Mejor herramienta de Cumplimiento LOPD/
RGPD del mercado

RGPD o GDPR es la normativa de protección de datos personales en Europa. Su aplicación es obligatoria desde mayo de 2018.

Garantía de los Derechos Digitales “GDD”: Se incorpora un nuevo Título X de la Ley, con una novedosa regulación relativa a la “Garantía de Derechos Digitales” en la que se recogen derechos que introducen, en el ordenamiento jurídico, aspectos necesarios para adaptar la normativa a la sociedad actual, cuya actividad pivota en gran medida en un entorno digital.

En este título se desarrollan los nuevos derechos digitales y se regula cómo se quiere garantizar para todas las personas el derecho al acceso a Internet. Incluye desde el artículo 79 al 97. Vamos a verlos:

• Artículos de 79 al 84. Consagran una serie de derechos universales.


• Artículos 85 y 86. Son los artículos referentes a la rectificación en Internet y derecho a la actualización de informaciones en medios digitales “fake news”.


• Artículos 87 al 91. Son los más específicos del ámbito laboral. Tratan de fijar las normas para la desconexión digital, la privacidad en el uso de dispositivos electrónicos, videovigilancia en el trabajo o la geolocalización.


• Artículo 92. Trata la privacidad de los datos de menores en Internet.


• Artículos 93 al 95. Se refieren al derecho al olvido en las búsquedas y redes sociales y servicios equivalentes.


• Artículo 96. Aborda el testamento digital para regular cómo pueden los familiares o la persona designada dirigirse a los medios y servicios digitales donde el fallecido disponga de datos y contenidos para dar las oportunas instrucciones para recuperarlos o suprimirlos.


• Artículo 97. Impulso de los derechos digitales, el Gobierno elaborará un Plan de Acceso a Internet para superar las brechas digitales de colectivos vulnerables, fomentar los espacios de conexión de acceso público, promoción de acciones para que los menores de edad hagan un uso equilibrado y responsable de los dispositivos digitales, entre otras acciones.

A nivel laboral, los nuevos derechos incluidos tienen especial relevancia en los siguientes aspectos:

• Derecho a la desconexión digital.


• Derecho a la intimidad frente al uso de dispositivos de videovigilancia.


• Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral.


• También se reconoce el derecho de establecer garantías y derechos digitales adicionales en los convenios colectivos de cada sector.

Este es un breve resumen de las acciones a realizar:

1. Deber de informar y obtención del consentimiento. Es obligatorio informar a las personas interesadas sobre las circunstancias relativas al tratamiento de sus datos. El consentimiento puede recabarse únicamente mediante declaración explícita de los interesados o una acción positiva que indique su consentimiento.


2. Cláusulas informativas y avisos de privacidad. Es fundamental asegurarse que están actualizadas a las vigentes normativas las cláusulas informativas y avisos legales. Deben incluir cuestiones como: responsable del tratamiento, base jurídica del tratamiento, plazo de conservación, criterios para su determinación, información sobre los derechos... Además, deberán ser concisas, transparentes, inteligibles, accesibles, con un lenguaje claro y sencillo, por escrito y de acceso gratuito.


3. Compromiso de confidencialidad con los empleados/as, tiene una doble vertiente, la primera que el trabajador/a (usuario con acceso a datos) se comprometa a tratar de forma confidencial los datos a los que tiene acceso en su día a día para realizar su actividad laboral, la segunda, informar al/la trabajador/a para que consienta el tratamiento de sus datos de carácter personal por parte de la entidad para diferentes finalidades (gestión RRHH, elaboración de nóminas, seguros, etc.) así como informarle de sus derechos.


4. Los contratos con terceros encargados de tratamiento (ET). Los encargados de tratamiento (ET) son todos los colaboradores externos que nos prestan algún servicio y, para realizarlo, les facilitamos datos personales nuestros y de terceros.


5. Disponer del protocolo de ejercicio de derechos. Todas las personas podemos ejercer el derecho de acceso, rectificación, supresión, portabilidad de los datos y limitación u oposición de su tratamiento, así como no ser objeto de decisiones individuales automatizadas.


6. Implantación de procedimientos para notificar incidentes de seguridad. También conocidas como brechas de seguridad. Estas se deben de comunicar a los afectados y a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas.


7. Medidas de seguridad técnicas y organizativas. El responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas adecuadas al riesgo que conlleva el tratamiento. Ello implicará tener que hacer una evaluación de los riesgos asociados a cada tratamiento, para determinar las medidas de seguridad a implementar.


8. Registro de actividades de tratamiento. El registro deberá constar en todo caso por escrito, inclusive en formato electrónico, y deberá ser puesto a disposición de la autoridad de control que lo solicite.


9. Análisis de riesgos. Desde el punto de vista de la seguridad de la información, un análisis de riesgos requiere identificar las amenazas (por ejemplo, acceso no autorizado a los datos personales), valorar cuál es la probabilidad de que se produzca y el impacto que tendría en las personas afectadas.


10. Designar Delegado de Protección de Datos (DPD), si procede. El Reglamento introduce la figura del delegado de protección de datos, que puede formar parte de la plantilla del responsable o el encargado o bien actuar en el marco de un contrato de servicios.


11. Realizar evaluación de impacto, si procede. Cuando un tratamiento, por su naturaleza, alcance, contexto o fines suponga un alto riesgo para los derechos y libertades de las personas físicas, especialmente cuando se utilicen nuevas tecnologías, el responsable debe hacer una evaluación del impacto en la protección de datos (EIPD).


12. Video vigilancia, si disponen de cámaras de captación de imágenes es necesario cumplir con los requisitos legales y conocer el protocolo de solicitud de las imágenes.


13. Wifi, si disponen de wifi a disposición de clientes, usuarios, empleados, etc., es necesario cumplir con los requisitos legales y conservar los registros de conexión dos años.


14. Página web. Debe disponer de las cláusulas y avisos legales en cumplimiento de la LSSIce.

Todas las entidades públicas y privadas que utilicen cualquier dato personal en el desarrollo de sus actividades. Es decir, si en su trabajo diario trata datos personales de terceros, por ejemplo: datos de empleados, datos de clientes, datos de asociados, datos de contactos del web, datos de suscriptores, alumnos, pacientes, datos de navegación de usuario que recaba mediante cookies analíticas, etc., debe cumplir con el RGPD y la LOPDGDD, sin excepciones.

Da igual que sea autónomo o empresa, tenga más o menos empleados, pertenezca al sector público o privado, si es una ONGs o una entidad sin ánimo de lucro; debe cumplir las exigencias del RGPD y la LOPDGDD y ofrecer las garantías suficientes a todos los que le facilitan sus datos. Todas las entidades que traten datos personales de ciudadanos europeos, independientemente de su tamaño, están obligadas a cumplir con la Ley de protección de datos europea, el RGPD.

Si la entidad está ubicada fuera de la Unión Europea, también deberá cumplir si trata datos de ciudadanos europeos.

Detallamos los diferentes tipos de datos:

• Datos especialmente protegidos: Ideología, afiliación sindical, religión, creencias, origen racial o étnico, salud, vida sexual, datos genéticos y biométricos (Art. 9 del RGPD) así como datos relativos a condenas e infracciones penales (Art. 10 del RGPD).


• Datos identificativos: DNI, dirección postal o electrónica, imagen, voz, no de la seguridad social o Mutualidad, teléfono, fax, marcas físicas, nombre y dos apellidos, firma o huella, firma electrónica, tarjeta sanitaria.


• Datos relativos a las características personales: Datos de estado civil, datos de familia, fecha de nacimiento, edad, sexo, nacionalidad, lengua materna, características físicas o antropométricas.


• Datos relativos a las circunstancias sociales: Características del alojamiento, vivienda, situación familiar, propiedades, posesiones, aficiones y estilo de vida, pertenencia a clubes y asociaciones, licencias, permisos y autorizaciones.


• Datos académicos y profesionales: Formación, titulaciones, historial del estudiante, experiencia profesional, pertenencia a colegios o asociaciones profesionales.


• Detalles de empleo: Profesión, puestos de trabajo, datos no económicos de la nómina, historial del trabajador, vida laboral.


• Datos que aportan información comercial: Actividades y negocios, licencias comerciales, subscripciones a publicaciones o medios de comunicación, creaciones artísticas, literarias, científicas o técnicas.


• Datos económicos, financieros y de seguros: Ingresos, rentas, inversiones, bienes patrimoniales, créditos, préstamos, avales, datos bancarios, planes de pensiones, jubilación, datos económicos de nómina, datos de deducciones impositivas/impuestos, seguros, hipotecas, subsidios, beneficios, historial de créditos, tarjetas de crédito.

El objetivo de la LOPDGDD es adaptar la legislación española a la normativa europea, definida por el Reglamento General de Protección de Datos (RGPD), vigente desde el 25 de mayo de 2018.

Esta ley entró en vigor el 6 de diciembre de 2018, sustituyendo y derogando a la antigua Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. Por tanto, si hablamos de protección de datos en España, actualmente la norma de referencia es la LOPDGDD.

El objetivo de la LOPDGDD es adaptar la legislación española a la normativa europea, definida por el Reglamento General de Protección de Datos (RGPD), vigente desde el 25 de mayo de 2018.

Esta ley entró en vigor el 6 de diciembre de 2018, sustituyendo y derogando a la antigua Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. Por tanto, si hablamos de protección de datos en España, actualmente la norma de referencia es la LOPDGDD.