T'expliquem com adapta la teva empresa fàcilment a les exigències de la normativa sobre protecció de dades. Amb l'entrada en vigor del nou Reglament Europeu, us recomanem anticipar-vos per assegurar-vos del compliment del mateix i evitar les elevades sancions que comporta el seu incompliment.
Enregistrament del webinar
Presentació: Descarrega-te-la!
Descarrega't la presentació des de aquí
PROFESSOR
Jaume Feliu
Enginyer informàtic,
expert en protecció de dades
Georgina Andrés
Advocada i experta
en noves tecnologies
DATA
28 setembre 2017
TEMPS
16: 00h
DURADA
75min
Responem totes les teves preguntes!
A nivell pràctic, en què es diferencien els dos packs dadaptació a la LOPD que ofereix Nominalia? Cal renovar aquest servei cada any?
El Pack LOPD d'Autogestió, proporciona un enllaç a la plataforma en línia perquè el propi client gestioni l'alta al servei. El Pack LOPD amb Assessorament, inclou una revisió per part dels consultors sobre les respostes proporcionades per gestionar l'alta a la plataforma en línia.
El servei de renovació anual és opcional.
Si l'AEPD, realitzarà una auditoria, contacteu directament amb mi o amb vosaltres com a proveïdor del producte?
El vostre servei de LOPD em serveix per a diverses empreses i webs que tinc?
L'emmagatzematge de dades es considera tractament de dades per si mateix?
Sí, tal com estableix el Reglament de desenvolupament de la LOPD, art. 5.1.t, el tractament de dades és «qualsevol operació o procediment tècnic, sigui o no automatitzat, que permeti la recollida, enregistrament, conservació, elaboració, modificació, veure, utilització, cancel·lació, bloqueig o supressió, així com les cessions de dades que resultin de comunicacions, consultes, interconnexions i transferències".
Com a regla general, incloure dades en un fitxer suposa un tractament de dades i requerirà el consentiment de l'afectat.
M'establiré com a autònom, però encara no he fet els tràmits. Passa alguna cosa si ho faig ara? Ho puc fer?
A la part del formulari de la nostra pàgina web, hauríem de tenir algun tipus de protocol de protecció tipus SSL amb el tema de la LOPD?
El protocol SSL és molt recomanable quan es tracta d'una botiga en línia o quan es recullen dades sensibles. De fet, els cercadors ja estan valorant positivament totes les pàgines web que tenen un certificat de seguretat i, alhora, un SSL genera confiança en mostrar visiblement (amb un cadenat o una barra verda) que la navegació per aquesta web és segura.
Si uses serveis d'empreses que estiguin a Private Shield, ja no cal informar a l'usuari que les seves dades s'usaran internacionalment? S'ha d'incloure a la declaració del fitxer a l'AEPD aquesta transferència internacional?
De cara al Reglament General de Protecció de Dades (RGPD), sí que s'haurà d'informar sobre la transferència internacional de dades, més informant que s'adequa a l'estàndard del Privacy Shield i que per això compleix la normativa europea.
A la sol·licitud d'alta del fitxer davant del Registre de l'AEPD cal comunicar-ho, i al mateix formulari dir que compleix amb l'acord del Privacy Shield, per no haver de demanar a autorització de la directora de l'Agència.
He de donar-me d'alta de la LOPD, les meves dades són de nivell bàsic (gestiono dos apartaments). En vista del nou reglament el 25 de maig de 2018, em recomaneu esperar-me?
No, si bé és cert que el RGPD està en vigor, el compliment obligat és a partir del maig del 2018 i, aquí a Espanya, has de complir amb la normativa actual, que és la LOPD i el Reglament que la desenvolupa; per tant, t'hauries d'adequar a aquestes dues normatives i, una vegada que sigui d'aplicació la nova LOPD, t'hauràs d'adaptar a ella i al RGPD, canvis que aplicarem a la nostra plataforma de forma automàtica i sense cost addicional.
Arribat el 25 de maig, si ja no cal la notificació de fitxers ni el document de seguretat, quin ús tindrà la plataforma oferta per Nominalia?
A través de la nostra plataforma d'adaptació a la LOPD el client es podrà adaptar al nou reglament ia la normativa que el desenvolupi, tenint-hi tots els documents obligatoris que totes les empreses que tinguin dades personals hauran de tenir en relació a la protecció de dades, com són, entre d'altres, els contractes amb els encarregats del tractament, avaluacions dimpacte de riscos, clàusules i circulars adaptades a la nova normativa, registres dactivitats, avisos legals per a la web, etc.
Hi ha molta més documentació rellevant més enllà dels fitxers i el document de seguretat.
Si actualment tenim l'empresa adaptada amb els fitxers inscrits amb una altra empresa, podem traspassar el servei amb vosaltres? Caldria fer tots els tràmits com a nous?
Què és “accés a dades per compte de tercers”?
L'accés a dades per compte de tercers és el tractament que fa un tercer per compte del responsable del fitxer, seguint estrictament les instruccions d'aquest. Qui presta el servei adquireix la condició de encarregat del tractament i la relació amb el responsable del fitxer haurà d'estar regulada mitjançant un contracte, sempre obligatori, seguint les directrius de l'art. 12 de la LOPD.
Per posar un exemple, l'accés a dades per compte de tercers seria el servei prestat per una gestoria fiscal o laboral externa, que realitza la comptabilitat, elabora les nòmines dels empleats, etc.
Es pot fer emailings a autònoms sense tenir el consentiment tàcit on les dades s'han obtingut d'internet?
No. Tal com va establir l'Agència Espanyola de Protecció de Dades (AEPD), Internet és un canal de comunicació, i no es pot entendre com un mitjà de comunicació en què tot el que es publica té la consideració de font accessible al públic (entenent que podem tractar les dades sense el consentiment del titular quan les hàgim tret de fonts accessibles al públic).
Internet únicament tindrà la consideració de font accessible al públic el que fora de la xarxa la té (taxativament són: el cens promocional, els repertoris telefònics, les llistes de persones pertanyents a grups de professionals que continguin únicament les dades de nom, títol, professió , activitat, grau acadèmic, direcció i indicació de la seva pertinença al grup, els diaris i els butlletins oficials i els mitjans de comunicació).
Si bé les dades d'autònoms poden estar a internet, cadascú tindrà una finalitat pròpia, per exemple, oferir el contacte amb els seus clients, i el més segur és que no sigui la d'exposar les dades perquè qualsevol empresa les pugui prendre i utilitzar-les per enviar comunicacions comercials.
És important assenyalar que els llistats amb dades de caràcter personal que apareixen publicats a Internet no tenen la consideració d'accessibles al públic. El nostre consell és sempre obtenir el consentiment del destinatari/interessat.
El compromís de confidencialitat, si no es va signar a la data d'incorporació de l'empleat, es pot fer posteriorment? Es pot negar a signar-lo l'empleat?
Treballo per a una empresa que utilitza dades d'òrgans de pacients, contractats a partir d'un hospital. Sent nosaltres el tercer, podríem fer el nostre servei a l'hospital sense ser nosaltres responsables de tractar la confidencialitat del pacient?
Un administrador de sistemes ¿fins a quin punt és responsable de la no aplicació de la llei per part d'empresa en cas de fugida d'informació o no disposar dels dispositius de seguretat necessaris per evitar aquesta fugida o intrusió de les dades? Realment, qui n'és el responsable, l'Empresa o l'Administrador de Sistemes o l'usuari?
El responsable del fitxer és l'empresa i ha de posar a l'abast de l'administrador de sistemes tots els mitjans tècnics i organitzatius per poder implantar les mesures de seguretat a l'empresa. Si l'empresa els posa i vostè no els implanta, llavors sí que vostè seria responsable per no complir amb la seva comesa. Ara bé, si l'empresa no els posa al seu abast, vostè no tindria cap responsabilitat.
El DPO finalment tindrà un perfil jurídic, es valorarà lexperiència o ambdues? L'examen que has comentat que haurà de fer el DPO, qui ho fa, l'AEPD o una empresa certificadora com a AENOR?
El Reglament General de Protecció de Dades (RGPD) no exigeix que el Delegat de Protecció de Dades (DPO) sigui un jurista, però sí que tingui aquest coneixement en Dret de Protecció de Dades.
L'AEPD, juntament amb la ENAC (Entitat Nacional d'Acreditació), han desenvolupat un model de certificació com a Delegat de Protecció de Dades, que serà l'utilitzat per les entitats que vulguin fer certificacions d'aquest tipus. També ha impulsat la creació del Comitè d´Experts de l´Esquema de Certificació de Delegats de Protecció de Dades.
Hi haurà dos esquemes de certificació:
- En primer lloc, hi haurà un esquema que acrediti entitats perquè, al seu torn, puguin actuar com a certificadores de Delegats de Protecció de Dades. Correspondrà a ENAC acreditar-les i hauran d'acreditar complir aquest esquema.
- En segon lloc, hi haurà un altre esquema per certificar Delegats de Protecció de Dades, que marcarà els requisits necessaris perquè es pugui obtenir la certificació.
És important assenyalar que la certificació com a DPO és totalment voluntària i per al seu exercici no cal tenir-la. Tanmateix, el fet d'obtenir-la suposa una garantia tant de la competència professional certificada com de l'exercici de la competència esmentada.
Un taxista que emet factures als clients ha de complir amb tot això? Pot portar una càmera a bord? I si enregistreu també l'exterior del vehicle? Hi ha taxistes que posen aquestes càmeres per gravar el trànsit de cara a possibles sinistres.
Sí que haurà de complir la normativa de protecció de dades si recull i tracta dades personals. Per poder tenir càmera de vigilància haurà de posar el cartell de videovigilància, i no podrà gravar fora del taxi, només a dins. Els taxistes que graven fora del taxi estan incomplint la LOPD (hi ha excepcions) i els enregistraments que puguin obtenir poden arribar a ser considerats com a no vàlids davant d'un judici.
És legal un cartellet d'avís de cambra camuflat com a adhesiu semitransparent a la porta d'entrada del local?
Si hi ha una càmera de vigilància però que no enregistra, s'ha de tenir el cartell?
Un dels aspectes que em preocupen és que el servidor que utilitzo està ubicat a Londres i voldria saber com afecta el Brexit les dades dels meus clients.
Els plugins de xat per a ajuda en línia s'han d'interpretar com a fitxer també, encara que sigui un mínim d'informació personal la que es transmet a través d'aquesta?
En quin nivell de protecció entraria un autònom que és fotògraf, casaments, famílies, models, etc.? Sóc fotògraf i per pujar les meves fotos a la web, què s'ha de tenir? Em preocupa, per exemple, el tema de tenir fotos de gent fent una religió.
En consultes de psicologia mitjançant videoconferència en línia, com podem garantir la protecció de les dades? Em refereixo sobretot a l'streaming de dades durant la sessió en línia.
En una consulta psicològica que presta serveis d'hipnosi, es poden enregistrar les sessions en vídeo o àudio?
Podríeu explicar la il·legalitat de les consultores que cobren les tarifes equivalents a la formació subvencionada?
Les pràctiques que fan aquestes consultores són constitutives d'un frau.
El Reial decret 395/2007 i lOrdre ministerial 2307/2007 estableixen que els crèdits de formació estan destinats exclusivament a la realització daccions formatives i permisos individuals de formació dels treballadors. Les empreses que es bonifiquin per la contractació de serveis dimplantació, auditoria i assessoria jurídica en matèria de LOPD, hauran de tornar els imports corresponents i atenir-se a les actuacions pertinents del Servei Públic dOcupació Estatal i la Inspecció de Treball i Seguretat Social. Aleshores, és probable que hagin d'assumir el cost del 100% de l'import bonificat (imports moltes vegades elevats ja que les empreses amb diversos treballadors disposen d'un import elevat de crèdits i per tant de diners a gastar en formació) i d'altra banda en un % elevat no tenen els seus negocis ben adaptats a la llei ja que el procés no ha estat realitzat per un especialista en LOPD i privadesa i per tant poden patir alguna investigació per part de l'Agència Espanyola sobre Protecció de Dades, amb la consegüent inspecció i probable sanció.
Les empreses que fan aquestes pràctiques també poden arribar a ser sancionades si són denunciades.
Una web d'un psicòleg que ofereix cites a través de la pàgina, com afecta la LSSICE?
Haurà de donar d'alta el fitxer d'usuaris web i, si només recull el nom i els cognoms del pacient i la data de la cita, seran dades de nivell bàsic. Els seus pacients hauran d'acceptar la política de privadesa de la web.
Vostè haurà de tenir la LOPD al dia i, a més, tenir un avís legal a part de la política de privadesa. Així mateix, si teniu galetes, haureu de demanar el consentiment d'usuari.
Amb el meu domini tinc creat un bloc, no venc res, com afecta la Llei de protecció de dades tractant-se d'un bloc?
Tinc un fòrum de budisme perquè els usuaris es donin consells entre ells. Es consideraria que el simple fet de registrar-s'hi implicaria tenir una base de dades amb dades sensibles? Fins i tot si el registre només contemplés un "nom d'usuari" i "correu electrònic", sense altres dades personals?
Sí, les dades del fòrum es consideren sensibles per tractar-se de dades de religió, de manera que són dades considerades de nivell alt a l'actual normativa espanyola i dades sensibles segons el RGPD. Encara que els participants al fòrum només donin el seu nom, cognoms i email, s'estan registrant en un fòrum on es parla de religió.
Com es fan les avaluacions d'impacte?
A l'AEPD hi ha una guia d'avaluació d'impacte del 2014, encara no n'han fet cap en relació amb el RGPD nou.
Lavaluació dimpacte suposa la realització duna anàlisi de riscos. Es tracta d'una cosa habitual en alguns àmbits per exigència del negoci: parlem de l'àmbit financer, sector assegurador etc. És necessari conèixer metodologia de riscos i la legislació de protecció de dades.
En resum, és un procediment llarg on s'haurà de determinar l'objecte (els tractaments realitzats i les operacions de tractament), conèixer els supòsits d'obligació i la conveniència de fer-ho, preparar i planificar el projecte d'avaluació, designar l'equip que la realitzarà , avaluar la necessitat i proporcionalitat dels tractaments, fer una anàlisi de gestió dels riscos i finalment redactar les conclusions del projecte.
Necessito saber si per a les relacions i transferències internacionals cal un tipus de contracte específic.
Per fer transferències internacionals de dades, caldrà l'autorització prèvia de la directora de l'Agència Espanyola de Protecció de Dades, llevat que s'empari en algun dels supòsits d'excepció que preveuen els apartats a) aj) de l'article 34 de la LOPD o quan l'Estat on es trobi l'importador ofereixi un nivell adequat de protecció, supòsits en què en tot cas s'hauran de notificar les transferències internacionals de dades al Registre General de Protecció de Dades per a la seva inscripció a través del sistema NOTA de notificació de fitxers.
Hi ha diversos supòsits en què ens podem trobar:
- Quan fem la TID a un país amb un nivell adequat de protecció (llistat de l'Agència o quan sigui aplicable el RGPD, llistat de la Comissió)
- Supòsits excepcionats de demanar autorització a la directora de l'Agència art. 34 LOPD i 66.2 RLOPD)
- Supòsits en què cal l'autorització de la Directora (l'exportador de les dades haurà d'aportar les garanties de respecte a la protecció de dades i garantir l'exercici dels drets. El responsable del fitxer haurà d'aportar un contracte escrit, celebrat entre l'exportat i l'importador de les dades, on constin les necessàries garanties de respecte.Hi ha diverses Decisions de la Comissió Europea, segons si les TID's es realitzen entre responsables, entre responsable i encarregat o entre encarregat i subencarregat, o entre empreses d'un mateix grup ( Regles corporatives vinculants).