Hasta 20 millones de euros si incumples la nueva normativa de protección de datos.
En 2018 se endurece el reglamento de protección de datos de carácter personal. Incumplirlo supondrá un procedimiento sancionador, una multa y una crisis de imagen
En mi negocio siempre nos hemos preocupado mucho por la protección de datos. Sabemos que es importante cuidar de la privacidad de nuestros clientes, pero nos parece muy complicado cumplir con la normativa y nos quita demasiado tiempo para atender al negocio… Soy consciente de que estamos expuestos a que los 'hackers' ataquen los ordenadores y nos roben información y, además, nos han dicho que esta normativa está cambiando y tenemos miedo a no estar preparados cuando llegue el momento. ¿Qué podemos ir haciendo para que no nos 'pille el toro'?
El incumplimiento de la normativa en materia de protección de datos de carácter personal puede acarrear serios problemas para nuestro negocio. Por una parte, si no cumplimos escrupulosamente con la legislación vigente, podemos enfrentarnos a un procedimiento sancionador ante la Agencia Española de Protección de Datos y, eventualmente, a elevadas sanciones económicas; pero, lo que es aún más peligroso, podemos incurrir en una grave crisis reputacional, que nos haga perder la confianza de nuestros clientes, generando enormes pérdidas muy difíciles de reparar. Y es que nadie quiere realizar contratos con una empresa que no cuida los datos que los clientes entregamos para poder establecer la relación comercial.
Además, ahora hemos de estar muy atentos, pues la normativa está cambiando y debemos adaptar nuestros negocios a la nueva legislación.
El nuevo Reglamento Europeo de Protección de Datos será de obligado cumplimiento en todos los estados de la UE a partir del 25 de mayo de 2018, una vez transcurridos dos años desde su publicación en 2016. El mismo incorpora una serie de novedades que debemos tener muy presentes desde ya, para poder irnos adaptando de forma paulatina.
El nuevo reglamento dispone de multas de hasta 20 millones (artículo 83.5 del Reglamento General de Protección de Datos) para las empresas que incumplan sus directrices.
La forma de gestionar los datos de carácter personal por parte de las empresas cambia, lo que no quiere decir necesariamente que exista una mayor carga de obligaciones para los empresarios, pero sí que debemos adoptar un mayor compromiso.
El reglamento defiende un modelo de protección de datos de carácter proactivo, en el cual es la propia empresa quien tiene que demostrar que está poniendo todos los medios a su alcance para evitar cualquier perjuicio a sus clientes, derivado de una mala gestión de los datos de carácter personal. Para ello, el reglamento prevé diversas medidas: la protección de datos desde el diseño, análisis de riesgos, implemento de medidas de seguridad, registro de actividades de tratamiento, notificación de violaciones de seguridad de datos o la designación de un delegado de protección de datos.
¿Qué podemos ir haciendo desde ya para adaptarnos a la nueva normativa?
En general, dependerá del tipo de negocio y la categoría de datos de clientes que manejemos. El reglamento exige que, para que podamos almacenar y tratar los datos de nuestros clientes, debemos obtener de ellos un consentimiento: libre, informado, específico e inequívoco. Ha de ser explícito y la información ha de proporcionarse en un lenguaje claro y conciso, no siendo válido, por tanto, almacenar sus datos por permanecer en silencio o inactivos....LEER NOTICIA COMPLETA.
Protección De Datos
La AEPD lanza una web para ayudar a los ciudadanos a reclamar sus derechos en materia de telecomunicaciones
La Agencia Española de Protección de Datos (AEPD) ha publicado un espacio web para ayudar a los ciudadanos a reclamar sus derechos en materia de telecomunicaciones, con motivo de la celebración del Día mundial de los derechos de los consumidores el 15 de marzo.
Según ha informado la Agencia, la creación de esta sección forma parte del conjunto de iniciativas adoptadas para fomentar la concienciación de los ciudadanos sobre las garantías y los derechos que les asisten y cómo ejercerlos.
De esta forma, ha recordado que la Secretaría de Estado para la Sociedad de la Información y la Agenda Digital (SESIAD), la AEPD y los organismos de consumo son las principales entidades públicas con competencias en materia de telecomunicaciones. Así, ha recordado que, para que el ciudadano pueda obtener una respuesta adecuada a su reclamación, es "esencial" que la plantee ante el organismo adecuado, así como aportar la máxima documentación posible.
En concreto, ha detallado que la página está dividida en cuatro espacios: Qué puedo reclamar y Dónde debo dirigirme; Cómo puedo reclamar; Preguntas frecuentes, donde los ciudadanos encontrarán la respuesta a casos concretos; y Qué documentación tengo que presentar en caso de contratación irregular o fraudulenta, por deudas derivadas de servicios de telecomunicaciones o por inclusión indebida en guías de abonados.
La web ha sido creada por la AEPD en colaboración con la SESIAD y la Agencia Española de Consumo, Seguridad Alimentaria y Nutrición (AECOSAN) con el objetivo de que los consumidores y usuarios sepan desde el primer momento ante qué organismo pueden reclamar sus derechos en función de su problema concreto (disconformidad con la factura recibida, incumplimiento de oferta, contratación irregular de un servicio, información engañosa, cláusulas abusivas, etc.) La Agencia recuerda además que, en el caso de plantear una reclamación, su tramitación será más ágil cuantas más pruebas o indicios pueda aportar el usuario
Según ha explicado, la inserción indebida en ficheros de morosidad y la contratación irregular, dos de las áreas en las que la Agencia tiene competencias, se encuentran entre las principales reclamaciones que plantean que los ciudadanos ante este organismo. "Hay que tener en cuenta que la incorporación a un fichero de este tipo tiene unos efectos especialmente negativos para los consumidores, por lo que la Agencia considera que las empresas deben actuar con especial diligencia ante este tipo de situaciones", ha remachado....LEER NOTICIA COMPLETA.
Cómo adaptar tu negocio a la nueva Normativa Europea de Protección de Datos
El pasado 25 de mayo entró en vigor el Reglamento General de Protección de Datos, RGPD, un reglamento que acaba con la antigua directiva de 1995 y armonizará la legislación en la materia en toda la Unión Europea. Cómo puedes adaptar tu negocio esto.
Las empresas tienen tiempo para adaptarse al nuevo reglamento, ya que éste no comenzará a aplicarse hasta mayo del año 2018.
Cuáles son sus implicaciones prácticas
Primero, será necesario un consentimiento inequívoco para poder tratar los datos personales de los usuarios. Esto deja fuera de juego el consentimiento tácito que existe actualmente en la legislación española.
Además, el nuevo RGPD incluye también la necesidad de aportar información adicional que a día de hoy no es exigible en nuestro país. Esta información adicional puede aportarse sin suponer apenas coste a través de la página web o mediante los canales de comunicación regulares que se mantienen con los clientes.
Habrá que realizar evaluaciones de impacto sobre la protección de datos, y dichas evaluaciones tendrán que tener carácter previo a la puesta en marcha de los tratamientos de datos. Éstas evaluaciones requerirán de cierta preparación, la elección de la metodología adecuada, la identificación de los equipos de trabajo y una serie de condiciones que no deja lugar a la improvisación, por ello, la Agencia Española de Protección de Datos avisa de que no debería esperarse a que la evaluación sea obligatoria para poder usar la herramienta.
¿Está mi empresa preparada para ello?
La nueva normativa supondrá mayor protección y privacidad para los datos de los clientes, y un esfuerzo añadido por parte de todos los negocios, ya que en este tema no importa el tamaño que tengan las empresas, todas han de cumplirla.
A pesar de contar con dos años para adaptarse a la nueva norma, la pregunta sigue estando en el aire. ¿Están las pymes y los autónomos preparados para la pase a la normativa?
Actualmente, según informe realizados hasta la fecha, un 97% de las empresas en nuestro país no tiene planificada esta adaptación, además hay algo que llama a la atención: una de cada diez empresas españolas aún guardan datos personales sin atender a las leyes al respecto. Por último, se sabe que un 80% de los negocios están absolutamente desinformados sobre los detalles implicaciones de la nueva Ley Orgánica de Protección de Datos.
Las empresas han de encargarse de que las novedades procedentes de la nueva normativa sean correctamente transmitidas a sus clientes a través de las herramientas habituales de comunicación, ya sean páginas web, boletines informativos o el correo electrónico.
Además, las empresas también deben apresurarse para escoger su delegado de protección de datos, otro de los puntos importantes de la nueva normativa. Esta figura deberá identificar los riesgos en la protección de determinados datos, y además debe saber aportar soluciones en esta materia para la empresa.
Entre sus obligaciones está también la de la de transmitir a las autoridades de control los fallos o brechas que encuentren en la seguridad, además deberán notificarlo en 72 horas y hacer la petición necesaria para recibir la autorización previa para implantar la Evaluación del Impacto en la Protección de Datos....LEER NOTICIA COMPLETA.
¿Qué empresas tendrán que contratar un delegado de protección de datos?
Los criterios que fija la norma europea dejan algunas 'zonas oscuras' Si el tratamiento es sólo una 'actividad auxiliar' no será necesario Es una figura blindada: la compañía no podrá despedir ni sancionar al DPO
En mayo de 2018 entra en vigor el nuevo Reglamento General de Protección de Datos. Una norma que será de aplicación obligatoria a partir de esa fecha y que impone a las empresas numerosos deberes en relación a la privacidad. Una de las exigencias que introduce es la contratación de un delegado de protección de datos (DPO, por sus siglas en ingés: data protection officer) en determinados supuestos.
La norma no precisa los casos en los que será necesario contratar con el DPO a través determinar una cantidad de datos tratados, personas afectadas por el tratamiento o el ámbito de los mismos, sino que ofrece una descripción general de los supuestos en que será obligatorio.
Por ello, para ofrecer algo de luz a las empresas en esas zonas grises, la Agencia Española de Protección de Datos (AEPD) ha difundido las Directrices elaboradas por el Grupo de Trabajo del Artículo 29 (el GP29, un órgano integrado por las autoridades de todos los Estados y de la UE en materia de privacidad) que precisan algo más los conceptos a los que se refiere el Regalmento.
Tres supuestos de designación obligatoria
El artículo 37 del Reglamento determina la obligatoriedad de la designación del DPD: (1) cuando el tratamiento lo lleve a cabo una autoridad u organismo público; (2) cuando las actividades principales del responsable o encargado del tratamiento consistan en operaciones de tratamiento que requieran un seguimiento regular y sistemático de los interesados a gran escala; y (3) cuando las actividades principales del responsable o el encargado consistan en el tratamiento a gran escala de categorías especiales de datos o datos personales relacionados con condenas y delitos.
El GP29 recomienda, en caso de duda de si una empresa entra dentro de esos supuestos, ésta elabore un informe que recoja el análisis realizado para determinar la necesidad o no de designar al delegado.
El primero de los tres supuestos afecta a las Administraciones y entes del sector público, en los que se plantean menos dudas. Los otros dos sí emplean algunos conceptos más indeterminados y que requieren una mayor precisión.
"Actividades principales"
Cuando los dos segundos apartados se refieren a las "actividades principales del responsable o el encargado del tratamiento" hablan de la actividad primaria de la empresa, y no aquellas en las que el tratamiento de datos sea una función auxiliar.
Se entenderá que estamos ante una actividad principal cuando el tratamiento de datos sea el objetivo fundamental de la misma (una app que maneja perfiles, por ejemplo), o bien, cuando el tratamiento resulte parte intrínseca de la actuación de la empresa. En este segundo supuesto, por ejemplo, encajaría el caso de un hospital en el que, si bien finalidad principal es la prestación de servicios sanitarios, éstos no podrían prestarse sin operar con los datos de los pacientes. En consecuencia, el hospital deberá contratar un DPO.
En el otro extremo, el procesamiento de datos de los empleados necesario para el pago de nóminas, por ejemplo, no tendrá la consideración de actividad principal sino de actividad auxiliar. Así, no dará lugar a la obligación de contratar un delegado.
"A gran escala"
El Reglamento no especifica una cifra de datos tratados o personas afectadas que permite considerar que el tratamiento es "a gran escala". El GP29, sin embargo, no descarta que pueda establecerse un método estándar que lo precise en términos objetivos y cuantitativos. En todo caso, y a la vista de lo problemático de este concepto, sí ha anunciado que publicará algunos umbrales que ayuden a definir en qué situaciones, a priori poco claras, es necesario nombrar un delegada.
De momento, los elementos que deben tenerse en cuenta para precisar si el tratamiento es "a gran escala" son: la cantidad de personas afectadas (en número o en proporción), el volumen de datos o el abanico de diferentes conceptos de datos que se procesan, la duración o permanencia de la actividad de tratamiento de datos y el alcance geográfico de la actividad del tratamiento.
"Seguimiento regular y sistemático"
Por "seguimiento" debe entenderse todas las formas posibles de seguimiento y creación de perfiles en Internet, incluso a efectos de publicidad basada en el comportamiento. Dicha noción no se limita, además, al comportamiento online.
Al hablar de "regular" se refiere el que se realice de forma continuada o que se produce en intervalos concretos durante un tiempo concreto; recurrente o repetido en momento prefijados; o que se produce de forma constante o periódica.
Y, finalmente, por "sistemático", el GP29 especifica que es el que se produce de acuerdo con un sistema; preestablecido, organizado o metódico; que tiene lugar como parte de un plan general de recogida de datos; o, por último, como parte una estrategia.
No puede ser despedido ni recibir instrucciones
El Reglamento otorga un papel muy relevante al delegado en el seno de las empresas y, además, lo blinda para convertirlo en una auténtica figura de control interno.
En este sentido, los datos de contacto del DPO deben ser públicos para que cualquier interesado o el organismo de supervisión pueda contactar con él de forma fácil, directa y confidencial, sin que esta comunicación trascienda en la organización.
La empresa, además, deberá proveerle de los "recurso necesarios", en tendido en sentido amplio: que tenga el tiempo suficiente para cumplir sus funciones; que reciba el apoyo adecuado en cuanto a recursos económicos, infraestructuras y personal; que tenga acceso a otros servicios y departamentos (el archivo de recursos humanos, por ejemplo); y, además, que se le dote de formación continua para mantener su "conocimiento experto"....LEER NOTICIA COMPLETA.
PROTECCIÓN DE DATOS
La AEPD publica la guía ‘Protección de datos y administración de fincas’
La información sobre comunidades de propietarios es uno de los temas más consultados en el catálogo de preguntas frecuentes de la página web de la Agencia.
La Agencia Española de Protección de Datos (AEPD) ha publicado la guía ‘Protección de datos y administración de fincas’, un documento que forma parte del conjunto de iniciativas adoptadas por la Agencia para facilitar y fomentar el cumplimiento de la normativa de protección de datos.
La información referente a comunidades de propietarios es uno de los temas más consultados en el catálogo de preguntas frecuentes de la página web de la Agencia. La AEPD considera que publicar una guía orientada a abordar la protección de datos en las comunidades de vecinos a través de los administradores de fincas contribuye tanto a facilitar el trabajo de estos, ofreciéndoles una información ajustada a sus necesidades, como a mejorar el nivel global de protección de los ciudadanos. Según datos del Consejo General de Colegios de Administradores de Fincas, estos gestionan el 80% del parque total de viviendas en España.
‘Protección de datos y administración de fincas’ aborda en primer lugar cuestiones generales de la normativa de protección de datos que se aplican a los administradores de fincas, que actúan por cuenta de las comunidades de propietarios. En este sentido, se incluyen secciones dedicadas a las definiciones de conceptos básicos, a la inscripción de ficheros y el futuro registro de actividades, a la forma de organizar las relaciones entre la comunidad de propietarios y el administrador, y a las principales obligaciones de las partes.
Por otro lado, la guía analiza con detalle algunos supuestos específicos que se plantean con frecuencia ante la Agencia, tanto en forma de consulta como de denuncia: información sobre propietarios con pagos pendientes (publicación en el tablón de avisos de la finca de la identidad de los propietarios deudores y/o de las cuotas vencidas e impagadas), acceso y obtención de copias de la documentación de la comunidad, requisitos para la instalación de cámaras de videovigilancia o tratamiento de datos de empleados.
GUIA PROTECCION DE DATOS Y ADMINSTRACION DE FINCAS.
Aplicación del nuevo Reglamento europeo
El documento recoge la normativa de protección de datos vigente, incorporando también referencias al Reglamento General de Protección de Datos, que será aplicable a partir del 25 mayo de 2018 y que supone una gestión distinta de la que se realiza en la actualidad.