Con motivo de estas fechas navideñas, marcadas por las cenas de empresas, eventos con niños, compras a través de internet… debemos tener en cuenta la normativa de protección de datos, para que nuestra única preocupación sea disfrutar de esta festividad. En este sentido, a lo largo de este post, resolveremos algunas dudas, que resultan frecuentes. 

¿Envío de felicitaciones de navidad y límites de la normativa en protección de datos?

En primer lugar, debemos hacer distinción entre el envío de tarjetas o felicitaciones navideñas en el ámbito personal y profesional. En este sentido, la normativa vigente de protección de datos, no impide que los ciudadanos remitan estas tarjetas dentro de su ámbito personal, destinadas a amigos o familiares.

Cuestión distinta resulta el envío de felicitaciones corporativas, siendo exigible el cumplimiento de los requisitos que establece la normativa. En este supuesto, las organizaciones deben tener una justificación para realizarlo con base en algún tipo de legitimización en la que, dependiendo del caso, podría enmarcarse el interés legítimo. Además, si en estas comunicaciones se realiza algún tipo de oferta o publicidad, se deberá cumplir con las obligaciones que marca la legislación para este tipo de comunicaciones comerciales.

 

¿Vas a comprar en una tienda online?

Es una realidad afirmar que el comercio electrónico es uno de los canales principales de compraventa, y más en estas fechas navideñas, marcadas por el consumo.

En este sentido, en el informe de Ayden se sitúa al canal online como el segundo canal donde más ventas se generan. Además, también es interesante observar que las transacciones efectuadas a través de las aplicaciones y redes sociales suponen ya el 14% y 10%. De hecho, el comercio electrónico seguirá en forma de cara la próxima campaña de Navidad: según las predicciones que hace la compañía estadounidense de software Salesforce, las ventas online en todo el mundo se alzarán un 7%.

A lo largo del proceso de compra online, el consumidor puede ver comprometida su seguridad o privacidad, además de vulnerados sus derechos. En este sentido, a continuación, enumeramos una serie de consejos, facilitados por la autoridad de control, la Agencia Española de Protección de Datos.

 

Comprobar información legal del comercio: 

La información de la tienda online, requerida por distintas normas legales, suele incluirse en páginas con denominaciones como “Aviso legal”, “Términos de uso” o “Política de privacidad”. Éstas suelen ser accesibles mediante enlaces ubicados en los extremos superior o inferior de la página principal del comercio online. 

La información legal es fundamental porque: 

• Ante un posible conflicto permite saber contra quién debemos reclamar.
• Determina las leyes aplicables y las autoridades de control competentes.
• Permite conocer los derechos que asisten a los usuarios. Es obligatorio que el comercio online proporcione, entre otros, estos datos
  • Nombre completo de la entidad (persona física, sociedad, fundación, etc.)
  • Número de identificación fiscal (NIF, NIE o CIF)
  • Datos de su inscripción en el registro mercantil
  • Dirección postal

Si recaban datos personales, deberán informar, entre otros datos: 

• Quién es el responsable del tratamiento de datos, la finalidad del mismo y la legitimación para tratarlos.
• El plazo de conservación de los datos, y la posibilidad de ejercitar los derechos de protección de datos.

¿Una de tus compras será un juguete conectado a Internet? 

En este sentido, a la hora de adquirir juguetes conectados a Internet, debemos tener en cuenta que estos intercambian información con fuentes externas y que, además requieren la instalación de una aplicación en el dispositivo móvil. La consecuencia es que, este tipo de juguetes, son capaces de recopilar información sobre el menor que lo usa, implicando que debamos prestar especial atención a qué pueden hacer, qué información recogen, etc., para poder proteger la privacidad del menor. 

En el caso de que te hayas decidido a regalar un juguete de estas características, a continuación, indicamos una serie de recomendaciones de la autoridad de control:

Su uso suele requerir la descarga de una aplicación en un dispositivo móvil. Pero, ¿cómo funcionan? Cuando captan imágenes o voces las envían a la aplicación, que a su vez las transmite a través de internet. Cuando se procesa la información, la contestación -ya sea una frase pregrabada o información obtenida en la Red- viaja de vuelta al juguete, que ofrece al usuario una respuesta.

Para completar este proceso, el juguete cuenta con herramientas como micrófono, cámara, altavoces o pantalla, que recopilan información sobre los usuarios -en su mayor parte menores- lo que puede suponer un riesgo para su privacidad y la protección de sus datos.

También es aconsejable saber qué datos se transmiten por internet, con qué objetivo y su destino final, así como los datos que se reciben de la Red y de dónde proceden. Es igualmente importante plantearse cómo se protegen los datos recogidos, el lugar donde van a almacenarse y si se van a enviar a terceros.

 

¿Captar imágenes de la obra de navidad del Colegio?

Decenas de padres, madres y familiares acuden estos días a colegios para presenciar funciones, conciertos u otro tipo actos en los que los más pequeños de la casa son los protagonistas y, como es lógico, aprovechan las cámaras de sus teléfonos móviles para conseguir un recuerdo de este momento en forma de foto o vídeo.

No existe ningún problema en tomar estas imágenes siempre y cuando se realice un uso personal y privado de las mismas. Si se difunden fuera de este ámbito familiar o de amistad como en redes sociales o páginas de Internet de acceso público, se podrían estar vulnerando los derechos de otros niños que aparecen, ya que para publicarlas se necesita el consentimiento de sus padres y tutores o de los propios menores si tienen más de 14 años.

 

¿Y las de la cena de empresa?

Del mismo modo, es habitual tomar fotos y vídeos de la cena de navidad de la empresa y que terminen en alguna red social. Debemos tener en cuenta que lo que hoy nos parece muy gracioso, puede afectarnos de manera negativa en un futuro. Piénsalo dos veces dos veces antes de compartir este contenido.

Si eres el autor de la imagen, recuerda que necesitas el permiso de las personas que aparecen para subirlas a Internet y que si lo haces sin ese consentimiento podrías estar cometiendo una infracción que, incluso, y dependiendo de las circunstancias, podría llegar a ser delito.

Desde GRUPO DATA, como especialistas en materia de protección de datos y seguridad de la información, le animamos a que, si desea obtener mayor información o asesoramiento, no dude en contactar con nosotros.

 

 

Publicado el 26 de Noviembre de 2021
Por María González
Responsable del Departamento Jurídico

La formación del personal en cumplimiento de la Responsabilidad Proactiva y la protección de datos «desde el diseño”. 

En base al principio de «información y formación», el Responsable del tratamiento, para garantizar el cumplimiento en materia de protección de datos, debe habilitar y fomentar la formación e información del personal implicado en el tratamiento de los mismos, involucrando a los empleados en la denominada «cultura de protección de datos».

De igual modo, la autoridad de control, la Agencia Española de Protección de Datos, ha puesto de manifiesto que la utilización de medidas como la formación del personal define de forma explícita la intención y diligencia del responsable del tratamiento.

Además, debemos resaltar el riesgo que entraña el desconocimiento de la normativa en materia de protección de datos, pudiendo derivar en la causa de algún incumplimiento y una posterior sanción a la entidad. Las empresas se encuentran ante una obligación explícita de la propia normativa de protección de datos y de cualquier protocolo de seguridad de la información ya que, si el empleado no sabe, no puede cumplir con las obligaciones impuestas.

En este sentido, las entidades Responsables del tratamiento, debe adoptar un plan de formación y concienciación destinado a los usuarios intervinientes en el tratamiento de datos.

Desde GRUPO DATA, como entidad especializada en el asesoramiento en materia de protección de datos y seguridad de la información, os facilitamos una propuesta de plan formativo, destinado a la implantación de la cultura de protección de datos, siendo este:

1 Introducción materia de Protección de Datos
1.1 Antecedentes Legislativos y marco normativo actual
1.2 Novedades del Reglamento Europeo de Protección de Datos

1.3 Novedades Ley Orgánica 3/2018, de 5 de diciembre.

2 Figuras esenciales en materia de Protección de Datos
2.1 El Responsable del tratamiento
2.2 Funciones y obligaciones del Responsable del tratamiento
2.3 Corresponsables en el tratamiento de los datos
2.4 El encargado del tratamiento y su relación contractual con el responsable
2.5 Contenido mínimo de un contrato del art. 28 del RGPD

3 El registro de las actividades del tratamiento (RAT)
4.1 Contenido mínimo el RAT (art. 30 del RGPD)
4.3 Tratamiento de categorías especiales de datos personales
4.4 Situaciones específicas en el tratamiento de los datos personales

4 Deber de información a los interesados
4.1 El principio de transparencia
4.2 La información por capas
4.3 El consentimiento en el tratamiento de los datos personales

6 Ejercicio de los derechos de los interesados y las brechas de seguridad
6.1 Los derechos de los interesados en materia de Protección de Datos
6.2 Las brechas de seguridad

7 La Evaluación de Impacto y el Delegado de Protección de Datos
7.1 La Evaluación de Impacto (EIPD)
7.2 El Delegado de Protección de Datos (DPD)

8 Caso práctico: implantación en materia de Protección de Datos

 

Contenido actividad formativa. 

 

El plan de formación debe estar fundamentado en los tratamientos de datos de carácter personal identificados y, por lo tanto, debe prever acciones formativas específicas dirigidas a los usuarios intervinientes en el tratamiento de datos de carácter personal. 

 

Al mismo tiempo y con una periodicidad anual; deberán documentar el grado de cumplimiento del plan de formación. 

 

¿Quiénes deben nombrar un DPO? 

 

La acción formativa; en materia de protección de datos, se ha de dirigir para cumplir con los siguientes objetivos: 

• Fomentar la formación e información del personal implicado en el tratamiento de los mismos, involucrando a los empleados en la denominada «cultura de protección de datos».
• Dotar a los usuarios; de los conocimientos prácticos que les permitan el conocimiento e importancia del tratamiento de datos de carácter personal.
• Sensibilizar a empleados del Responsable del tratamiento, sobre la importancia y la necesidad del correcto cumplimiento de las obligaciones de cumplimiento; impuestas por la normativa vigente.

 

Publicado el 27 de Octubre de 2021
Por María González
Responsable del Departamento Jurídico