RGPD o GDPR es la normativa de protección de datos personales en Europa. Su aplicación es obligatoria desde mayo de 2018.
El objetivo de la LOPDGDD es adaptar la legislación española a la normativa europea, definida por el Reglamento General de Protección de Datos (RGPD), vigente desde el 25 de mayo de 2018. Esta ley entró en vigor el 6 de diciembre de 2018, sustituyendo y derogando a la antigua Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.
Por tanto, si hablamos de protección de datos en España, actualmente la norma de referencia es la LOPDGDD.
Garantía de los Derechos Digitales “GDD”: Se incorpora un nuevo Título X de la Ley, con una novedosa regulación relativa a la “Garantía de Derechos Digitales” en la que se recogen derechos que introducen, en el ordenamiento jurídico, aspectos necesarios para adaptar la normativa a la sociedad actual, cuya actividad pivota en gran medida en un entorno digital.
En este título se desarrollan los nuevos derechos digitales y se regula cómo se quiere garantizar para todas las personas el derecho al acceso a Internet. Incluye desde el artículo 79 al 97. Vamos a verlos:
- Artículos de 79 al 84. Consagran una serie de derechos universales.
- Artículos 85 y 86. Son los artículos referentes a la rectificación en Internet y derecho a la actualización de informaciones en medios digitales “fake news”.
- Artículos 87 al 91. Son los más específicos del ámbito laboral. Tratan de fijar las normas para la desconexión digital, la privacidad en el uso de dispositivos electrónicos, videovigilancia en el trabajo o la geolocalización.
- Artículo 92. Trata la privacidad de los datos de menores en Internet.
- Artículos 93 al 95. Se refieren al derecho al olvido en las búsquedas y redes sociales y servicios equivalentes.
- Artículo 96. Aborda el testamento digital para regular cómo pueden los familiares o la persona designada dirigirse a los medios y servicios digitales donde el fallecido disponga de datos y contenidos para dar las oportunas instrucciones para recuperarlos o suprimirlos.
- Artículo 97. Impulso de los derechos digitales, el Gobierno elaborará un Plan de Acceso a Internet para superar las brechas digitales de colectivos vulnerables, fomentar los espacios de conexión de acceso público, promoción de acciones para que los menores de edad hagan un uso equilibrado y responsable de los dispositivos digitales, entre otras acciones.
A nivel laboral, los nuevos derechos incluidos tienen especial relevancia en los siguientes aspectos:
- Derecho a la desconexión digital.
- Derecho a la intimidad frente al uso de dispositivos de videovigilancia.
- Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral.
- También se reconoce el derecho de establecer garantías y derechos digitales adicionales en los convenios colectivos de cada sector.
En el estado español hay que cumplir las dos, el RGPD y la LOPDGDD.
Todas las entidades públicas y privadas que utilicen cualquier dato personal en el desarrollo de sus actividades. Es decir, si en su trabajo diario trata datos personales de terceros, por ejemplo: datos de empleados, datos de clientes, datos de asociados, datos de contactos del web, datos de suscriptores, alumnos, pacientes, datos de navegación de usuario que recaba mediante cookies analíticas, etc., debe cumplir con el RGPD y la LOPDGDD, sin excepciones.
Da igual que sea autónomo o empresa, tenga más o menos empleados, pertenezca al sector público o privado, si es una ONGs o una entidad sin ánimo de lucro; debe cumplir las exigencias del RGPD y la LOPDGDD y ofrecer las garantías suficientes a todos los que le facilitan sus datos.
Todas las entidades que traten datos personales de ciudadanos europeos, independientemente de su tamaño, están obligadas a cumplir con la Ley de protección de datos europea, el RGPD.
Si la entidad está ubicada fuera de la Unión Europea, también deberá cumplir si trata datos de ciudadanos europeos.
Este es un breve resumen de las acciones a realizar:
- Deber de informar y obtención del consentimiento. Es obligatorio informar a las personas interesadas sobre las circunstancias relativas al tratamiento de sus datos. El consentimiento puede recabarse únicamente mediante declaración explícita de los interesados o una acción positiva que indique su consentimiento.
- Cláusulas informativas y avisos de privacidad. Es fundamental asegurarse que están actualizadas a las vigentes normativas las cláusulas informativas y avisos legales. Deben incluir cuestiones como: responsable del tratamiento, base jurídica del tratamiento, plazo de conservación, criterios para su determinación, información sobre los derechos… Además, deberán ser concisas, transparentes, inteligibles, accesibles, con un lenguaje claro y sencillo, por escrito y de acceso gratuito.
- Compromiso de confidencialidad con los empleados/as, tiene una doble vertiente, la primera que el trabajador/a (usuario con acceso a datos) se comprometa a tratar de forma confidencial los datos a los que tiene acceso en su día a día para realizar su actividad laboral, la segunda, informar al/la trabajador/a para que consienta el tratamiento de sus datos de carácter personal por parte de la entidad para diferentes finalidades (gestión RRHH, elaboración de nóminas, seguros, etc.) así como informarle de sus derechos.
- Los contratos con terceros encargados de tratamiento (ET). Los encargados de tratamiento (ET) son todos los colaboradores externos que nos prestan algún servicio y, para realizarlo, les facilitamos datos personales nuestros y de terceros.
- Disponer del protocolo de ejercicio de derechos. Todas las personas podemos ejercer el derecho de acceso, rectificación, supresión, portabilidad de los datos y limitación u oposición de su tratamiento, así como no ser objeto de decisiones individuales automatizadas.
- Implantación de procedimientos para notificar incidentes de seguridad. También conocidas como brechas de seguridad. Estas se deben de comunicar a los afectados y a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas.
- Medidas de seguridad técnicas y organizativas. El responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas adecuadas al riesgo que conlleva el tratamiento. Ello implicará tener que hacer una evaluación de los riesgos asociados a cada tratamiento, para determinar las medidas de seguridad a implementar.
- Registro de actividades de tratamiento. El registro deberá constar en todo caso por escrito, inclusive en formato electrónico, y deberá ser puesto a disposición de la autoridad de control que lo solicite.
- Análisis de riesgos. Desde el punto de vista de la seguridad de la información, un análisis de riesgos requiere identificar las amenazas (por ejemplo, acceso no autorizado a los datos personales), valorar cuál es la probabilidad de que se produzca y el impacto que tendría en las personas afectadas.
- Designar Delegado de Protección de Datos (DPD), si procede. El Reglamento introduce la figura del delegado de protección de datos, que puede formar parte de la plantilla del responsable o el encargado o bien actuar en el marco de un contrato de servicios.
- Realizar evaluación de impacto, si procede. Cuando un tratamiento, por su naturaleza, alcance, contexto o fines suponga un alto riesgo para los derechos y libertades de las personas físicas, especialmente cuando se utilicen nuevas tecnologías, el responsable debe hacer una evaluación del impacto en la protección de datos (EIPD).
- Video vigilancia, si disponen de cámaras de captación de imágenes es necesario cumplir con los requisitos legales y conocer el protocolo de solicitud de las imágenes.
- Wifi, si disponen de wifi a disposición de clientes, usuarios, empleados, etc., es necesario cumplir con los requisitos legales y conservar los registros de conexión dos años.
- Página web. Debe disponer de las cláusulas y avisos legales en cumplimiento de la LSSIce.
Sí, y las autoridades de control pertinentes no sólo están poniendo multas a las grandes compañías como Facebook o Google. Hay muchas otras compañías de menor tamaño que también están sufriendo las consecuencias infringir con la ley de protección de datos. Si a esto, le añadimos que el Gobierno español el pasado 2019 aumentó los presupuestos para la Agencia Española de Protección de Datos, quizá nos haga entender la importancia que está adquiriendo la protección de datos personales en el seno de la Unión Europea.
Detallamos los diferentes tipos de datos:
- Datos especialmente protegidos: Ideología, afiliación sindical, religión, creencias, origen racial o étnico, salud, vida sexual, datos genéticos y biométricos (Art. 9 del RGPD) así como datos relativos a condenas e infracciones penales (Art. 10 del RGPD).
- Datos identificativos: DNI, dirección postal o electrónica, imagen, voz, no de la seguridad social o Mutualidad, teléfono, fax, marcas físicas, nombre y dos apellidos, firma o huella, firma electrónica, tarjeta sanitaria.
- Datos relativos a las características personales: Datos de estado civil, datos de familia, fecha de nacimiento, edad, sexo, nacionalidad, lengua materna, características físicas o antropométricas.
- Datos relativos a las circunstancias sociales: Características del alojamiento, vivienda, situación familiar, propiedades, posesiones, aficiones y estilo de vida, pertenencia a clubes y asociaciones, licencias, permisos y autorizaciones.
- Datos académicos y profesionales: Formación, titulaciones, historial del estudiante, experiencia profesional, pertenencia a colegios o asociaciones profesionales.
- Detalles de empleo: Profesión, puestos de trabajo, datos no económicos de la nómina, historial del trabajador, vida laboral.
- Datos que aportan información comercial: Actividades y negocios, licencias comerciales, subscripciones a publicaciones o medios de comunicación, creaciones artísticas, literarias, científicas o técnicas.
- Datos económicos, financieros y de seguros: Ingresos, rentas, inversiones, bienes patrimoniales, créditos, préstamos, avales, datos bancarios, planes de pensiones, jubilación, datos económicos de nómina, datos de deducciones impositivas/impuestos, seguros, hipotecas, subsidios, beneficios, historial de créditos, tarjetas de crédito.
La imagen es un dato de carácter personal, ya que identifica o hace identificable a una persona. En este sentido, la instalación de cámaras, con diversas finalidades como podría ser la seguridad, el control laboral, el acceso a zonas restringidas captando la matrícula del coche y la imagen del conductor, o incluso la monitorización de una UVI, supondría un tratamiento de datos de carácter personal y en consecuencia, se le aplicaría las normativas de protección de datos.
Es necesario tener mucha precaución a la hora de publicar imágenes en Internet, sean fotografías o vídeos, si en ellas aparecen personas.
Las fotografías de una persona son también datos de carácter personal y no pueden ser tratados de manera diferente a la finalidad para la que se hayan obtenido, ni ser publicadas sin un consentimiento previo y expreso de la persona afectada. Esto se aplica a cualquier actividad empresarial o profesional que trate con fotografías de sus clientes, asociados, alumnos, etc.
Por ejemplo, una empresa dedicada a las actividades de montaña, que ofrece rutas en grupo y que hace fotografías de la actividad, no podría publicarlas en su web o redes sociales, sin haber obtenido el consentimiento previo de sus clientes y haberles informado de su posterior publicación.
La LOPDGDD, amplía los derechos reconocidos a las personas vinculadas a los fallecidos permitiendo ejercitar, además de la cancelación o supresión, los derechos de acceso y rectificación. Así mismo, establece como excepción, que los herederos o personas vinculadas no podrán acceder, rectificar o suprimir los datos de los fallecidos, si dicha persona lo hubiese prohibido o si una ley así lo establece, sin perjuicio de aquellos datos de carácter patrimonial a los que tuviesen derecho a acceder.
Se establece además que en caso de producirse el fallecimiento de un menor o una persona con discapacidad dichos derechos podrán ejercitarse por sus representantes legales o por el Ministerio Fiscal.
El artículo 96 de la LOPDGDD establece además, en relación con la eliminación de los perfiles de redes sociales de fallecidos, el derecho al testamento digital señalando que “las personas legitimadas podrán decidir acerca del mantenimiento o eliminación de los perfiles personales de personas fallecidas en redes sociales o servicios equivalentes, a menos que el fallecido hubiera decidido acerca de esta circunstancia, en cuyo caso se estará a sus instrucciones.
El responsable del servicio al que se le comunique, con arreglo al párrafo anterior, la solicitud de eliminación del perfil, deberá proceder sin dilación a la misma” por lo que parece más claro que nunca el reconocimiento de ciertas garantías en el tratamiento de datos de personas
fallecidas.
Si bien el artículo 8.1 párrafo segundo del RGPD, no consideraba lícito el tratamiento de datos personales de un niño/a menor de 16 años en relación con la oferta directa a niños/as de servicios de la sociedad de la información, salvo que los Estados miembros establecieran por ley una edad inferior, el legislador estatal en la LOPDGDD ha optado en su artículo 7 por establecer como lícito el tratamiento de datos de carácter personal de los menores cuando estos sean mayor de 14 años, en cualquiera de los casos.
Resumiendo, que el consentimiento para el tratamiento de datos de personales podrá prestarse por el propio menor cuando éste sea mayor de 14 años. Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento.
El tratamiento de los datos personales de los menores de catorce años, será lícito si el consentimiento lo otorga el padre, madre o el titular de la patria potestad o tutela.
El proceso de adaptación al RGPD propone cambios importantes en la gestión de datos personales. Las empresas deben revisar y adaptar sus procesos internos y medidas de seguridad para cumplir con la normativa europea.
Algunas de las acciones planificadas que las empresas deben tomar a medida que se adaptan incluyen:
• Adecuar la documentación (términos, cláusulas, contratos, etc.).
• Actualizar Política de Privacidad.
• Ajustar los mecanismos de ejercicio de los derechos.
• Crear un registro de actividades.
• Llevar a cabo un análisis de riesgos.
• Revisar las medidas de seguridad y actualizarlas si es necesario.
• Establecer protocolos para notificar incidentes de seguridad.
• Revisar las garantías proporcionadas por proveedores.
Esta es la esencia de la regulación europea. Se basa en el principio de prevención del tratamiento de datos, que exige la aplicación de medidas técnicas y organizativas desde el diseño y por defecto.
La nueva normativa es más exigente y flexible. Esto permitirá a los responsables y encargados del tratamiento decidir sobre las medidas de seguridad necesarias para demostrar el cumplimiento.
El RGPD establece un catálogo de las medidas que los responsables, y en ocasiones los encargados, deben aplicar para garantizar que los tratamientos que realizan son conformes con el Reglamento y estar en condiciones de demostrarlo. Estas medidas de responsabilidad activa son:
- Análisis de riesgo
- Registro de actividades de tratamiento
- Protección de Datos desde la Protección de Datos
- Medidas de seguridad
- Notificación de «violaciones de seguridad de los datos»
- Evaluación de impacto sobre la Protección de Datos
- Delegado de Protección de Datos
Desde mayo de 2018 no es válido el consentimiento tácito. Para poder continuar con el tratamiento de los datos recopilados de esta manera, se deben volver a recopilar de acuerdo con los nuevos requisitos. El RGPD exige que el consentimiento sea explícito y obtenido de manera libre, específica, informada e inequívoca mediante la realización de una acción afirmativa.
Desde el 25 de mayo de 2018 desapareció la obligación de comunicar los ficheros de datos a la Agencia Española de Protección de Datos.
En cambio, las empresas deben tener un Registro de los tratamientos de datos que realizan, incluyendo la información requerida por el RGPD.
El RGPD establece que es obligatorio contratar a esta figura para las siguientes actividades:
- En autoridades y organismos públicos.
- Cuando se realice el tratamiento a gran escala de datos sensibles.
- En colegios profesionales y sus consejos generales.
- En centros docentes que ofrecen enseñanza y en las universidades públicas y privadas.
- Las empresas que prestan servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
- Las entidades de ordenanza, supervisión y solvencia de entidades de crédito.
- Los establecimientos financieros de crédito.
- Las entidades aseguradoras y reaseguradoras.
- Las empresas de servicios de inversión.
- Los centros sanitarios legalmente obligados a guardar historiales clínicos de los pacientes.
- Las entidades que tengan como uno de sus objetivos la emisión de informes comerciales que puedan referirse a personas físicas.
- Las operadoras que desarrollen la actividad del juego mediante los canales electrónicos, informáticos, telemáticos o interactivos.
- Quien desarrolle actividades de seguridad privada.
- Los distribuidores y comercializadores de energía eléctrica y gas natural.
- Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y de crédito o de los ficheros comunes para la gestión y prevención del fraude, incluidos los responsables de los ficheros de prevención de blanqueo de capital y de la financiación del terrorismo.
- Las entidades que desarrollen actividades de publicidad y prospección comercial, las de investigación comercial y de mercados, cuando se lleven a cabo tratamientos basados en las preferencias de los afectados o se realicen actividades que impliquen la elaboración de perfiles de los mismos.
- Aunque no sea obligatoria, la figura del DPO no exime a las empresas de cumplir con la responsabilidad de realizar un tratamiento correcto de los datos.
Informar y asesorar al responsable o al encargado y los trabajadores sobre las obligaciones que impone la normativa de protección de datos.
- Supervisar el cumplimiento de la normativa.
- Asesorar respecto de la evaluación de impacto relativa a la protección de datos.
- Cooperar con la autoridad de control.
- Actuar como punto de contacto para cuestiones relativas al tratamiento.
La notificación de incidentes no es una obligación general. Será obligatorio para incidencias que pongan en riesgo la confidencialidad e integridad de los datos personales. El plazo límite de notificación es de 72 horas desde el día que se tiene constancia de la misma.
El RGPD extiende su alcance territorial a las organizaciones establecidas fuera de la UE que tratan los datos de los ciudadanos europeos con el fin de proporcionarles bienes y servicios.
Desde el principio, los objetivos de cumplimiento deben verse como un proceso y una acción preventiva tomada, en lugar de intervenciones específicas en respuesta a los problemas a medida que surgen.
Como mínimo, cada entidad debe analizar el tipo de datos personales que trata, la finalidad para la que los trata, el tipo de operaciones de tratamiento que realiza y la forma en que lo hace.
Con base en este conocimiento, debe decidir qué medidas especificadas en la normativa deben aplicarse y cómo implementarlas. Además, debe generar evidencia documental de las acciones realizadas y evaluar periódicamente su eficacia para demostrar su cumplimiento.
Desde que es aplicable el RGPD, la mayor parte del contenido de la LOPD y su Reglamento de desarrollo es desplazado por la norma comunitaria. Si seguirán vigentes algunos de los preceptos tanto de la LOPD como de su Reglamento de desarrollo, como por ejemplo aquellos que regulan los tratamientos de solvencia patrimonial o la denominada «Lista Robinson».
La LOPDGDD categoriza las infracciones en muy graves, graves y leves.
Algunos de los actos sancionables de cada uno de los tres niveles, así como los plazos de prescripción, son:
Infracciones muy graves (prescriben a los 3 años)
- Vulnerar los principios establecidos en el RGPD.
- Incumplir los requisitos exigidos para la validez del consentimiento.
- Tratar datos personales para una finalidad distinta para la cual fueron recogidos.
- Exigir un pago para atender las solicitudes de ejercicio de derechos.
- Realizar una transferencia internacional de datos personales sin garantías.
- Incumplir resoluciones dictadas por la autoridad de protección de datos.
- Revertir deliberadamente la anonimización con el fin de reidentificar a los titulares.
Infracciones graves (prescriben a los 2 años):
- Tratar datos de un menor de edad sin su consentimiento, o el de los padres o tutores legales si procede.
- No adoptar medidas técnicas y organizativas apropiadas para garantizar el cumplimiento de la protección de datos o un nivel de seguridad adecuado.
- Contratar un encargado de tratamiento que no ofrezca las garantías suficientes o sin la previa formalización de un contrato.
- No disponer del registro de actividades de tratamiento.
- No notificar una violación de seguridad de los datos a la autoridad de control.
- Tratar datos personales sin realizar una evaluación del impacto cuando sea exigible.
- No designar un delegado de protección de datos (DPD) cuando sea obligatorio.
Infracciones leves (prescriben en 1 año):
- No cumplir el principio de transparencia de la información.
- Incumplir el deber de informar al interesado.
- No suprimir los datos referidos a una persona fallecida cuando ello fuera obligatorio.
- Disponer de un Registro de actividades de tratamiento incompleto.
- Notificar una violación de seguridad a la autoridad de protección de datos de forma defectuosa.
- No publicar los datos de contacto del delegado de protección de datos o no comunicarlos a la autoridad de control.
La LSSIce o Ley 34/2002 de Servicios de la Sociedad de la Información y del Comercio Electrónico, es una normativa que regula las actividades económicas a través de internet, entendiendo estas como aquellos productos o servicios ofertados a través de páginas webs, tiendas online y correo electrónico.
El objetivo que persigue es regular el régimen jurídico de los servicios relacionados con Internet y la contratación electrónica.
Las personas que realicen actividades económicas por Internet u otros medios telemáticos (correo electrónico, televisión digital interactiva…), siempre que la dirección y gestión de sus negocios esté centralizada en España o, posea una sucursal, oficina o cualquier otro tipo establecimiento permanente situado en territorio español, desde el que se dirija la prestación de servicios de la sociedad de la información.
Se presumirán establecidos en España y, por tanto, sujetos a la Ley a los prestadores de servicios que se encuentren inscritos en el Registro Mercantil o en otro Registro público español en el que fuera necesaria la inscripción para la adquisición de personalidad jurídica.
Cuando este percibe ingresos directos (por las actividades de comercio electrónico que lleve a cabo a través de la página, etc.) o indirectos (por publicidad, patrocinio, etc.) derivados de su página web, con independencia de que estos permitan sufragar el coste de mantenimiento de la página, igualen esa cantidad o la superen.
Cuando este percibe ingresos directos (por las actividades de comercio electrónico que lleve a cabo a través de la página, etc.) o indirectos (por publicidad, patrocinio, etc.) derivados de su página web, con independencia de que estos permitan sufragar el coste de mantenimiento de la página, igualen esa cantidad o la superen.
Sí. La Ley se aplica a toda actividad con trascendencia económica que se realice por medios electrónicos. En este caso, la empresa solo está obligada a facilitar, a través de su página web, los datos de información general establecidos en el artículo 10.
La Ley no se aplicará a una página web personal cuando su titular no realice ningún tipo de actividad económica a través de la misma.
Si la página web tiene alojada publicidad en forma de «banners», «pop-ups», etc., su titular estará sujeto a la Ley si percibe alguna remuneración por los mismos. Si estos no generan ningún ingreso a su titular, por ejemplo, por haber sido impuestos a cambio de la prestación de un servicio gratuito de alojamiento, este no estará obligado a cumplir las obligaciones previstas en la Ley.
Todo ello sin perjuicio de que a esa página le afecten otras normas jurídicas que sean de aplicación por ser públicamente accesible.
Toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o de los bienes o servicios de una empresa u organización o persona que realice una actividad comercial, industrial, artesanal o profesional.
Al realizar e-mail marketing se tratan datos personales. Por tanto, deben tenerse en cuenta las siguientes normas:
La LSSIce, ya que regula todas las comunicaciones que se realizan de forma electrónica ya sea con personas o con empresas, el RGPD y la LOPDGDD porque el correo electrónico es considerado un dato personal.
Se prohíbe el envío de comunicaciones comerciales electrónicas o publicidad vía e-mail, a menos que exista consentimiento o autorización expresa previa por parte del receptor. Son también ilegales los correos comerciales a direcciones de correo electrónico recogidas en Internet o en bases de datos compradas.
Se consideran datos de carácter personal los correos electrónicos profesionales, por lo que dirigirse a potenciales clientes, sin su consentimiento, a través del e-mail es considerada una práctica ilegal.
El RGPD exige que el consentimiento, para que sea válido el envío de información comercial, debe ser:
- Libre. El consentimiento tiene que ser prestado en un marco de libertad.
- Informado. Se debe informar al interesado de la finalidad del tratamiento para el que se quiere recabar el consentimiento
- El nombre del responsable del tratamiento.
- Cómo se van a tratar esos datos.
- Los derechos de los que es titular el interesado.
- Específico. Con esto el regulador quiere asegurarse que cuando el tratamiento tenga varias finalidades se recabe el consentimiento para cada uno de ellos.
- Inequívoco. La forma de obtención del consentimiento tiene que ser entendible, es decir que el afectado sepa sin lugar a dudas para que está dando su beneplácito. Para cumplir estos requisitos, no puede admitirse un consentimiento tácito o por defecto y se
exige, por tanto, que exista una declaración de los interesados o una acción positiva que indique el acuerdo del interesado.
El RGPD exige que se pueda acreditar el consentimiento y por este motivo es imprescindible comprobar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría o inspección.
El prestador debe ofrecer al interesado la posibilidad de oponerse al tratamiento de sus datos con fines promocionales, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.
Sí. Pero como hemos dicho, el afectado deberá realizar una clara acción afirmativa para considerar ese consentimiento como válido y si se pueda acreditar.
Por ejemplo:
Es válido recoger el consentimiento de los clientes mediante un formulario en papel, mediante una firma de los mismos, como también es válido usar una PDA o tablet para recoger dicho consentimiento si no queremos tener documentación en papel y lo queremos tener todo en formato electrónico.
Pero se sebe asegurar que se puede acreditar dicho consentimiento.
Sí. No obstante hay dos situaciones a tener en cuenta:
- Mayores de 14 años: El consentimiento prestado por mayores de 14 años se presupone válido, siempre y cuando no haya una ley que para un caso específico no lo permita.
- Menores de 14 años: Será necesaria la participación de los titulares de la patria potestad para considerar el consentimiento prestado por un menor de 14 años.
- Por lo tanto si se recaba el consentimiento de forma online habrá que establecer procedimientos para que podamos verificar el consentimiento parental
Una cookie (o galleta informática) es una pequeña información enviada por un sitio web y almacenada en el navegador del usuario, de manera que el sitio web puede consultar la actividad previa del usuario.
Sus principales funciones son:
- Llevar el control de usuarios: cuando un usuario introduce su nombre de usuario y contraseña, se almacena una cookie para que no tenga que estar introduciéndolas para cada página del servidor. Sin embargo, una cookie no identifica solo a una persona, sino a una combinación de computador-navegador-usuario.
- Conseguir información sobre los hábitos de navegación del usuario, e intentos de spyware (programas espía), por parte de agencias de publicidad y otros. Esto puede causar problemas de privacidad y es una de las razones por la que las cookies tienen sus detractores.
Si una página web utiliza cookies (que es lo más probable), se debe tener en cuenta que al utilizar cookies que pueden identificar a un usuario y generar un perfil se está realizando un tratamiento de datos; esto, de por sí, ya obliga a contar con el consentimiento del usuario.
Por lo tanto, se aplicarán todas las disposiciones relacionadas con el tratamiento de datos que prevé la legislación en temas como el almacenamiento, tratamiento o consentimiento expreso.
La existencia de archivos como las cookies se contempla en la LSSIce, pero el RGPD y la LOPDGDD han reforzado las garantías y los derechos del usuario.
Como prestador de servicios, debe facilitar de forma accesible y permanente la información necesaria para que los usuarios puedan estar informados al respecto y prestar su consentimiento para la instalación de cookies.
La opción más habitual es una ventana emergente, en forma de barra en el encabezado o en el pie de página, con un texto en el que se indique que la web, blog, etc. utiliza cookies y que contenga un link a la Política de Cookies, dónde el usuario pueda hallar toda la información detallada al respecto.
Según la Ley, un prestador de servicios establecido en España, que opera con carácter comercial a través de cualquier soporte electrónico que instale cookies, tiene la obligación de cumplir con los requerimientos establecidos en la normativa.
El incumplimiento de la LSSIce puede comportar sanciones de hasta 600.000€, en función de la infracción cometida:
- Infracciones leves: Sanciones hasta 30.000€
- Infracciones graves: Sanciones entre 30.001€ y 150.000€
- Infracciones muy graves: Sanciones entre 150.001€ y 600.000€
- Son infracciones leves:
- Ni informar en la forma prescrita por el artículo 10.1 sobre los aspectos señalados en los apartados b), c), d), e) y g) del mismo.
- El incumplimiento de lo previsto en el artículo 20 para las comunicaciones comerciales, ofertas promociones y concursos.
- El envío de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente a los destinatarios que no hayan solicitado o autorizado expresamente su remisión, cuando no constituya una infracción grave.
- No facilitar la información que se requiere el artículo 27.1, cuando las partes no hayan pactado su exclusión o el destinatario sea un consumidor.
- El incumplimiento de la obligación de confirmar la recepción de una petición en los términos establecidos en el artículo 28, cuando no se haya pactado su exclusión o el contrato se haya celebrado con un consumidor, salvo que constituya infracción grave.
- Son infracciones leves:
- Son infracciones graves:
- El incumplimiento de lo establecido en los párrafos a) y f) del artículo 10.1.
- El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente a destinatarios que no hayan autorizado o solicitado expresamente su remisión, o el envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando este no hubiera solicitado o autorizado su remisión.
- No poner a disposición del destinatario del servicio las condiciones generales a que, en su caso, se sujete el contrato, en la forma prevista en el artículo 27.
- El incumplimiento habitual de la obligación de confirmar la recepción de una aceptación, cuando no se haya pactado su exclusión o el contrato de haya celebrado con un consumidor.
- La resistencia, exclusa o negativa a la actuación inspectora de los órganos facultados para llevar a cabo con a reglo a esta Ley.
- Son infracciones graves:
- Sanciones muy graves:
- El incumplimiento de las órdenes dictadas en virtud del artículo 8 en aquellos supuestos en que hayan sido dictadas por un órgano administrativo.
- El incumplimiento de la obligación de suspender la transmisión, el alojamiento de datos, el acceso a la red o la prestación de cualquier otro servicio equivalente de intermediación, cuando un órgano administrativo competente lo ordene, en virtud de lo dispuesto en el artículo 11.
- El incumplimiento de la obligación de retener los datos de tráfico generados por las comunicaciones establecidas durante la prestación de un servicio de la sociedad de la información prevista en el artículo 12.
- La utilización de los datos retenidos, en cumplimiento del artículo 12, para fines distintos de los señalados en él.
- Sanciones muy graves:
RGPD o GDPR es la normativa de protección de datos personales en Europa. Su aplicación es obligatoria desde mayo de 2018.
El objetivo de la LOPDGDD es adaptar la legislación española a la normativa europea, definida por el Reglamento General de Protección de Datos (RGPD), vigente desde el 25 de mayo de 2018. Esta ley entró en vigor el 6 de diciembre de 2018, sustituyendo y derogando a la antigua Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.
Por tanto, si hablamos de protección de datos en España, actualmente la norma de referencia es la LOPDGDD.
Garantía de los Derechos Digitales “GDD”: Se incorpora un nuevo Título X de la Ley, con una novedosa regulación relativa a la “Garantía de Derechos Digitales” en la que se recogen derechos que introducen, en el ordenamiento jurídico, aspectos necesarios para adaptar la normativa a la sociedad actual, cuya actividad pivota en gran medida en un entorno digital.
En este título se desarrollan los nuevos derechos digitales y se regula cómo se quiere garantizar para todas las personas el derecho al acceso a Internet. Incluye desde el artículo 79 al 97. Vamos a verlos:
- Artículos de 79 al 84. Consagran una serie de derechos universales.
- Artículos 85 y 86. Son los artículos referentes a la rectificación en Internet y derecho a la actualización de informaciones en medios digitales “fake news”.
- Artículos 87 al 91. Son los más específicos del ámbito laboral. Tratan de fijar las normas para la desconexión digital, la privacidad en el uso de dispositivos electrónicos, videovigilancia en el trabajo o la geolocalización.
- Artículo 92. Trata la privacidad de los datos de menores en Internet.
- Artículos 93 al 95. Se refieren al derecho al olvido en las búsquedas y redes sociales y servicios equivalentes.
- Artículo 96. Aborda el testamento digital para regular cómo pueden los familiares o la persona designada dirigirse a los medios y servicios digitales donde el fallecido disponga de datos y contenidos para dar las oportunas instrucciones para recuperarlos o suprimirlos.
- Artículo 97. Impulso de los derechos digitales, el Gobierno elaborará un Plan de Acceso a Internet para superar las brechas digitales de colectivos vulnerables, fomentar los espacios de conexión de acceso público, promoción de acciones para que los menores de edad hagan un uso equilibrado y responsable de los dispositivos digitales, entre otras acciones.
A nivel laboral, los nuevos derechos incluidos tienen especial relevancia en los siguientes aspectos:
- Derecho a la desconexión digital.
- Derecho a la intimidad frente al uso de dispositivos de videovigilancia.
- Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral.
- También se reconoce el derecho de establecer garantías y derechos digitales adicionales en los convenios colectivos de cada sector.
En el estado español hay que cumplir las dos, el RGPD y la LOPDGDD.
Todas las entidades públicas y privadas que utilicen cualquier dato personal en el desarrollo de sus actividades. Es decir, si en su trabajo diario trata datos personales de terceros, por ejemplo: datos de empleados, datos de clientes, datos de asociados, datos de contactos del web, datos de suscriptores, alumnos, pacientes, datos de navegación de usuario que recaba mediante cookies analíticas, etc., debe cumplir con el RGPD y la LOPDGDD, sin excepciones.
Da igual que sea autónomo o empresa, tenga más o menos empleados, pertenezca al sector público o privado, si es una ONGs o una entidad sin ánimo de lucro; debe cumplir las exigencias del RGPD y la LOPDGDD y ofrecer las garantías suficientes a todos los que le facilitan sus datos.
Todas las entidades que traten datos personales de ciudadanos europeos, independientemente de su tamaño, están obligadas a cumplir con la Ley de protección de datos europea, el RGPD.
Si la entidad está ubicada fuera de la Unión Europea, también deberá cumplir si trata datos de ciudadanos europeos.
Este es un breve resumen de las acciones a realizar:
- Deber de informar y obtención del consentimiento. Es obligatorio informar a las personas interesadas sobre las circunstancias relativas al tratamiento de sus datos. El consentimiento puede recabarse únicamente mediante declaración explícita de los interesados o una acción positiva que indique su consentimiento.
- Cláusulas informativas y avisos de privacidad. Es fundamental asegurarse que están actualizadas a las vigentes normativas las cláusulas informativas y avisos legales. Deben incluir cuestiones como: responsable del tratamiento, base jurídica del tratamiento, plazo de conservación, criterios para su determinación, información sobre los derechos… Además, deberán ser concisas, transparentes, inteligibles, accesibles, con un lenguaje claro y sencillo, por escrito y de acceso gratuito.
- Compromiso de confidencialidad con los empleados/as, tiene una doble vertiente, la primera que el trabajador/a (usuario con acceso a datos) se comprometa a tratar de forma confidencial los datos a los que tiene acceso en su día a día para realizar su actividad laboral, la segunda, informar al/la trabajador/a para que consienta el tratamiento de sus datos de carácter personal por parte de la entidad para diferentes finalidades (gestión RRHH, elaboración de nóminas, seguros, etc.) así como informarle de sus derechos.
- Los contratos con terceros encargados de tratamiento (ET). Los encargados de tratamiento (ET) son todos los colaboradores externos que nos prestan algún servicio y, para realizarlo, les facilitamos datos personales nuestros y de terceros.
- Disponer del protocolo de ejercicio de derechos. Todas las personas podemos ejercer el derecho de acceso, rectificación, supresión, portabilidad de los datos y limitación u oposición de su tratamiento, así como no ser objeto de decisiones individuales automatizadas.
- Implantación de procedimientos para notificar incidentes de seguridad. También conocidas como brechas de seguridad. Estas se deben de comunicar a los afectados y a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas.
- Medidas de seguridad técnicas y organizativas. El responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas adecuadas al riesgo que conlleva el tratamiento. Ello implicará tener que hacer una evaluación de los riesgos asociados a cada tratamiento, para determinar las medidas de seguridad a implementar.
- Registro de actividades de tratamiento. El registro deberá constar en todo caso por escrito, inclusive en formato electrónico, y deberá ser puesto a disposición de la autoridad de control que lo solicite.
- Análisis de riesgos. Desde el punto de vista de la seguridad de la información, un análisis de riesgos requiere identificar las amenazas (por ejemplo, acceso no autorizado a los datos personales), valorar cuál es la probabilidad de que se produzca y el impacto que tendría en las personas afectadas.
- Designar Delegado de Protección de Datos (DPD), si procede. El Reglamento introduce la figura del delegado de protección de datos, que puede formar parte de la plantilla del responsable o el encargado o bien actuar en el marco de un contrato de servicios.
- Realizar evaluación de impacto, si procede. Cuando un tratamiento, por su naturaleza, alcance, contexto o fines suponga un alto riesgo para los derechos y libertades de las personas físicas, especialmente cuando se utilicen nuevas tecnologías, el responsable debe hacer una evaluación del impacto en la protección de datos (EIPD).
- Video vigilancia, si disponen de cámaras de captación de imágenes es necesario cumplir con los requisitos legales y conocer el protocolo de solicitud de las imágenes.
- Wifi, si disponen de wifi a disposición de clientes, usuarios, empleados, etc., es necesario cumplir con los requisitos legales y conservar los registros de conexión dos años.
- Página web. Debe disponer de las cláusulas y avisos legales en cumplimiento de la LSSIce.
Sí, y las autoridades de control pertinentes no sólo están poniendo sanciones a las grandes compañías como Facebook o Google. Hay muchas otras compañías de menor tamaño que también están sufriendo las consecuencias infringir con la ley de protección de datos. Si a esto, le añadimos que el Gobierno español el pasado 2019 aumentó los presupuestos para la Agencia Española de Protección de Datos, quizá nos haga entender la importancia que está adquiriendo la protección de datos personales en el seno de la Unión Europea.
Detallamos los diferentes tipos de datos:
- Datos especialmente protegidos: Ideología, afiliación sindical, religión, creencias, origen racial o étnico, salud, vida sexual, datos genéticos y biométricos (Art. 9 del RGPD) así como datos relativos a condenas e infracciones penales (Art. 10 del RGPD).
- Datos identificativos: DNI, dirección postal o electrónica, imagen, voz, no de la seguridad social o Mutualidad, teléfono, fax, marcas físicas, nombre y dos apellidos, firma o huella, firma electrónica, tarjeta sanitaria.
- Datos relativos a las características personales: Datos de estado civil, datos de familia, fecha de nacimiento, edad, sexo, nacionalidad, lengua materna, características físicas o antropométricas.
- Datos relativos a las circunstancias sociales: Características del alojamiento, vivienda, situación familiar, propiedades, posesiones, aficiones y estilo de vida, pertenencia a clubes y asociaciones, licencias, permisos y autorizaciones.
- Datos académicos y profesionales: Formación, titulaciones, historial del estudiante, experiencia profesional, pertenencia a colegios o asociaciones profesionales.
- Detalles de empleo: Profesión, puestos de trabajo, datos no económicos de la nómina, historial del trabajador, vida laboral.
- Datos que aportan información comercial: Actividades y negocios, licencias comerciales, subscripciones a publicaciones o medios de comunicación, creaciones artísticas, literarias, científicas o técnicas.
- Datos económicos, financieros y de seguros: Ingresos, rentas, inversiones, bienes patrimoniales, créditos, préstamos, avales, datos bancarios, planes de pensiones, jubilación, datos económicos de nómina, datos de deducciones impositivas/impuestos, seguros, hipotecas, subsidios, beneficios, historial de créditos, tarjetas de crédito.
La imagen es un dato de carácter personal, ya que identifica o hace identificable a una persona. En este sentido, la instalación de cámaras, con diversas finalidades como podría ser la seguridad, el control laboral, el acceso a zonas restringidas captando la matrícula del coche y la imagen del conductor, o incluso la monitorización de una UVI, supondría un tratamiento de datos de carácter personal y en consecuencia, se le aplicaría las normativas de protección de datos.
Es necesario tener mucha precaución a la hora de publicar imágenes en Internet, sean fotografías o vídeos, si en ellas aparecen personas.
Las fotografías de una persona son también datos de carácter personal y no pueden ser tratados de manera diferente a la finalidad para la que se hayan obtenido, ni ser publicadas sin un consentimiento previo y expreso de la persona afectada. Esto se aplica a cualquier actividad empresarial o profesional que trate con fotografías de sus clientes, asociados, alumnos, etc.
Por ejemplo, una empresa dedicada a las actividades de montaña, que ofrece rutas en grupo y que hace fotografías de la actividad, no podría publicarlas en su web o redes sociales, sin haber obtenido el consentimiento previo de sus clientes y haberles informado de su posterior publicación.
La LOPDGDD, amplía los derechos reconocidos a las personas vinculadas a los fallecidos permitiendo ejercitar, además de la cancelación o supresión, los derechos de acceso y rectificación. Así mismo, establece como excepción, que los herederos o personas vinculadas no podrán acceder, rectificar o suprimir los datos de los fallecidos, si dicha persona lo hubiese prohibido o si una ley así lo establece, sin perjuicio de aquellos datos de carácter patrimonial a los que tuviesen derecho a acceder.
Se establece además que en caso de producirse el fallecimiento de un menor o una persona con discapacidad dichos derechos podrán ejercitarse por sus representantes legales o por el Ministerio Fiscal.
El artículo 96 de la LOPDGDD establece además, en relación con la eliminación de los perfiles de redes sociales de fallecidos, el derecho al testamento digital señalando que “las personas legitimadas podrán decidir acerca del mantenimiento o eliminación de los perfiles personales de personas fallecidas en redes sociales o servicios equivalentes, a menos que el fallecido hubiera decidido acerca de esta circunstancia, en cuyo caso se estará a sus instrucciones.
El responsable del servicio al que se le comunique, con arreglo al párrafo anterior, la solicitud de eliminación del perfil, deberá proceder sin dilación a la misma” por lo que parece más claro que nunca el reconocimiento de ciertas garantías en el tratamiento de datos de personas
fallecidas.
Si bien el artículo 8.1 párrafo segundo del RGPD, no consideraba lícito el tratamiento de datos personales de un niño/a menor de 16 años en relación con la oferta directa a niños/as de servicios de la sociedad de la información, salvo que los Estados miembros establecieran por ley una edad inferior, el legislador estatal en la LOPDGDD ha optado en su artículo 7 por establecer como lícito el tratamiento de datos de carácter personal de los menores cuando estos sean mayor de 14 años, en cualquiera de los casos.
Resumiendo, que el consentimiento para el tratamiento de datos de personales podrá prestarse por el propio menor cuando éste sea mayor de 14 años. Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento.
El tratamiento de los datos personales de los menores de catorce años, será lícito si el consentimiento lo otorga el padre, madre o el titular de la patria potestad o tutela.
El proceso de adaptación al RGPD propone cambios importantes en la gestión de datos personales. Las empresas deben revisar y adaptar sus procesos internos y medidas de seguridad para cumplir con la normativa europea.
Algunas de las acciones planificadas que las empresas deben tomar a medida que se adaptan incluyen:
• Adecuar la documentación (términos, cláusulas, contratos, etc.).
• Actualizar Política de Privacidad.
• Ajustar los mecanismos de ejercicio de los derechos.
• Crear un registro de actividades.
• Llevar a cabo un análisis de riesgos.
• Revisar las medidas de seguridad y actualizarlas si es necesario.
• Establecer protocolos para notificar incidentes de seguridad.
• Revisar las garantías proporcionadas por proveedores.
Esta es la esencia de la regulación europea. Se basa en el principio de prevención del tratamiento de datos, que exige la aplicación de medidas técnicas y organizativas desde el diseño y por defecto.
La nueva normativa es más exigente y flexible. Esto permitirá a los responsables y encargados del tratamiento decidir sobre las medidas de seguridad necesarias para demostrar el cumplimiento.
El RGPD establece un catálogo de las medidas que los responsables, y en ocasiones los encargados, deben aplicar para garantizar que los tratamientos que realizan son conformes con el Reglamento y estar en condiciones de demostrarlo. Estas medidas de responsabilidad activa son:
- Análisis de riesgo
- Registro de actividades de tratamiento
- Protección de Datos desde la Protección de Datos
- Medidas de seguridad
- Notificación de «violaciones de seguridad de los datos»
- Evaluación de impacto sobre la Protección de Datos
- Delegado de Protección de Datos
Desde mayo de 2018 no es válido el consentimiento tácito. Para poder continuar con el tratamiento de los datos recopilados de esta manera, se deben volver a recopilar de acuerdo con los nuevos requisitos. El RGPD exige que el consentimiento sea explícito y obtenido de manera libre, específica, informada e inequívoca mediante la realización de una acción afirmativa.
Desde el 25 de mayo de 2018 desapareció la obligación de comunicar los ficheros de datos a la Agencia Española de Protección de Datos.
En cambio, las empresas deben tener un Registro de los tratamientos de datos que realizan, incluyendo la información requerida por el RGPD.
El RGPD establece que es obligatorio contratar a esta figura para las siguientes actividades:
- En autoridades y organismos públicos.
- Cuando se realice el tratamiento a gran escala de datos sensibles.
- En colegios profesionales y sus consejos generales.
- En centros docentes que ofrecen enseñanza y en las universidades públicas y privadas.
- Las empresas que prestan servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
- Las entidades de ordenanza, supervisión y solvencia de entidades de crédito.
- Los establecimientos financieros de crédito.
- Las entidades aseguradoras y reaseguradoras.
- Las empresas de servicios de inversión.
- Los centros sanitarios legalmente obligados a guardar historiales clínicos de los pacientes.
- Las entidades que tengan como uno de sus objetivos la emisión de informes comerciales que puedan referirse a personas físicas.
- Las operadoras que desarrollen la actividad del juego mediante los canales electrónicos, informáticos, telemáticos o interactivos.
- Quien desarrolle actividades de seguridad privada.
- Los distribuidores y comercializadores de energía eléctrica y gas natural.
- Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y de crédito o de los ficheros comunes para la gestión y prevención del fraude, incluidos los responsables de los ficheros de prevención de blanqueo de capital y de la financiación del terrorismo.
- Las entidades que desarrollen actividades de publicidad y prospección comercial, las de investigación comercial y de mercados, cuando se lleven a cabo tratamientos basados en las preferencias de los afectados o se realicen actividades que impliquen la elaboración de perfiles de los mismos.
- Aunque no sea obligatoria, la figura del DPO no exime a las empresas de cumplir con la responsabilidad de realizar un tratamiento correcto de los datos.
Informar y asesorar al responsable o al encargado y los trabajadores sobre las obligaciones que impone la normativa de protección de datos.
- Supervisar el cumplimiento de la normativa.
- Asesorar respecto de la evaluación de impacto relativa a la protección de datos.
- Cooperar con la autoridad de control.
- Actuar como punto de contacto para cuestiones relativas al tratamiento.
La notificación de incidentes no es una obligación general. Será obligatorio para incidencias que pongan en riesgo la confidencialidad e integridad de los datos personales. El plazo límite de notificación es de 72 horas desde el día que se tiene constancia de la misma.
El RGPD extiende su alcance territorial a las organizaciones establecidas fuera de la UE que tratan los datos de los ciudadanos europeos con el fin de proporcionarles bienes y servicios.
Desde el principio, los objetivos de cumplimiento deben verse como un proceso y una acción preventiva tomada, en lugar de intervenciones específicas en respuesta a los problemas a medida que surgen.
Como mínimo, cada entidad debe analizar el tipo de datos personales que trata, la finalidad para la que los trata, el tipo de operaciones de tratamiento que realiza y la forma en que lo hace.
Con base en este conocimiento, debe decidir qué medidas especificadas en la normativa deben aplicarse y cómo implementarlas. Además, debe generar evidencia documental de las acciones realizadas y evaluar periódicamente su eficacia para demostrar su cumplimiento.
Desde que es aplicable el RGPD, la mayor parte del contenido de la LOPD y su Reglamento de desarrollo es desplazado por la norma comunitaria. Si seguirán vigentes algunos de los preceptos tanto de la LOPD como de su Reglamento de desarrollo, como por ejemplo aquellos que regulan los tratamientos de solvencia patrimonial o la denominada «Lista Robinson».
La LOPDGDD categoriza las infracciones en muy graves, graves y leves.
Algunos de los actos sancionables de cada uno de los tres niveles, así como los plazos de prescripción, son:
Infracciones muy graves (prescriben a los 3 años)
- Vulnerar los principios establecidos en el RGPD.
- Incumplir los requisitos exigidos para la validez del consentimiento.
- Tratar datos personales para una finalidad distinta para la cual fueron recogidos.
- Exigir un pago para atender las solicitudes de ejercicio de derechos.
- Realizar una transferencia internacional de datos personales sin garantías.
- Incumplir resoluciones dictadas por la autoridad de protección de datos.
- Revertir deliberadamente la anonimización con el fin de reidentificar a los titulares.
Infracciones graves (prescriben a los 2 años):
- Tratar datos de un menor de edad sin su consentimiento, o el de los padres o tutores legales si procede.
- No adoptar medidas técnicas y organizativas apropiadas para garantizar el cumplimiento de la protección de datos o un nivel de seguridad adecuado.
- Contratar un encargado de tratamiento que no ofrezca las garantías suficientes o sin la previa formalización de un contrato.
- No disponer del registro de actividades de tratamiento.
- No notificar una violación de seguridad de los datos a la autoridad de control.
- Tratar datos personales sin realizar una evaluación del impacto cuando sea exigible.
- No designar un delegado de protección de datos (DPD) cuando sea obligatorio.
Infracciones leves (prescriben en 1 año):
- No cumplir el principio de transparencia de la información.
- Incumplir el deber de informar al interesado.
- No suprimir los datos referidos a una persona fallecida cuando ello fuera obligatorio.
- Disponer de un Registro de actividades de tratamiento incompleto.
- Notificar una violación de seguridad a la autoridad de protección de datos de forma defectuosa.
- No publicar los datos de contacto del delegado de protección de datos o no comunicarlos a la autoridad de control.
La LSSIce o Ley 34/2002 de Servicios de la Sociedad de la Información y del Comercio Electrónico, es una normativa que regula las actividades económicas a través de internet, entendiendo estas como aquellos productos o servicios ofertados a través de páginas webs, tiendas online y correo electrónico.
El objetivo que persigue es regular el régimen jurídico de los servicios relacionados con Internet y la contratación electrónica.
Las personas que realicen actividades económicas por Internet u otros medios telemáticos (correo electrónico, televisión digital interactiva…), siempre que la dirección y gestión de sus negocios esté centralizada en España o, posea una sucursal, oficina o cualquier otro tipo establecimiento permanente situado en territorio español, desde el que se dirija la prestación de servicios de la sociedad de la información.
Se presumirán establecidos en España y, por tanto, sujetos a la Ley a los prestadores de servicios que se encuentren inscritos en el Registro Mercantil o en otro Registro público español en el que fuera necesaria la inscripción para la adquisición de personalidad jurídica.
Cuando este percibe ingresos directos (por las actividades de comercio electrónico que lleve a cabo a través de la página, etc.) o indirectos (por publicidad, patrocinio, etc.) derivados de su página web, con independencia de que estos permitan sufragar el coste de mantenimiento de la página, igualen esa cantidad o la superen.
Cuando este percibe ingresos directos (por las actividades de comercio electrónico que lleve a cabo a través de la página, etc.) o indirectos (por publicidad, patrocinio, etc.) derivados de su página web, con independencia de que estos permitan sufragar el coste de mantenimiento de la página, igualen esa cantidad o la superen.
Sí. La Ley se aplica a toda actividad con trascendencia económica que se realice por medios electrónicos. En este caso, la empresa solo está obligada a facilitar, a través de su página web, los datos de información general establecidos en el artículo 10.
La Ley no se aplicará a una página web personal cuando su titular no realice ningún tipo de actividad económica a través de la misma.
Si la página web tiene alojada publicidad en forma de «banners», «pop-ups», etc., su titular estará sujeto a la Ley si percibe alguna remuneración por los mismos. Si estos no generan ningún ingreso a su titular, por ejemplo, por haber sido impuestos a cambio de la prestación de un servicio gratuito de alojamiento, este no estará obligado a cumplir las obligaciones previstas en la Ley.
Todo ello sin perjuicio de que a esa página le afecten otras normas jurídicas que sean de aplicación por ser públicamente accesible.
Toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o de los bienes o servicios de una empresa u organización o persona que realice una actividad comercial, industrial, artesanal o profesional.
Al realizar e-mail marketing se tratan datos personales. Por tanto, deben tenerse en cuenta las siguientes normas:
La LSSIce, ya que regula todas las comunicaciones que se realizan de forma electrónica ya sea con personas o con empresas, el RGPD y la LOPDGDD porque el correo electrónico es considerado un dato personal.
Se prohíbe el envío de comunicaciones comerciales electrónicas o publicidad vía e-mail, a menos que exista consentimiento o autorización expresa previa por parte del receptor. Son también ilegales los correos comerciales a direcciones de correo electrónico recogidas en Internet o en bases de datos compradas.
Se consideran datos de carácter personal los correos electrónicos profesionales, por lo que dirigirse a potenciales clientes, sin su consentimiento, a través del e-mail es considerada una práctica ilegal.
El RGPD exige que el consentimiento, para que sea válido el envío de información comercial, debe ser:
- Libre. El consentimiento tiene que ser prestado en un marco de libertad.
- Informado. Se debe informar al interesado de la finalidad del tratamiento para el que se quiere recabar el consentimiento
- El nombre del responsable del tratamiento.
- Cómo se van a tratar esos datos.
- Los derechos de los que es titular el interesado.
- Específico. Con esto el regulador quiere asegurarse que cuando el tratamiento tenga varias finalidades se recabe el consentimiento para cada uno de ellos.
- Inequívoco. La forma de obtención del consentimiento tiene que ser entendible, es decir que el afectado sepa sin lugar a dudas para que está dando su beneplácito. Para cumplir estos requisitos, no puede admitirse un consentimiento tácito o por defecto y se
exige, por tanto, que exista una declaración de los interesados o una acción positiva que indique el acuerdo del interesado.
El RGPD exige que se pueda acreditar el consentimiento y por este motivo es imprescindible comprobar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría o inspección.
El prestador debe ofrecer al interesado la posibilidad de oponerse al tratamiento de sus datos con fines promocionales, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.
Sí. Pero como hemos dicho, el afectado deberá realizar una clara acción afirmativa para considerar ese consentimiento como válido y si se pueda acreditar.
Por ejemplo:
Es válido recoger el consentimiento de los clientes mediante un formulario en papel, mediante una firma de los mismos, como también es válido usar una PDA o tablet para recoger dicho consentimiento si no queremos tener documentación en papel y lo queremos tener todo en formato electrónico.
Pero se sebe asegurar que se puede acreditar dicho consentimiento.
Sí. No obstante hay dos situaciones a tener en cuenta:
- Mayores de 14 años: El consentimiento prestado por mayores de 14 años se presupone válido, siempre y cuando no haya una ley que para un caso específico no lo permita.
- Menores de 14 años: Será necesaria la participación de los titulares de la patria potestad para considerar el consentimiento prestado por un menor de 14 años.
- Por lo tanto si se recaba el consentimiento de forma online habrá que establecer procedimientos para que podamos verificar el consentimiento parental
Una cookie (o galleta informática) es una pequeña información enviada por un sitio web y almacenada en el navegador del usuario, de manera que el sitio web puede consultar la actividad previa del usuario.
Sus principales funciones son:
- Llevar el control de usuarios: cuando un usuario introduce su nombre de usuario y contraseña, se almacena una cookie para que no tenga que estar introduciéndolas para cada página del servidor. Sin embargo, una cookie no identifica solo a una persona, sino a una combinación de computador-navegador-usuario.
- Conseguir información sobre los hábitos de navegación del usuario, e intentos de spyware (programas espía), por parte de agencias de publicidad y otros. Esto puede causar problemas de privacidad y es una de las razones por la que las cookies tienen sus detractores.
Si una página web utiliza cookies (que es lo más probable), se debe tener en cuenta que al utilizar cookies que pueden identificar a un usuario y generar un perfil se está realizando un tratamiento de datos; esto, de por sí, ya obliga a contar con el consentimiento del usuario.
Por lo tanto, se aplicarán todas las disposiciones relacionadas con el tratamiento de datos que prevé la legislación en temas como el almacenamiento, tratamiento o consentimiento expreso.
La existencia de archivos como las cookies se contempla en la LSSIce, pero el RGPD y la LOPDGDD han reforzado las garantías y los derechos del usuario.
Como prestador de servicios, debe facilitar de forma accesible y permanente la información necesaria para que los usuarios puedan estar informados al respecto y prestar su consentimiento para la instalación de cookies.
La opción más habitual es una ventana emergente, en forma de barra en el encabezado o en el pie de página, con un texto en el que se indique que la web, blog, etc. utiliza cookies y que contenga un link a la Política de Cookies, dónde el usuario pueda hallar toda la información detallada al respecto.
Según la Ley, un prestador de servicios establecido en España, que opera con carácter comercial a través de cualquier soporte electrónico que instale cookies, tiene la obligación de cumplir con los requerimientos establecidos en la normativa.
El incumplimiento de la LSSIce puede comportar sanciones de hasta 600.000€, en función de la infracción cometida:
- Infracciones leves: Sanciones hasta 30.000€
- Infracciones graves: Sanciones entre 30.001€ y 150.000€
- Infracciones muy graves: Sanciones entre 150.001€ y 600.000€
- Son infracciones leves:
- Ni informar en la forma prescrita por el artículo 10.1 sobre los aspectos señalados en los apartados b), c), d), e) y g) del mismo.
- El incumplimiento de lo previsto en el artículo 20 para las comunicaciones comerciales, ofertas promociones y concursos.
- El envío de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente a los destinatarios que no hayan solicitado o autorizado expresamente su remisión, cuando no constituya una infracción grave.
- No facilitar la información que se requiere el artículo 27.1, cuando las partes no hayan pactado su exclusión o el destinatario sea un consumidor.
- El incumplimiento de la obligación de confirmar la recepción de una petición en los términos establecidos en el artículo 28, cuando no se haya pactado su exclusión o el contrato se haya celebrado con un consumidor, salvo que constituya infracción grave.
- Son infracciones leves:
- Son infracciones graves:
- El incumplimiento de lo establecido en los párrafos a) y f) del artículo 10.1.
- El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente a destinatarios que no hayan autorizado o solicitado expresamente su remisión, o el envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando este no hubiera solicitado o autorizado su remisión.
- No poner a disposición del destinatario del servicio las condiciones generales a que, en su caso, se sujete el contrato, en la forma prevista en el artículo 27.
- El incumplimiento habitual de la obligación de confirmar la recepción de una aceptación, cuando no se haya pactado su exclusión o el contrato de haya celebrado con un consumidor.
- La resistencia, exclusa o negativa a la actuación inspectora de los órganos facultados para llevar a cabo con a reglo a esta Ley.
- Son infracciones graves:
- Sanciones muy graves:
- El incumplimiento de las órdenes dictadas en virtud del artículo 8 en aquellos supuestos en que hayan sido dictadas por un órgano administrativo.
- El incumplimiento de la obligación de suspender la transmisión, el alojamiento de datos, el acceso a la red o la prestación de cualquier otro servicio equivalente de intermediación, cuando un órgano administrativo competente lo ordene, en virtud de lo dispuesto en el artículo 11.
- El incumplimiento de la obligación de retener los datos de tráfico generados por las comunicaciones establecidas durante la prestación de un servicio de la sociedad de la información prevista en el artículo 12.
- La utilización de los datos retenidos, en cumplimiento del artículo 12, para fines distintos de los señalados en él.
- Sanciones muy graves:
