¿Qué implica la responsabilidad activa recogida en el Reglamento?
¿Estoy obligado/a a cumplir el RGPD/LOPD?
Casi la totalidad de los profesionales deben cumplir las normativas de protección de datos, ya que manejan datos personales de clientes, pacientes, trabajadores, socios, usuarios web, etc.
No importa si son muchos o pocos datos, si los datos son únicamente de contacto, desde dónde trabaja o cómo los trate: si existe algún tratamiento, existe la obligación, por ley.
¿Estoy obligado/a a cumplir el RGPD/LOPD?
Casi la totalidad de los profesionales deben cumplir las normativas de protección de datos, ya que manejan datos personales de clientes, pacientes, trabajadores, socios, usuarios web, etc.
No importa si son muchos o pocos datos, si los datos son únicamente de contacto, desde dónde trabaja o cómo los trate: si existe algún tratamiento, existe la obligación, por ley.
¿Deben las empresas revisar sus avisos de privacidad?
Con carácter general, sí. El Reglamento prevé que se incluyan en la información que se proporciona a los interesados una serie de cuestiones que con la Directiva y muchas leyes nacionales de trasposición no eran necesariamente obligatorias. Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, los períodos de retención de estos y que los interesados pueden dirigir sus reclamaciones a las autoridades de protección de datos si creen que hay un problema con la forma en que están manejando sus datos. Es importante recordar que el Reglamento exige de forma expresa que la información que se proporcione sea fácil de entender y presentarse en un lenguaje claro y conciso.
¿Qué hay de mi web o tienda online?
Las páginas web y tiendas online (incluyendo también blogs, marketplaces, plataformas, aplicativos web…), además de la LOPD-GDD y el RGPD, deben cumplir también la LSSICE y, si hay pagos online, la «Ley de Defensa del Consumidor«.
Deben tener unos textos legales (por supuesto, adaptados a su actividad): aviso legal, política de privacidad y de cookies, condiciones de uso y, si procede, de contratación. Pero deben también un aviso de cookies (y bloqueo si son analíticas), una primera capa informativa en los formularios, checks de aceptación, etc.
Nuestro servicio incluye la redacción de los textos, y el asesoramiento para una completa implementación de TODO lo necesario. Y, si no tiene informático/a de mano, la implementación podrá realizarla nuestro propio equipo técnico. Cero complicaciones.
Mi empresa, ¿debe cumplir el RGPD/LOPD?
Casi la totalidad de las empresas, startups y asociaciones deben cumplir las normativas de protección de datos, ya que manejan datos personales de clientes, pacientes, trabajadores, socios, usuarios web, etc.
No importa si son muchos o pocos datos, si los datos son únicamente de contacto, desde qué lugar o cómo se traten: si existe algún tratamiento, existe la obligación, por ley.
¿También os encargáis de la web o tienda online?
Las páginas web y tiendas online (incluyendo también blogs, marketplaces, plataformas, aplicativos web…), además de la LOPD-GDD y el RGPD, deben cumplir también la LSSICE y, si hay pagos online, la «Ley de Defensa del Consumidor«.
Deben tener unos textos legales (por supuesto, adaptados a su negocio): aviso legal, política de privacidad y de cookies, condiciones de uso y, si procede, de contratación. Pero deben también un aviso de cookies (y bloqueo si son analíticas), una primera capa informativa en los formularios, checks de aceptación, etc.
Nuestro servicio incluye la redacción de los textos, y el asesoramiento para una completa implementación de TODO lo necesario. Y, si no tiene informático/a de mano, la implementación podrá realizarla nuestro propio equipo técnico. Cero complicaciones.
¿Qué pasa si vendo internacionalmente?
Los textos legales deben, por ley, ser entendibles por todas las personas que acceden y usan su web. Eso significa que, si vende internacionalmente, debe tener sus textos legales al menos en lenguaje local y en inglés (como idioma internacionalmente reconocido). También puede ser beneficioso tener los textos legales en inglés simplemente por imagen, o si vende a nivel nacional pero sus clientes son extranjeros.
En ExpertosLOPD® le proporcionamos los textos legales en inglés para su ecommerce, como servicio opcional.
¿Qué es la normativa de Cookies, cómo me afecta y cómo puedo adecuarme?
La ley afecta a todos los profesionales o empresas que presten servicios en España, ya sea por disponer de domicilio, establecimiento permanente, o bien, que sus servicios estén orientados al mercado español aunque tenga su hosting fuera. Es necesario recalcar que esta normativa es aplicable a los sitios web que utilicen los diferentes tipos de cookies con excepción de la cookies técnicas.
¿Por qué debo cumplir la Ley de Cookies?
El art. 22.2 de la LSSI (Ley 34/2002) configura la normativa vigente de la llamada “Ley de Cookies”. La norma establece la imposición de multas por no informar de forma válida a los usuarios. La información que se debe facilitar, además de clara y completa, debe ser previa a la obtención del consentimiento para instalar cookies en el navegador web de sus visitantes.
¿Quiénes están obligados por la LSSI?
Si su empresa o negocio cuenta con una página web con fines publicitarios o informativos, posibilitando la contratación de productos o servicios, debe cumplir con las obligaciones impuestas por esta ley.
¿Por qué debo adaptar mi web a la LSSI?
El incumplimiento de los requisitos establecidos en la Ley puede dar lugar a sanciones económicas importantes.
Según el RGPD ¿Cómo debe solicitarse el consentimiento de los interesados para tratar sus datos personales?
El RGPD requiere que el consentimiento sea «inequívoco», lo que supone que se preste mediante una manifestación del interesado o mediante una clara acción afirmativa. Esto excluye la utilización del llamado consentimiento tácito, que permitía la normativa española de protección de datos. Así, no se consideran formas válidas de obtener el consentimiento el uso de casillas ya marcadas o la inacción. En cambio, sí son acordes al RGPD, la utilización de una declaración por escrito, o la marcación de casillas en un sitio web de internet. El consentimiento en el marco del RGPD se caracteriza por lo siguiente:
– Puede ser para uno o varios fines.
– Debe ser prestado de forma libre.
– Revocable.
– El responsable debe poder probar en todo momento que ha obtenido el consentimiento.
– Utilizar un lenguaje claro y sencillo.
Por otra parte, también debe ser tenido en cuenta lo siguiente:
– Si se usa para obtenerlo una declaración escrita, debe quedar claramente diferenciada la parte referente a protección de datos del resto de declaraciones.
– Si se recaba el consentimiento para varias finalidades:
* Sería posible agruparlas en virtud de su vinculación (por ejemplo, consentimiento para la recepción de publicidad propia o de terceros).
* Pero deberían desagregarse cuando los tratamientos impliquen conductas distintas (por ejemplo tratamiento por quien recaba los datos y cesión a terceros).
Asimismo, existen supuestos en que además de inequívoco, el consentimiento ha de ser explícito:
– Tratamiento de datos sensibles
– Adopción de decisiones automatizadas
– Transferencias internacionales
¿Qué es el Registro de actividades de tratamiento?
Los responsables y encargados del tratamiento de datos personales deberán mantener un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Este registro deberá contener la información que recoge al respecto el artículo 30 del RGPD y que es la siguiente: Respecto a los responsables:
a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
b) los fines del tratamiento;
c) una descripción de las categorías de interesados y de las categorías de datos personales;
d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.
Respecto a los encargados:
a) el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos;
b) las categorías de tratamientos efectuados por cuenta de cada responsable;
c) en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
d) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 30, apartado 1.
Por otra parte, están exentas de configurar este registro de actividades las organizaciones que empleen a menos de 250 trabajadores, a menos que el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos o datos relativos a condenas e infracciones penales.
No obstante, hay que indicar que estas excepciones se aplican en casos muy limitados, puesto que en la práctica todos los tratamientos pueden suponer un riesgo para los derechos y libertades de los interesados, aunque sea ocasional, lo que viene a implicar que en la práctica, que la mayoría de los responsables o encargados del tratamiento que empleen a menos de 250 trabajadoras estarán obligadas a llevar un registro de actividades de tratamiento.
Por último, para organizar este registro de actividades de tratamiento se puede:
-Partir de los ficheros que actualmente tienen notificados los responsables en el Registro General de Protección de Datos, detallando todas las operaciones que se realizan sobre cada conjunto estructurado de datos.
-Configurarlo en torno a operaciones de tratamiento concretas vinculadas a una finalidad básica común de todas ellas (por ejemplo, «gestión de clientes», «gestión contable» o «gestión de recursos humanos y nóminas») o con arreglo a otros criterios distintos.
¿En qué consiste el análisis de riesgo al que se refiere el RGPD?
El RGPD prevé que las medidas de cumplimiento para responsables o encargados deban aplicarse en función del riesgo que los tratamientos que realizan supongan para los derechos y libertades de los interesados.
Por ello, responsable y encargados deben llevar a cabo una valoración del riesgo de sus tratamientos realicen, con el fin de determinar qué medidas aplicar y cómo hacerlo. Este análisis del riesgo variará en función de:
– Los tipos de tratamiento.
– La naturaleza de los datos.
– El número de interesados afectados.
– La cantidad y variedad de tratamientos que realice una misma organización.
En las grandes organizaciones, como regla general, el análisis deberá llevarse a cabo utilizando alguna de las metodologías de análisis de riesgo existentes.
En las organizaciones de menor tamaño y con tratamientos de poca complejidad, el análisis será el resultado de una reflexión, mínimamente documentada, sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados.
¿Qué es la protección de datos desde el diseño y por defecto?
Entre las medidas de responsabilidad activa (proactividad) se encuentra la figura de la protección de datos desde el diseño y por defecto; medidas se incluyen dentro de las que debe aplicar el responsable con anterioridad al inicio del tratamiento y también cuando se esté desarrollando.
Este tipo de medidas reflejan muy directamente el enfoque de tal responsabilidad proactiva. Se trata de pensar en términos de protección de datos desde el mismo momento en que se diseña un tratamiento, un producto o servicio que implica el tratamiento de datos personales.
Desde el inicio, los responsables deben tomar medidas organizativas y técnicas para integrar en los tratamientos garantías que permitan aplicar de forma efectiva los principios del RGPD.
Los responsables deben adoptar medidas que garanticen que solo se traten los datos necesarios en lo relativo a la cantidad de datos tratados, la extensión del tratamiento, los periodos de conservación y la accesibilidad a los datos.
¿Qué es una violación de seguridad de los datos ("quiebra de seguridad")?
El RGPD define las violaciones de seguridad de los datos, más comúnmente conocidas como «quiebras de seguridad», de una forma muy amplia, e incluye todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
Sucesos como la pérdida de un ordenador portátil, el acceso no autorizado a las bases de datos de una organización (incluso por su propio personal) o el borrado accidental de algunos registros constituyen violaciones de seguridad a la luz del RGPD y deben ser tratadas como la norma establece.
En este sentido, los daños producidos por una quiebra de seguridad pueden ser materiales o inmateriales, e ir desde la posible discriminación de los afectados como consecuencia de su uso por quien ha accedido a ellos de forma no autorizada hasta usurpación de identidad, pasando por perjuicios económicos o la exposición pública de datos confidenciales.
Se considera que se tiene constancia de una quiebra de seguridad cuando hay una certeza de que se ha producido y se tiene un conocimiento suficiente de su naturaleza y alcance.
La mera sospecha de que ha existido una quiebra o la constatación de que ha sucedido algún tipo de incidente sin que se conozcan mínimamente sus circunstancias no deberían dar lugar, todavía, a la notificación, dado que en esas condiciones no sería posible, en la mayoría de los casos, determinar hasta qué punto puede existir un riesgo para los derechos y libertades de los interesados.
¿A quién hay que notificar las quiebras de seguridad?
Cuando se produzca una violación de la seguridad de los datos (quiebra de seguridad), el responsable debe notificarla:
1.- A la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados. La notificación de la quiebra a las autoridades debe producirse sin dilación indebida y, a ser posible, dentro de las 72 horas siguientes a que el responsable tenga constancia de ella. La notificación ha de incluir un contenido mínimo:
a) la naturaleza de la violación
b) categorías de datos y de interesados afectados
c) medidas adoptadas por el responsable para solventar la quiebra
d) si procede, las medidas aplicadas para paliar los posibles efectos negativos sobre los interesados. Además, los responsables deben documentar las quiebras de seguridad sufridas.
2.- A los afectados en los casos en que sea probable que la violación de seguridad entrañe un alto riesgo para los derechos o libertades de los mismos, de forma que la notificación a la autoridad de supervisión deberá complementarse con una notificación dirigida a estos últimos.
El objetivo de la notificación a los afectados es permitir que puedan tomar medidas para protegerse de sus consecuencias. Por ello, el RGPD requiere que se realice sin dilación indebida, sin hacer referencia ni al momento en que se tenga constancia de ella ni tampoco a la posibilidad de efectuar la notificación dentro de un plazo de 72 horas. El propósito es siempre que el interesado afectado pueda reaccionar tan pronto como sea posible. El RGPD añade a los contenidos de la notificación las recomendaciones sobre las medidas que pueden tomar los interesados para hacer frente a las consecuencias de la quiebra.
Esta notificación a los afectados no será necesaria cuando:
a) El responsable hubiera tomado medidas técnicas u organizativas apropiadas con anterioridad a la violación de seguridad, en particular las medidas que hagan ininteligibles los datos para terceros, como sería el cifrado.
b) Cuando el responsable haya tomado con posterioridad a la quiebra medidas técnicas que garanticen que ya no hay posibilidad de que el alto riesgo se materialice.
c) Cuando la notificación suponga un esfuerzo desproporcionado, debiendo en estos casos sustituirse por medidas alternativas como puede ser una comunicación pública.
¿Qué ocurre en los casos de quiebras de gran impacto?
En casos de quiebras que por sus características pudieran tener gran impacto, sí podría ser recomendable contactar con la autoridad de supervisión tan pronto como existan evidencias de que se ha producido alguna situación irregular respecto a la seguridad de los datos, sin perjuicio de que esos primeros contactos puedan completarse con una notificación formal más completa dentro del plazo legalmente previsto.
Puede haber casos en que la notificación no pueda realizarse dentro de esas 72 horas, por ejemplo, por la complejidad en determinar completamente su alcance. En esos casos, es posible hacer la notificación con posterioridad, acompañándola de una explicación de los motivos que han ocasionado el retraso.
La información puede proporcionarse de forma escalonada cuando no sea posible hacerlo en el mismo momento de la notificación.
El criterio de alto riesgo debe entenderse en el sentido de que sea probable que la violación de seguridad ocasione daños de entidad a los interesados. Por ejemplo, en casos en que se desvele información confidencial, como contraseñas o participación en determinadas actividades, se difundan de forma masiva datos sensibles o se puedan producir perjuicios económicos para los afectados.
¿Qué obligaciones específicas contiene el RGPD para los encargados de tratamiento?
En determinadas materias los encargados tienen obligaciones propias que establece el RGPD, que no se circunscriben al ámbito del contrato que los une al responsable, y que pueden ser supervisadas separadamente por las autoridades de protección de datos.
Por ejemplo:
– Deben mantener un registro de actividades de tratamiento.
– Deben determinar las medidas de seguridad aplicables a los tratamientos que realizan.
– Deben designar a un Delegado de Protección de Datos en los casos previstos por el RGPD.
Los encargados pueden adherirse a códigos de conducta o certificarse en el marco de los esquemas de certificación previstos por el RGPD.
Los responsables habrán de elegir únicamente encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del Reglamento. Esta previsión se extiende también a los encargados cuando subcontraten operaciones de tratamiento con otros subencargados.
¿Cómo se puede acreditar la existencia de garantías suficientes de un encargado de tratamiento?
Para demostrar que los encargados o subencargados ofrecen las garantías exigidas por el RGPD, éstos podrán adherirse a códigos de conducta o certificarse dentro de los esquemas previstos por el RGPD. Si bien antes el Reglamento de Desarrollo de la LOPD 15/1999 (RLOPD) establecía la necesidad de diligencia debida en la selección de encargados, según el RGPD el responsable deberá adoptar medidas apropiadas, incluida la elección de encargados, de forma que garantice y esté en condiciones de demostrar que el tratamiento se realiza conforme el RGPD (principio de responsabilidad activa).
¿Qué derechos reconoce el RPGD a los afectados?
Además del derecho de información, el RGPD permite que los afectados puedan ejercitar los derechos de acceso, rectificación, supresión («derecho al olvido»), oposición, portabilidad, limitación del tratamiento, y derecho de oposición a las decisiones automatizadas (incluyendo la elaboración de perfiles).
Estos derechos se ejercitarán ante el responsable del tratamiento. También es posible ejercitarlos en los casos de que existiese un encargado de tratamiento ante éste, siempre y cuando el responsable y dicho encargado así lo hubiesen convenido.
¿Cuál es el plazo para responder cuando se ejercitan estos derechos?
Cuando se ejercitan estos derechos, el responsable del tratamiento debe responder en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. Si se prorrogase, el responsable informará al afectado de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.
¿El ejercicio de estos derechos supone algún coste económico?
Tanto la información que se facilite en virtud de los artículos 13 y 14 del RPGD (derecho de información) como toda comunicación en virtud de los artículos 15 a 22 (derechos de los afectados) y 34 (comunicación de brechas de seguridad) serán a título gratuito.
No obstante, cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá:
a) cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada.
b) negarse a actuar respecto de la solicitud.
En el caso del derecho de acceso, se podrá considerar repetitivo su ejercicio cuando se produzca
en más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para ello.
En todo caso, el responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.
¿Para el ejercicio de estos derechos es necesario facilitar la copia del DNI?
Como regla general, no es necesario facilitar la copia del DNI para ejercer los derechos del afectado.
No obstante, si el responsable del tratamiento tuviese dudas razonables en relación con la identidad de la persona física que cursa la solicitud podrá solicitar que se facilite información adicional necesaria para confirmar la identidad del afectado.
¿Qué es el derecho de acceso?
El afectado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen.
Si se estuviesen tratando sus datos personales, tiene derecho a que el responsable le facilite lo siguiente:
a) los fines del tratamiento;
b) las categorías de datos personales de que se trate;
c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales;
d) de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;
e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;
f) el derecho a presentar una reclamación ante una autoridad de control;
g) cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;
h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
i) cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas en virtud del artículo 46 relativas a la transferencia.
Además, el responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento, sin afectar negativamente a los derechos y libertades de otros.
Por otra parte, el responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos.
Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.
¿Qué el derecho de rectificación?
Mediante el ejercicio de este derecho, el afectado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan.
Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.
¿Qué es el derecho de supresión ("derecho al olvido")?
Es el derecho del afectado a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:
a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;
b) el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico;
c) el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2;
d) los datos personales hayan sido tratados ilícitamente;
e) los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;
f) los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1.
Asimismo, cuando se hayan hecho públicos los datos personales y conforme a los supuestos descritos anteriormente proceda la supresión, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos.
No obstante lo anterior, no se aplicará la supresión cuando el tratamiento sea necesario:
a) para ejercer el derecho a la libertad de expresión e información;
b) para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable;
c) por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 9, apartado 2, letras h) e i), y apartado 3;
d) con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento,
e) para la formulación, el ejercicio o la defensa de reclamaciones.
¿Qué es el derecho a la limitación del tratamiento de datos?
Este derecho se configura en una doble vertiente. En primer lugar, cuando se ejercitan los derechos de rectificación u oposición, supone una «suspensión cautelar del tratamiento de los datos». De esta forma, si el afectado ha impugnado la exactitud de los datos, durante el plazo que permita al responsable verificar la exactitud de los mismos, se limita el tratamiento de dichos datos. Igualmente se produce esta limitación, cuando el interesado se haya opuesto en virtud del artículo 21.1 del RGPD, mientras se verifican si los motivos legítimos del responsable prevalecen sobre los del afectado.
En segundo lugar, este derecho de limitación se aplicará en los siguientes supuestos:
– Cuando el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;
– Cuando el responsable ya no necesite los datos personales para los fines del tratamiento, pero el afectado los necesite para la formulación, el ejercicio o defensa de reclamaciones.
¿Qué es el derecho a la portabilidad de los datos?
Es el derecho del afectado a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado.
En este sentido, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.
No obstante, este derecho se aplicará cuando:
a) el tratamiento esté basado en el consentimiento o en la ejecución de un contrato.
b) el tratamiento se efectúe por medios automatizados.
¿A qué tipo de datos personales afecta el derecho de portabilidad?
Este derecho incluye los datos facilitados por el afectado cuando han sido «facilitados por» el afectado de manera consciente y activa, por ejemplo, datos de una cuenta (como dirección postal, nombre de usuario, edad) enviados a través de formularios en línea, pero también cuando se generan y recopilan a partir de actividades de los usuarios, mediante el uso del servicio o del dispositivo.
Por el contrario, los datos personales que se obtienen o deducen de los datos facilitados por el afectado, como un perfil de usuario creado por el análisis de datos en bruto por un sistema de medición inteligente, quedan excluidos del ámbito de aplicación del derecho a la portabilidad de los datos, ya que no han sido facilitados por el interesado, sino creados por el responsable del tratamiento.
Asimismo, el ejercicio de este nuevo derecho no debería afectar negativamente a los derechos y libertades de terceros. Por ejemplo, si el conjunto de datos transferido a petición del interesado contiene datos personales relativos a otras personas, el nuevo responsable del tratamiento debe tratarlos únicamente si existe un fundamento jurídico adecuado para ello. Normalmente, el tratamiento de datos bajo el control único del afectado, como parte de actividades puramente personales o domésticas, se considerará adecuado.
La instalación de videocámaras ¿Supone un tratamiento de datos de carácter personal?
La imagen es un dato de carácter personal ya que identifica o hace identificable a una persona. En este sentido, la instalación de cámaras, con diversas finalidades como podría ser la seguridad, el control laboral, el acceso a zonas restringidas captando la matrícula del coche y la imagen del conductor, o incluso la monitorización de una UVI, supondría un tratamiento de datos de carácter personal y en consecuencia, se le aplicaría la normativa de protección de datos.
¿Qué obligaciones se deben cumplir para la instalación de videocámaras?
En primer lugar, la videovigilancia sólo debe utilizarse cuando no sea posible acudir a otros medios que causen menos impacto en la privacidad.
Además, no se podrá captar imágenes de la vía pública con fines de seguridad, ya que es competencia de las Fuerzas y Cuerpos de Seguridad, salvo el caso que:
– Resulte imprescindible para la finalidad que se pretende.
– Resulte imposible evitarlo por razón de la ubicación de las cámaras.
En todo caso, deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida. Está prohibida la instalación en baños, vestuarios, o lugares análogos.
Por otra parte, el tratamiento de las imágenes con fines de seguridad mediante la videovigilancia debe adecuarse al RGPD, de manera que en primer lugar, hay que configurar el registro de actividades de tratamiento regulado en el artículo 30 del RGPD.
Asimismo, se tiene que dar cumplimiento al derecho de información del artículo 13. Para ello se puede optar por un sistema de capas de la siguiente forma:
– Colocar un cartel donde aparezca que es una zona videovigilada, la identidad del responsable y la posibilidad del ejercicio de los derechos previstos en los artículos 15 a 22 del RGPD.
– Mantener a disposición de los afectados el resto de información referida en el artículo 13.
También se deberán adoptar las medidas de seguridad, teniendo en cuenta lo siguiente: El artículo 32 del RGPD determina que se establezcan las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo.
Por otra parte, lo previsto en el Esquema Nacional de Seguridad es aplicable a cualquier información de las Administraciones Públicas sin distinción del soporte en el que se encuentre, por lo que en cuanto a las medidas de seguridad se refiere, este esquema es acorde al enfoque de riesgo del RGPD y se constituye en una herramienta válida para la gestión del riesgo y la adopción de las medidas de seguridad en las citadas Administraciones. Por tanto, la implementación de las medidas de seguridad cuando se lleve a cabo un tratamiento de datos mediante el uso de la videovigilancia dependerá del análisis de riesgo llevado a cabo previamente.
¿Se puede grabar la vía pública con fines de seguridad?
La captación y grabación de imágenes de la vía pública con fines de seguridad es una función reservada a las Fuerzas y Cuerpos de Seguridad. Únicamente se permitirá la grabación de aquel espacio de la vía pública que resulte imprescindible para la finalidad que se pretende, o resulte imposible evitarlo por razón de la ubicación de las cámaras.
En todo caso, deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida.
¿Se pueden instalar cámaras con la finalidad de control empresarial?
El Estatuto de los Trabajadores faculta al empresario para adoptar las medidas que estime más oportunas para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, que deberán guardar la consideración debida a la dignidad humana y tener en cuenta la capacidad real de los trabajadores con discapacidad.
En este sentido, los sistemas de videovigilancia para control empresarial sólo se adoptarán cuando exista una relación de proporcionalidad entre la finalidad perseguida y el modo en que se traten las imágenes y no haya otra medida más idónea.
Asimismo, se deberá informar personalmente a los trabajadores, o en su caso, a través de la representación sindical, por cualquier medio que garantice la recepción de la información.
¿Cómo deben estar colocadas las cámaras y los monitores de grabación?
El principio de minimización del artículo 5 del RGPD requiere que los datos personales tratados sean adecuados, pertinentes y limitados en relación con los fines para los que son tratados.
Así, en el ámbito de la videovigilancia, este principio supone:
– Que el número de cámaras se limite a las necesarias para cumplir la función de vigilancia.
– Que el responsable analice también los requisitos técnicos de las cámaras, ya que el zoom o las denominadas «cámaras domo» pueden afectar y limitar al citado principio de minimización.
Asimismo, los monitores de grabación deben situarse de forma que, en la medida de lo posible, únicamente puedan ser visualizados por aquellos cuya función sea controlar los equipos que realizan las grabaciones, y no estar expuestos al público.
Tengo instalada una cámara con fines de seguridad que no graba, sólo permite el visionado en tiempo real. ¿Tengo que cumplir alguna obligación?
En aquellos supuestos en que las cámaras no graban imágenes pero sí se permite la reproducción en tiempo real de las mismas, también supone un sometimiento a lo dispuesto en el RGPD, debido a que existe un tratamiento de datos personales. De esta forma, hay que cumplir con la citada norma.
Entre las obligaciones que hay que adoptar estarían, por ejemplo, lo referente tanto al registro de actividades de tratamiento como el derecho el derecho de información, a los que nos hemos referido anteriormente.
¿Qué requisitos son necesarios para instalar videocámaras en comunidades de vecinos?
Según la Ley de Propiedad Horizontal será necesario, con carácter previo a dicha instalación, el acuerdo de la Junta de Propietarios.
Asimismo, las cámaras únicamente podrán instalarse en las zonas comunes de la propiedad, y no podrán captarse imágenes de la vía pública a excepción de una franja mínima de los accesos al inmueble.
Tampoco podrán captarse imágenes de terrenos y viviendas colindantes o de cualquier otro espacio ajeno.
¿Puedo instalar una cámara en mi plaza de garaje?
Las imágenes captadas por las cámaras se limitarán exclusivamente a la plaza de aparcamiento de la que sea titular el responsable del sistema y a una franja mínima de las zonas comunes que no sea posible evitar captar para la vigilancia de la plaza de garaje, previa autorización de la Junta de Propietarios que deberá constar en el acta correspondiente.
He puesto una cámara en mi bar y transmite a través de Internet. ¿Es legal?
Uno de los principios que legitima el tratamiento de datos de carácter es el consentimiento, que se deberá obtener de forma previa al tratamiento, mediante una manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción formativa, el tratamiento de datos personales que le conciernen.
En el caso planteado, sería necesario el mencionado consentimiento, teniendo en cuenta, además, que la difusión de imágenes a través de Internet supone un acceso ilimitado a las mismas. Además, si las cámaras estuviesen instaladas con la finalidad de videovigilancia excedería de la mencionada finalidad su uso para la transmisión de imágenes en la red.
¿Pueden contener datos de salud los justificantes de ausencia laboral?
El Reglamento General de Protección de Datos introduce en su artículo 5 los principios que deben respetarse en relación con el tratamiento de los datos personales. Uno de estos principios es el relativo a la minimización de datos.
Asimismo, no existe ninguna ley que habilite al empresario a tratar los datos de salud de los trabajadores o familiares de los mismos. Por tanto, únicamente con el consentimiento explícito de los afectados podrían tratarse estos datos de salud.
Cabe indicar que no tendrá la consideración de dato de salud el hecho de que el justificante señale que la ausencia laboral se debe a una hospitalización o a una intervención quirúrgica sin hospitalización
Acceso del comité de empresa a un listado de los trabajadores beneficiarios de la acción social.
Esta cesión únicamente podría entenderse amparada en caso de que se produjera en el ámbito de las funciones desarrolladas por los Delegados de Personal o el Comité de Empresa (según sea uno u otro al órgano de representación de los trabajadores), al encontrarse reconocido por el Estatuto de los Trabajadores el derecho de los representantes de los trabajadores, principalmente en el artículo 64, a acceder a determinados datos de los trabajadores en el ámbito de sus competencias. En este sentido, el artículo 64. 7 b) del Estatuto de los Trabajadores remite al Convenio Colectivo la determinación de la participación de los representantes de los trabajadores en la gestión o tramitación de la ayuda social de la empresa.
Para la AEPD, la función de vigilancia y control, desde la perspectiva de la protección de datos de carácter personal, podría entenderse correctamente cumplida sin necesidad de proceder a una información masiva.
Sólo en el supuesto en que la vigilancia o control se refieran a un sujeto concreto, que haya planteado la correspondiente queja ante el Comité de Empresa, será posible la cesión de datos específicos de dicha persona. En los demás supuestos, la función de control quedará plenamente satisfecha, a nuestro juicio, mediante la cesión de la información debidamente disociada, que permita al Comité conocer las circunstancias cuya vigilancia le ha sido encomendada sin referenciar la información en un sujeto concreto.
En consecuencia, procederá, en caso de haber sido formalmente solicitada, la cesión de los datos de las ayudas concedidas, siempre que los mismos sean cedidos de forma disociada, sin poder referenciar los datos a personas identificadas o identificables. En caso contrario, deberá recabarse el consentimiento de los interesados.
Las tarjetas identificativas de los trabajadores ¿Pueden incluir nombre, apellidos y DNI?
Estos trabajadores, que deben llevar dichas tarjetas identificativas, están de cara al público y en consecuencia, sus datos estarán a la vista de terceras personas ajenas al estricto ámbito laboral. Si la finalidad que justifica la inclusión de los datos de identidad de los trabajadores en sus tarjetas es precisamente garantizar su identificabilidad en el desempeño de sus funciones, el tratamiento de los datos puede considerarse amparado en el marco de la ejecución de un contrato, en base a lo dispuesto en el artículo 6 del RGPD, y sin perjuicio del cumplimiento del derecho de información del artículo 13 de la misma norma.
¿Pueden cederse los datos de salarios y TC2 de una subcontrata a la empresa principal?
Puesto que el TC2 contiene datos de salud y en las nóminas pueden aparecer datos relativos a la afiliación sindical, no son de aplicación las causas legitimadoras del artículo 6 del RGPD sino lo regulado en su artículo 9.
Respecto a la cesión del TC2, el artículo 42.2 del Estatuto de los Trabajadores, impone al contratista principal una responsabilidad solidaria, responsabilidad que implica atender el cumplimiento de una obligación de naturaleza salaria y las referidas a la Seguridad Social durante el período de vigencia de la contrata.
Además el propio Código Civil exige atender íntegramente las obligaciones solidarias por lo que es preciso conocer el contenido de la misma.
En consecuencia, la cesión de los TC2 estaría amparada en el artículo 9.2.b) –tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de los derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y seguridad y protección social-, en relación con el artículo 42.2 del Estatuto de los Trabajadores y por el alcance que el Código Civil impone a las obligaciones solidarias.
En cuanto a la comunicación de las nóminas, como regla general, el dato de la afiliación sindical tiene la naturaleza de categorías especial de datos. El tratamiento del dato relativo a la afiliación sindical se efectúa por el empresario, para que de la nómina se detraiga la cuota sindical correspondiente. Dado que la finalidad de dicho tratamiento va ligada al pago de la nómina y que en virtud de la obligación solidaria que impone el artículo 42.2 del Estatuto de los Trabajadores, al contratista principal, podemos concluir que el tratamiento de dicha información es para un fin idéntico del que justifica el tratamiento efectuado por el subcontratista. Por ello, siendo los fines idénticos, podemos entender que la comunicación de dichos datos es conforme, teniendo en cuenta también obligación impuesta por el artículo 42.2 del Estatuto de los Trabajadores.
En todo caso, el acceso por parte del contratista debería limitarse a los datos relacionados con los trabajadores subcontratados y no a cualesquiera trabajadores de la empresa subcontratada.
¿Se puede instalar GPS en los coches de empresa que utilizan los trabajadores?
La legitimación que permitiría este tratamiento de datos personales sería, en base a lo dispuesto en el artículo 6 del RGPD, la ejecución de un contrato, teniendo en cuenta, además, que el artículo 20.3 del Estatuto de los Trabajadores establece que el empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso.
No obstante, la existencia de esta legitimación, sin necesidad de que preste consentimiento previo el trabajador, no excluye el cumplimiento del derecho de información del artículo 13 del RGPD. De esta forma, con carácter previo, los empleadores habrán de informar de forma expresa, clara e inequívoca a los trabajadores o los empleados públicos y, en su caso, a sus representantes, acerca de la existencia y características de estos dispositivos. Igualmente deberán informarles acerca del posible ejercicio de los derechos de acceso, rectificación, limitación del tratamiento y supresión.
¿Se aplica la normativa de protección de datos a las comunidades de propietarios?
Sí, en la medida que realicen un tratamiento de datos de carácter personal de personas físicas.
Así, en las comunidades de propietarios existe un tratamiento derivado de la gestión de la propia comunidad, que puede denominarse «gestión de la comunidad de propietarios» o «propietarios»,en el que se incluyen los datos personales de los citados propietarios como pueden ser nombre, apellidos, dirección o correo electrónico.
Pueden existar además otro tipo de tratamientos como el de «videovigilanica» o «camaras de seguridad».
Por tanto, y como indicamos al principio, al existir estos tratamientos debe cumplirse lo dispuesto en la normativa de protección de datos personales.
¿Cuáles son las principales obligaciones?
En las comunidades de propietarios, éstas serán las responsables del tratamiento de sus datos personales.
En el caso de que tengan contratado un administrador de fincas, éste actuára como encargado del tratamiento.Es decir, en este caso, se establece la siguiente relación: la comunidad es responsable de los tratamientos y el administrador actúa como encargado de los mismos. Ambos deben someterse a la normativa de protección de datos, que establece al respecto una serie de obligaciones, entre las que podemos citar:
– La creación del registro de actividades de tratamiento.
– Cumplir con el derecho de información.
– Atender los derechos de protección de datos.
– Determinar la legitimación de los tratamientos.
Además, el contrato entre la comunidad y el administrador deberá contener las respectivas cláusulas de protección de datos.
Puede el portero de mi finca visionar las imágenes de las cámaras de seguridad?
El acceso a las imágenes estará restringido a las personas designadas por la comunidad de propietarios.
En ningún caso resultarán accesibles a los vecinos mediante canal de televisión comunitaria.
Si el acceso se realiza con conexión a internet, se restringirá con un código de usuario y una contraseña (o cualquier otro medio que garantice la identificación y autenticación unívoca), que sólo serán conocidos por las personas autorizadas a acceder a dichas imágenes.
Una vez instalado el sistema, se recomienda el cambio regular de la contraseña, evitando las fácilmente deducibles.
Puede el portero de mi finca visionar las imágenes de las cámaras de seguridad?
El acceso a las imágenes estará restringido a las personas designadas por la comunidad de propietarios.
En ningún caso resultarán accesibles a los vecinos mediante canal de televisión comunitaria.
Si el acceso se realiza con conexión a internet, se restringirá con un código de usuario y una contraseña (o cualquier otro medio que garantice la identificación y autenticación unívoca), que sólo serán conocidos por las personas autorizadas a acceder a dichas imágenes.
Una vez instalado el sistema, se recomienda el cambio regular de la contraseña, evitando las fácilmente deducibles.
En nuestra comunidad de vecinos hay cámaras de videovigilancia ¿Son legales?
Para la instalación de videocámaras en las comunidades de vecinos, será necesario, con carácter previo a dicha instalación, el acuerdo de la Junta de Propietarios.
Las cámaras únicamente podrán instalarse en las zonas comunes de la propiedad, y no podrán captarse imágenes de la vía pública a excepción de una franja mínima de los accesos al inmueble.
Tampoco podrán captarse imágenes de terrenos y viviendas colindantes o de cualquier otro espacio ajeno.