Te explicamos cómo adapta tu empresa fácilmente a las exigencias de la normativa sobre Protección de Datos. Con la entrada en vigor del nuevo Reglamento Europeo, te recomendamos anticiparte para asegurarte del cumplimiento del mismo y evitar las elevadas sanciones que conlleva su incumplimiento.
Grabación del webinar
Presentación: ¡Descárgatela!
Descárgate la presentación desde aquí
PROFESOR
Jaume Feliu
Ingeniero informático,
experto en protección de datos
Georgina Andrés
Abogada y experta
en nuevas tecnologías
FECHA
28 Septiembre 2017
HORA
16:00h
DURACIÓN
75min
¡Respondemos a todas tus preguntas!
A nivel práctico, ¿en qué se diferencian los dos packs de adaptación a la LOPD que ofrece Nominalia? ¿Hay que renovar este servicio cada año?
El Pack LOPD de Autogestión, proporciona un enlace a la plataforma online para que el propio cliente gestione el alta en el servicio. El Pack LOPD con Asesoramiento, incluye una revisión por parte de los consultores sobre las respuestas proporcionadas para gestionar el alta en la plataforma online.
El servicio de renovación anual es opcional.
Si la AEPD, va a realizar una auditoría, ¿contactan directamente conmigo o con vosotros como como proveedor del producto?
¿Vuestro servicio de LOPD me sirve para varias empresas y webs que tengo?
¿El almacenamiento de datos se considera de por sí tratamiento de datos?
Sí, tal y como establece el Reglamento de desarrollo de la LOPD, art. 5.1.t, el tratamiento de datos es «cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias«.
Como regla general, incluir datos en un fichero supone un tratamiento de datos y por ello requerirá el consentimiento del afectado.
Me voy a establecer como autónomo, pero todavía no he hecho los trámites. ¿Pasa algo si lo hago ahora? ¿Puedo hacerlo?
En la parte del formulario de nuestra página web, ¿deberíamos tener algún tipo de protocolo de protección tipo SSL con el tema de la LOPD?
El protocolo SSL es muy recomendable cuando se trata de una tienda online o cuando se recogen datos sensibles. De hecho, los buscadores ya están valorando positivamente todas las páginas web que tienen un certificado de seguridad y, a la vez, un SSL genera confianza al mostrar visiblemente (con un candado o una barra verde) que la navegación por esa web es segura.
Si usas servicios de empresas que estén en Private Shield, ¿ya no hace falta informar al usuario de que sus datos se van a usar internacionalmente? ¿Se debe incluir en la declaración del fichero en la AEPD está transferencia internacional?
De cara al Reglamento General de Protección de Datos (RGPD), sí se deberá informar acerca de la transferencia Internacional de datos, más informando que se adecúa al estándar del Privacy Shield y que por ello cumple con la normativa europea.
En la solicitud de alta del fichero ante el Registro de la AEPD se debe comunicar, y en el mismo formulario decir que cumple con el acuerdo del Privacy Shield, para no tener que pedir a autorización de la directora de la Agencia.
Tengo que darme de alta de la LOPD, mis datos son de nivel básico (gestiono dos apartamentos). En vistas del nuevo reglamento el 25 de mayo de 2018, ¿me recomendáis esperarme?
No, si bien es cierto que el RGPD está en vigor, su cumplimiento obligado es a partir de mayo del 2018 y, aquí en España, debes cumplir con la normativa actual, que es la LOPD y el Reglamento que la desarrolla; por lo tanto, deberías adecuarte a estas dos normativas y, una vez que sea de aplicación la nueva LOPD, deberás adaptarte a ella y al RGPD, cambios que aplicaremos en nuestra plataforma de forma automática y sin coste adicional.
Llegado el 25 de mayo, si ya no es necesaria la notificación de ficheros ni el documento de seguridad, ¿qué uso tendrá la plataforma ofrecida por Nominalia?
A través de nuestra plataforma de adaptación a la LOPD el cliente se podrá adaptar al nuevo reglamento y a la normativa que lo desarrolle, teniendo en ella todos los documentos obligatorios que todas las empresas que tengan datos personales deberán tener en relación a la protección de datos, como son, entre otros, los contratos con los encargados del tratamiento, evaluaciones de impacto de riesgos, cláusulas y circulares adaptadas a la nueva normativa, registros de actividades, avisos legales para la web, etc.
Hay mucha más documentación relevante más allá de los ficheros y el documento de seguridad.
Si tenemos actualmente la empresa adaptada con los ficheros inscritos con otra empresa, ¿podemos traspasar el servicio con vosotros? ¿Habría que realizar todos los trámites como nuevos?
¿Qué es "acceso a datos por cuenta de terceros"?
El acceso a datos por cuenta de terceros es el tratamiento que realiza un tercero por cuenta del responsable del fichero, siguiendo estrictamente las instrucciones de éste. Quien presta el servicio adquiere la condición de encargado del tratamiento y su relación con el responsable del fichero deberá estar regulada mediante un contrato, siempre obligatorio, siguiendo las directrices del art. 12 de la LOPD.
Por poner un ejemplo, el acceso a datos por cuenta de terceros vendría a ser el servicio prestado por una gestoría fiscal o laboral externa, que realiza la contabilidad, elabora las nóminas de los empleados, etc.
¿Se puede hacer emailings a autónomos sin tener el consentimiento tácito donde sus datos se han obtenido de internet?
No. Tal y como estableció la Agencia Española de Protección de Datos (AEPD), Internet es un canal de comunicación, y no puede entenderse como un medio de comunicación en el que todo lo que se publica tiene la consideración de fuente accesible al público (entendiendo que podemos tratar los datos sin el consentimiento de su titular cuando los hayamos sacado de fuentes accesibles al público).
Internet únicamente tendrá la consideración de fuente accesible al público lo que fuera de la red la tiene (taxativamente son: el censo promocional, los repertorios telefónicos, las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo, los diarios y boletines oficiales y los medios de comunicación).
Si bien los datos de autónomos pueden estar en internet, cada uno tendrá una finalidad propia, por ejemplo, ofrecer el contacto con sus clientes, y lo más seguro es que no sea la de exponer sus datos para que cualquier empresa pueda tomarlos y utilizarlos para enviarle comunicaciones comerciales.
Es importante señalar que los listados con datos de carácter personal que aparecen publicados en Internet, no tienen la consideración de accesibles al público. Nuestro consejo es siempre obtener el consentimiento del destinatario/interesado.
El compromiso de confidencialidad, si no se firmó a la fecha de incorporación del empleado, ¿puede hacerse posteriormente? ¿Puede negarse a firmarlo el empleado?
Trabajo para una empresa que utiliza datos de órganos de pacientes, siendo contratados a partir de un hospital. ¿Siendo nosotros el tercero, podríamos realizar nuestro servicio al hospital sin ser nosotros responsables de tratar la confidencialidad del paciente?
Un administrador de sistemas ¿hasta qué punto es responsable de la no aplicación de la ley por parte de empresa en caso de fuga de información o no disponer de los dispositivos de seguridad necesarios para evitar esa fuga o intrusión de los datos? Realmente, ¿quién es el responsable, la Empresa o el Administrador de Sistemas o el usuario?
El responsable del fichero es la empresa y debe poner al alcance del administrador de sistemas todos los medios técnicos y organizativos para poder implantar las medidas de seguridad en la empresa. Si la empresa los pone y Ud. no los implanta, entonces sí sería usted responsable por no cumplir con su cometido. Ahora bien, si la empresa no los pone a su alcance, Ud. no tendría responsabilidad alguna.
El DPO finalmente tendrá un perfil jurídico, ¿se valorará la experiencia o ambas? El examen que has comentado que deberá hacer el DPO, ¿quién lo realiza, la AEPD o una empresa certificadora como AENOR?
El Reglamento General de Protección de Datos (RGPD) no exige que el Data Protection Officer (DPO) sea un jurista, pero sí que cuente con ese conocimiento en Derecho de Protección de Datos.
La AEPD, junto con la ENAC (Entidad Nacional de Acreditación), han desarrollado un modelo de certificación como Delegado de Protección de Datos, que será el utilizado por las entidades que deseen realizar certificaciones de este tipo. También ha impulsado la creación del Comité de Expertos del Esquema de Certificación de Delegados de Protección de Datos.
Habrá dos esquemas de certificación:
- En primer lugar, existirá un esquema que acredite a entidades para que, a su vez, puedan actuar como certificadoras de Delegados de Protección de Datos. Corresponderá a ENAC acreditarlas y deberán acreditar cumplir el citado esquema.
- En segundo lugar, habrá otro esquema para certificar a Delegados de Protección de Datos, que marcará los requisitos necesarios para que se pueda obtener la certificación.
Es importante señalar que la certificación como DPO es totalmente voluntaria y para su ejercicio no es necesario tenerla. Sin embargo, el hecho de obtenerla supone una garantía tanto de la competencia profesional certificada como del ejercicio de la mencionada competencia.
¿Un taxista que emite facturas a sus clientes debe cumplir con todo esto? ¿Puede llevar una cámara a bordo? ¿Y si graba también el exterior del vehículo? Hay taxistas que ponen estás cámaras para grabar el tráfico de cara a posibles siniestros.
Sí que deberá cumplir con la normativa de protección de datos si recoge y trata datos personales. Para poder tener cámara de vigilancia tendrá que poner el cartel de videovigilancia, y no podrá grabar fuera del taxi, solamente dentro. Los taxistas que graban fuera del taxi están incumpliendo la LOPD (hay excepciones) y las grabaciones que puedan obtener pueden llegar a ser consideradas como no válidas ante un juicio.
¿Es legal un cartelito de aviso de cámara 'camuflado' como pegatina semitransparente en la puerta de entrada del local?
Si hay una cámara de vigilancia pero que no graba, ¿se tiene que tener el cartel?
Uno de los aspectos que me preocupan es que el servidor que uso está ubicado en Londres y querría saber cómo afecta el Brexit a los datos de mis clientes.
¿Los plugins de chat para ayuda online se han de interpretar como fichero también, aunque sea un mínimo de información personal la que se transmite a través de ella?
¿En qué nivel de protección entraría un autónomo que es fotógrafo, bodas, familias, modelos, etc.? Soy fotógrafo y para subir mis fotos en la web, ¿qué se tiene que tener? Me preocupa, por ejemplo, el tema de tener fotos de gente practicando una religión.
En consultas de psicología mediante videoconferencia online, ¿cómo podemos garantizar la protección de los datos? Me refiero sobre todo al streaming de datos durante la sesión online.
En una consulta psicológica que presta servicios de hipnosis, ¿se pueden grabar las sesiones en vídeo o audio?
¿Podríais explicar la ilegalidad de las consultoras que cobran sus tarifas equivalentes a la formación subvencionada?
Las prácticas que realizan estas consultoras son constitutivas de un fraude.
El Real Decreto 395/2007 y la Orden Ministerial 2307/2007 establecen que los créditos de formación están destinados exclusivamente a la realización de acciones formativas y permisos individuales de formación de los trabajadores. Las empresas que se bonifiquen por la contratación de servicios de implantación, auditoría y asesoría jurídica en materia de LOPD, deberán devolver los importes correspondientes y atenerse a las actuaciones pertinentes del Servicio Público de Empleo Estatal y la Inspección de Trabajo y Seguridad Social. Entonces, es probable que tengan que asumir el coste del 100% del importe bonificado (importes en muchas ocasiones elevados ya que las empresas con varios trabajadores disponen de un importe elevado de créditos y por tanto de dinero a gastar en formación) y por otro lado en un % elevado no tienen sus negocios bien adaptados a la ley ya que el proceso no ha sido realizado por un especialista en LOPD y privacidad y por tanto pueden sufrir alguna investigación por parte de la Agencia Española sobre Protección de Datos, con la consiguiente inspección y probable sanción.
Las empresas que realizan estas prácticas también pueden llegar a ser sancionadas si son denunciadas.
Una web de un psicólogo que ofrece citas a través de la página, ¿cómo le afecta la LSSICE?
Tendrá que dar de alta el fichero de usuarios web y, si sólo recoge el nombre y apellidos del paciente y la fecha de la cita, serán datos de nivel básico. Sus pacientes tendrán que aceptar la política de privacidad de la web.
Usted deberá tener la LOPD al día y, además, tener un aviso legal a parte de la política de privacidad. Asimismo, si tiene cookies, deberá pedir el consentimiento de usuario.
Con mi dominio tengo creado un Blog, no vendo nada, ¿cómo afecta la Ley de protección de datos tratándose de un Blog?
Tengo un foro de budismo para que los usuarios se den consejos entre ellos. ¿Se consideraría que el simple hecho de registrarse en él implicaría tener una base de datos con datos sensibles? ¿Incluso si el registro solo contemplase un "nombre de usuario" y "correo electrónico", sin otros datos personales?
Sí, los datos del foro se consideran sensibles por tratarse de datos de religión, de modo que son datos considerados de nivel alto en la actual normativa española y datos sensibles según el RGPD. Aunque los participantes en el foro solamente den su nombre, apellidos y email, se están registrando en un foro donde se habla de religión.
¿Cómo se realizan las evaluaciones de impacto?
En la AEPD hay una guía de evaluación de impacto de 2014, aún no han hecho ninguna en relación con el RGPD nuevo.
La evaluación de impacto supone la realización de un análisis de riesgos. Se trata de algo habitual en algunos ámbitos por exigencia del “negocio”: hablamos del ámbito financiero, sector asegurador etc. Es necesario conocer metodología de riesgos y la legislación de protección de datos.
En resumen, es un procedimiento largo, donde se deberá determinar el objeto (los tratamientos realizados y las operaciones de tratamiento), conocer los supuestos de obligación y la conveniencia de hacerlo, preparar y planificar el proyecto de evaluación, designar el equipo que la realizará, evaluar la necesidad y proporcionalidad de los tratamientos, hacer un análisis de gestión de los riesgos y por último redactar las conclusiones del proyecto.
Necesito saber si para las relaciones y trasferencias internacionales hace falta un tipo de contrato específico.
Para realizar transferencias internacionales de datos, será necesaria la Autorización previa de la Directora de la Agencia Española de Protección de Datos, salvo que se ampare en alguno de los supuestos de excepción previstos en los apartados a) a j) del artículo 34 de la LOPD o cuando el Estado en el que se encuentre el importador ofrezca un nivel adecuado de protección, supuestos en los que en todo caso se deberán notificar las transferencias internacionales de datos al Registro General de Protección de Datos para su inscripción a través de sistema NOTA de notificación de ficheros.
Hay varios supuestos en los que nos podemos encontrar:
- Cuando hacemos la TID a un país con un nivel adecuado de protección (listado de la Agencia o cuando sea de aplicación el RGPD, listado de la Comisión)
- Supuestos excepcionados de pedir autorización a la directora de la Agencia art. 34 LOPD y 66.2 RLOPD)
- Supuestos en que es necesaria la autorización de la Directora (el exportador de los datos habrá de aportar las garantías de respeto a la protección de datos y garantizar el ejercicio de los derechos. El responsable del fichero deberá aportar un contrato escrito, celebrado entre el exportado y el importador de los datos, donde consten as necesarias garantías de respeto. Hay varias Decisiones de la Comisión Europea, según si las TID’s se realizan entre responsables, entre responsable y encargado o entre encargado y subencargado, o entre empresas de un mismo grupo (Reglas corporativas vinculantes).