo para los derechos y libertadas de los afectados, por ejemplo, la empresa estaría exenta si los datos de los afectados estaban cifrados.

La notificación a la autoridad debe incluir como mínimo:

– La naturaleza de la violación, y cuando sea posible las categorías y número de afectados aproximados.

– El nombre y los datos de contacto del DPD o de otro punto donde obtener más información.

– Las consecuencias posibles de la violación.

– Las medidas adoptadas o propuestas para remediar los efectos negativos.

 

¿Cumple tu empresa con la normativa en protección de datos? Contacta con nosotros en el 957463547 y te informaremos de todo.

¿Están sus empleados formados sobre RGPD?

Con la entrada en vigor del Nuevo Reglamento General de Protección de Datos en mayo de 2016 y su posterior obligación del cumplimiento de la norma en mayo de 2018 tras los dos años de adaptación que han tenido las empresas, éstas han ido tomando las medidas técnicas y organizativas que exige su cumplimiento como son el análisis de riesgos o un diseño de seguridad desde la recogida del dato pero, aún queda algunos puntos a tener en cuenta para el cumplimiento de la norma y entre ellos nos encontramos la obligación de formar correctamente a los empleados que tratan con datos personales ya que, muchas organizaciones no incluyen como riesgo al personal sin formación en protección de datos.En el caso de que la empresa contara con un Delegado de Protección de Datos, éste debería de ser el encargado de formar e informar a los empleados de cómo actuar, cómo tratar cada dato, qué precauciones deben tomar o cuál es la participación del empleado dentro de las medidas técnicas y organizativas de la empresa.

Formar a los empleados en materia de protección de datos siempre ha sido importante ya que en el día a día tratan con multitud de datos de sus clientes, usuarios, proveedores… pero con la entrada del Nuevo Reglamento General de Protección de Datos, esto se ha convertido en una obligación ya que según el Art. 47, 2n, se establece que las empresas tienen que ofrecer formación en protección de datos pertinente para el personal que tenga acceso permanente o habitual a datos personales.

Es algo muy habitual trabajar con contraseñas que nunca se cambian, contraseñas compartidas, papel con datos de usuarios o clientes que se tira a la basura, accesos indiscriminados, inexistencia de copias de seguridad, documentos con información confidencial sobre la mesa…. todo esto sumado a que hoy en día, casi todo se envía por correo electrónico (facturas, presupuestos, albaranes, documentación confidencial….), hace que en cualquier momento la empresa pueda tener una brecha de seguridad.

Un ejemplo lo podemos encontrar en el uso de los USB ya que la mayoría de los empleados lo utilizan para guardar la información que necesitan para trabajar y en ocasiones esta información contiene datos personales de usuarios. No es de extrañar que varios compañeros compartan USB o incluso que lo saquen de la empresa para poder trabajar desde cualquier otro lugar. Esto puede llevar un riesgo de pérdida del USB, filtración de datos en Internet… lo que desembocaría en una brecha de seguridad por parte del empleado, quien intenta hacer su trabajo lo mejor posible.

Lo mismo podríamos decir de una copia de seguridad de datos que sale fuera de las instalaciones de la empresa pero no está cifrada y podría perderse.

Es muy importante que tanto los usuarios como los empleados sean conscientes de la importancia en el tratamiento de los datos para así poder reducir al máximo la probabilidad de que la empresa sufra una brecha de seguridad ya que, debemos recordar que, en el caso de que ocurriera, la empresa estaría obligada a notificarlo dentro del plazo máximo de 72 horas a la autoridad competente que en el caso de España, sería la Agencia Española de Protección de Datos y evitar así posibles sanciones puesto que no sólo hay que comunicarlo, sino también solucionarlo en el menor tiempo posible.

Las empresas se encuentran ante una obligación explícita de la propia normativa de protección de datos y de cualquier protocolo de seguridad de la información ya que, si el empleado no sabe, no puede cumplir por lo que, a la posible brecha de seguridad producida se sumaría la responsabilidad por no haber cumplido esta obligación.

Si la empresa no dispone de un Delegado de Protección de Datos y el responsable de tratamiento no pudiera dedicar tiempo de formación a sus empleados, desde Fersoft hemos organizado un curso de formación que se imparte por especialistas en la materia y que serán los encargados de proporcionar a los empleados de cada empresa los conocimientos necesarios para el cumplimiento y uso eficaz de las medidas de seguridad de los datos personales.

Las empresas deben de tener en cuenta que, omitir la obligación de formar a sus empleados ya sería un incumplimiento del Reglamento ya que no establece una de sus premisas como sería la protección de datos desde el diseño.