PROTECCIÓN DE DATOS EN VACACIONES

PROTECCIÓN DE DATOS EN VACACIONES

Desde GRUPO DATA, con motivo de nuestro compromiso de concienciación y fomento de la protección de datos, os indicamos una serie de consejos, publicados por la Agencia Española de Protección de Datos, para que estas vacaciones la única preocupación sea descansar y disfrutar. 

Mediante este artículo en el blog, la Agencia Española de Protección de Datos, ha puesto de manifiesto una serie de recomendaciones, para saber cómo afrontar situaciones de riesgo para la protección de nuestros datos personales.

 

Piensa dos veces antes de compartir una foto o vídeo

La actividad estival hace que la cámara de nuestro teléfono móvil tenga más trabajo del habitual: detalles de los lugares que hemos visitado, gente con la que hemos estado, fiestas a las que hemos asistido, etc. Compartir parte de esas fotografías (o todas) en una red social es algo habitual para algunas personas y entraña algunos riesgos.

Según datos del Centro de Investigaciones Sociológicas (CIS), una de cada cuatro personas (24.5%) se ha arrepentido alguna vez de haber colgado algo en una red social. Te recomendamos que pienses en quién podrá ver tus fotos antes de pulsar el botón de compartir en tus redes sociales. Si tu perfil es accesible para los buscadores, ten en cuenta que cualquiera podrá ver, por ejemplo, las fotos, vídeos o comentarios que publicas. La Agencia dispone de una serie de vídeo tutoriales explicativos elaborados junto a INCIBE en  los que explica cómo acceder a la configuración de privacidad y seguridad de algunos de los servicios más populares en Internet para que tu perfil no se muestre cuando, por ejemplo, introduzcan tu nombre en un buscador.

Una vez que tu perfil ya no sea accesible para los buscadores, piensa también en que las personas a las que das acceso a tu información eligen a su vez quien puede tener acceso a su perfil: amigos, amigos de amigos o todo el mundo. Si compartes una foto con tus seguidores o amigos en una red social y uno de ellos indica que algo le gusta, un amigo de amigo, al que no tienes por qué conocer, puede terminar viendo esa imagen. Y es posible que haya situaciones que quizás no quieres compartir con desconocidos.

Siguiendo con los datos del CIS, un 12.2% de los encuestados afirma haber tenido problemas por contenidos que otros han colgado en una red social. Debemos recordar que necesitamos consentimiento de las personas que aparecen en las fotos que tomamos antes de compartirlas en Internet o de sus padres o tutores en el caso en que aparezcan menores.

 

Evita decir dónde estás

Compartir en Internet fotografías de tus viajes o tu geolocalización a través de una aplicación puede dar información a los delincuentes para saber cuándo no estás en casa. Ten cuidado también con compartir imágenes de tus billetes o tarjetas de embarque, ya que sus códigos pueden ser utilizados para acceder a tus datos personales y conocer el destino y fechas de tu viaje.

 

Desconfía de las WiFis abiertas y ordenadores compartidos

En verano pasamos mucho tiempo lejos de la WiFi de nuestra casa o del trabajo. Esto hace que consumamos los datos contratados rápidamente y andemos a la caza de WiFi gratuito. Las redes abiertas en ocasiones pueden ser utilizadas por ciberdelincuentes para robarte tus datos personales y contraseñas. Si las utilizas, no introduzcas tus contraseñas, no intercambies información sensible, no te conectes a tu servicio de banca, y no compres por Internet con ellas.

Del mismo modo, cuando estamos de viaje, pueden surgir situaciones en las que nos vemos obligados a hacer un trámite y conectarnos desde un ordenador público de un hotel o un locutorio. En estos casos te recomendamos utilizar la opción de navegación privada del navegador, no guardar tus contraseñas en el dispositivo compartido y, después de utilizarlo, cerrar todas las sesiones que hayas abierto (correo electrónico, webs, chats, etcétera).

 

Adelántate al robo o pérdida de tus dispositivos

Cuando viajas o realizas actividades veraniegas como ir a la piscina, la playa o visitar lugares turísticos, aumentan los riesgos de perder o que nos roben nuestro móvil o tableta. No solemos ser conscientes de la cantidad de datos e información personal que contienen. Te recomendamos que hagas una copia de seguridad de la información que almacenas y no olvides añadir un sistema de clave o patrón para bloquear los dispositivos. 

 

Publicado el 29 de Julio de 2022
Por María González
Responsable del Departamento Jurídico

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

EBROKER Y GRUPO DATA COLABORAN EN UN WEBINAR SOBRE PROTECCIÓN DE DATOS PARA LA COMUNIDAD DE USUARIOS DE LA PLATAFORMA

El pasado día 10 de mayo, tuvimos la oportunidad de formar parte de una sesión formativa, de la mano de la tecnológica Ebroker, bajo la temática de protección de datos y seguridad de la información en el Sector del Corredor de Seguros. 

En este sentido, durante la misma, abordamos cuestiones fundamentales y obligaciones esenciales en materia de protección de datos, como son, la gestión y formalización de las relaciones con nuestros proveedores, mediante la firma del contrato de encargado del tratamiento, los compromisos de confidencialidad con usuarios, la implementación de un procedimiento de atención al ejercicio de derechos, gestión de las brechas de seguridad, cumplimiento del principio de Responsabilidad proactiva, etc.

El cumplimiento y adaptación a la normativa se trata de un proceso continuo en el tiempo y, que puede otorgarnos importantes beneficios en nuestra gestión empresarial.

Desde Ebroker nos mostraron el cumplimiento de las exigencias normativas en la plataforma, con las diferentes funcionalidades que nos otorga, entre otras, recabar el consentimiento, trazabilidad en los procesos, cumplimiento del deber de información, medidas técnicas-organizativas, etc.

En este Webinar, al que asistieron cerca de 300 profesionales, se contó con la participación de Nuria Alfaro, Responsable de Marketing y Comunicación y Eva García, Consultora y experta en Formación de la tecnológica, mientras que, por nuestra parte participaron, nuestro CEO Manuel Granado y la responsable del Departamento Jurídico, María González.

 

 

Publicado el 27 de Mayo de 2022
Por María González
Responsable del Departamento Jurídico

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

GRUPO DATA, ENTIDAD ADHERIDA AL PACTO DIGITAL PARA LA PROTECCIÓN DE LAS PERSONAS

Desde GRUPO DATA, apostando por la defensa efectiva de la protección de los datos de las personas, nos hemos adherido al Pacto Digital de la Agencia Española de Protección de Datos. Se trata de una iniciativa que tiene como objetivo promover un compromiso firme con la privacidad en las políticas de sostenibilidad y los modelos de negocio de las organizaciones, compatibilizando el derecho fundamental a la protección de datos con la innovación, la ética y la competitividad empresarial. 

Esta iniciativa está orientada a reforzar el derecho a la protección de datos a la vez que se promueve la innovación y la sostenibilidad.

En este sentido, todas las empresas, profesionales, organizaciones, etc., que con motivo de su actividad traten datos de carácter personal, deben adaptarse y cumplir con las obligaciones que establece la normativa vigente en materia de protección de datos. Con motivo de lo anterior, optemos por sacar el máximo partido a este servicio, confiemos en empresas que nos garantizan el asesoramiento integral. Un proceso de adaptación normativo debe resultar acorde a la situación de la entidad o profesional.

En la era digital en la que nos encontramos inmersos, y no afectando este término tan solo a grandes empresas, sino a todos los profesionales y PYMES, la seguridad de la información no es una opción.

¿Qué entidad o profesional no dispone de herramientas o aplicaciones para la gestión de su actividad? Esta simple circunstancia, deriva en la necesidad de implantar unas medidas de seguridad. La digitalización se caracteriza por dos vertientes, la positiva, que es permitir sacar el máximo beneficio y automatizar procesos y funciones, la negativa, la entidad resulta expuesta.

Un incidente con los datos de nuestros clientes, proveedores, etc., como puede ser la pérdida o el acceso por parte de un tercero no autorizado, provoca un daño reputacional irreparable. La confianza cuesta ganarla, pero un instante perderla. Los ataques de ingeniería social, no se dirigen tan solo a grandes compañías, sino en bloque, por ello, puedes ser uno de los afectados. Por tanto, implantemos soluciones previo origen del problema o incidente. Si piensas que la solución es costosa, imagínate el no tenerla y la consecuencia que deriva del incidente.

Cada vez más, los titulares de los datos, valoramos más la transparencia, información y seguridad de los mismos. De este modo, los clientes demandan información y resultan más exigentes en el ámbito de la privacidad.

La correcta implantación de la normativa de protección de datos y seguridad de la información, permitirá que la empresa/profesional pueda aprovechar al máximo los datos de carácter personal con los que cuenta, garantizando el cumplimiento de la normativa. Los datos personales son y serán en los próximos tiempos un activo crucial y determinante para la viabilidad y permanencia de una empresa.

 

Publicado el 29 de Abril de 2022
Por María González
Responsable del Departamento Jurídico

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

25 DE MAYO DE 2022, FECHA FINAL PARA LA ADAPTACIÓN DE LOS CONTRATOS

25 DE MAYO DE 2022, FECHA FINAL PARA LA ADAPTACIÓN DE LOS CONTRATOS

Este próximo 25 de mayo de 2022, finaliza el plazo para la adaptación de los contratos, en materia de protección de datos, con nuestros proveedores. Desde ese momento, no resultarán validos los contratos firmados al amparo de la Ley Orgánica 15/1999. 

En este sentido, la LOPDGDD, introdujo una disposición transitoria quinta para que los contratos entre responsables y encargados se adapten en un plazo máximo de cuatro años –cuando sean indefinidos– o cuando se realice la primera prórroga.

El contrato de confidencialidad y acceso a datos por cuenta de terceros (contrato de encargado de tratamiento) deben formalizarlo aquellas empresas o profesionales, con sus proveedores de servicios, cuando esta prestación de servicios requiera un acceso directo o indirecto a datos de carácter personal. El Reglamento (UE) 2016/679, de 27 de abril, de protección de datos de carácter personal (en adelante RGPD), define este acuerdo como un “contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable.

La normativa anterior, en este caso, la LOPD 15/1999, regulaba este acuerdo en su art. 12, exigiendo la formalización, y destacando que no resultaba tan exigente con los prestadores de servicios como resulta la normativa vigente.

En cuanto a la obligación de firma de este contrato, se encuentra consagrada en el art. 28 del RGPD y el art. 33 de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos de carácter personal y garantía de los derechos digitales (en adelante LOPDGDD).

Por otro lado, en cuanto a los intervinientes en el acuerdo, el art. 4 del RGPD, define al Responsable del tratamiento como “la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento”; mientras que el encargado del tratamiento resulta definido como “la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”.

En relación a las particularidades y contenido mínimo del acuerdo, tal y como deviene de lo establecido por el legislador:

  • Es un documento que define las responsabilidades, vínculos y acuerdos de las partes. 
  • No resultan válidos los acuerdos verbales, debiendo constar por escrito.
  • En cuanto al contenido, debe regular el objeto, duración, naturaleza y finalidad del tratamiento de datos que se encarga; tipo de datos personales tratados; categorías de interesados de los que el encargado tratará datos directa o indirectamente; obligaciones y derechos del responsable; particularidades de la subcontratación de servicios; las obligaciones del encargado. 

Por otro lado, el art. 28.1 del RGPD, establece la obligatoriedad del Responsable de “elegir únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado”.

Además, en relación a las consecuencias de no formalización del acuerdo de encargado de tratamiento, el art. 73 de la LOPDGDD califica el hecho como infracción grave, estableciendo que:

“j) La contratación … de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas…”.

k) Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito conforme el artículo 28.3 RGPD”.

“l) La contratación por un encargado … de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles” .

De igual modo, tal y como deviene de lo establecido en el art. 74 de la LOPDGDD, el hecho conllevará la calificación de infracción muy grave en los siguientes supuestos:

“j) Que el encargado no comunique al responsable acerca de la posible infracción por una instrucción recibida de este de las disposiciones del RGPD…”

“k) El incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del responsable del tratamiento”.

Como consecuencia de lo anterior, podemos determinar que el contrato de encargado del tratamiento, no solo da cumplimiento a la normativa vigente, sino que define las responsabilidades entre las partes y exige a los prestadores de servicios mayor diligencia y garantías. 

Desde GRUPO DATA, como consultoría especializada en materia de protección de datos, nos encontramos a su disposición para regular estas cuestiones y aclararle las dudas que le surjan. 

 

Publicado el 25 de Marzo de 2022
Por María González
Responsable del Departamento Jurídico

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

OBLIGATORIEDAD DE ADAPTACIÓN Y APROBACIÓN DEL PLAN DE IGUALDAD EN EL ÁMBITO LABORAL

OBLIGATORIEDAD DE ADAPTACIÓN Y APROBACIÓN DEL PLAN DE IGUALDAD EN EL ÁMBITO LABORAL

El desarrollo de políticas basadas en la igualdad efectiva, tiene su máximo exponente en la figura del Plan de Igualdad, como instrumento destinado a la integración de la igualdad en las relaciones laborales, así como, en todos los ámbitos de gestión de la entidad. 

El Real Decreto-ley 6/2019, de 1 de marzo, de medidas urgentes para garantía de la igualdad de trato y de oportunidades entre mujeres y hombres en el empleo y la ocupación, incorporó cambios muy significativos en la Ley Orgánica 3/2007, de 22 de marzo, para la igualdad efectiva de mujeres y hombres, en materia de planes de igualdad.

Entre estas importantes novedades, encontramos la modificación del artículo 45.2, estableciendo la obligatoriedad de que todas las empresas con cincuenta o más personas trabajadoras deberán elaborar y aplicar un plan de igualdad.

A efectos de que la ampliación de las empresas obligadas a realizar el plan de igualdad se realizará de modo paulatino, se incorporó una disposición transitoria décimo segunda a la Ley Orgánica 3/2007, de 22 de marzo, siendo ésta:

1. Las empresas que tengan una plantilla mínima, de acuerdo con los siguientes plazos de aplicación paulatina:

    • Desde el pasado 7 de marzo de 2020, ya deben tener aprobado los planes de igualdad las empresas que tengan entre 151 y 250 personas trabajadoras.
    • A partir del 7 de marzo de 2021, deberán tener aprobado los planes de igualdad las empresas que tengan entre 101 y 150 personas trabajadoras.
    • A partir del 7 de marzo de 2022, deberán tener aprobado los planes de igualdad las empresas que tengan entre 50 y 100 personas trabajadoras

Además, resultará obligatoria la aprobación e implantación de un Plan de igualdad, para todas aquellas entidades que:

2. La obligación se establezca a través del Convenio Colectivo de aplicación.

3. Cuando la autoridad laboral hubiera acordado en un procedimiento sancionador la sustitución de las sanciones accesorias por la elaboración y aplicación de dicho plan. 

El Real Decreto-ley 6/2019, de 1 de marzo, reguló importantes precisiones con respecto al contenido del diagnóstico y el plan de igualdad.  De un lado, las materias que deben obligatoriamente ser tratadas en el diagnóstico, siendo el contenido mínimo del plan de igualdad, por otro lado, los requisitos formales para la implantación del mismo. En cuanto a la obligatoriedad de confección de la Auditoría Salarial, todas las empresas que elaboren un plan de igualdad deben incluir en el mismo una auditoría retributiva, con los requisitos de contenido exigidos por el legislador.

Como entidad especializada en el asesoramiento en materia de cumplimiento normativo, nos encontramos a su entera disposición ante cualquier duda que pueda surgirle. 

 

Publicado el 25 de Febrero de 2022
Por María González
Responsable del Departamento Jurídico

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

CONTROLES PARA REVISAR EL CUMPLIMIENTO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN EN LO RELATIVO A RRHH

CONTROLES PARA REVISAR EL CUMPLIMIENTO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN EN LO RELATIVO A RRHH

Tras la publicación, por parte del Incibe, del documento “Políticas de seguridad para la Pyme: gestión de Recursos Humanos, desde GRUPO DATA, nos hacemos eco de las siguientes medidas de seguridad y recomendaciones, orientadas a la gestión del personal y seguridad de la información. 

Para implementar correctamente las medidas de seguridad, en base a lo establecido en el art. 24 y 32 del RGPD, es importante asegurarse que todo el personal tiene conocimiento real sobre sus derechos, deberes y responsabilidades en relación a la información (y datos de carácter personal) que trata con motivo del desempeño de sus funciones, así como de las posibles sanciones que se les podrían imponer en virtud de una actuación negligente.

De este modo, a título ejemplificativo, a continuación, detallamos algunas recomendaciones a implementar en la gestión del personal:

1. Reflejar los aspectos más importantes, relativos a la seguridad de la información en el contrato de trabajo.

El empresario, con el departamento de recursos humanos, establecerán qué aspectos relevantes en relación a la seguridad de la información deben ser reflejados en el contrato de trabajo. Se considerarán todas las responsabilidades y derechos legales en lo relacionado con la propiedad intelectual o con datos de carácter personal.

2. Firmar acuerdos de confidencialidad con la empresa.

Los empleados y colaboradores firmarán acuerdos relativos a la confidencialidad de la información de la empresa, que contendrán la siguiente información: 

  • Partes intervinientes;
  • qué información tendrá carácter confidencial;
  • compromisos por ambas partes;
  • posibles sanciones y legislación aplicable.

3. Verificar las referencias de los candidatos y verificar los datos del CV. 

En ciertas ocasiones (sobre todo para puestos de especial criticidad o con acceso a información muy confidencial) detallaremos las comprobaciones a realizar antes de incorporar a algún candidato a la plantilla. Será necesario determinar las referencias que han de ser revisadas y qué datos del currículum tienen que verificarse. Además, indicaremos qué puestos concretos necesitarán una acreditación especial de estar libre de antecedentes penales.

4. Acciones de formación y concienciación en ciberseguridad y seguridad de la información.

Estableceremos las actividades oportunas para mantener a tu plantilla concienciada y formada en todo momento en aspectos relativos a la seguridad de la información. 

5. Establecer políticas para la imposición de sanciones en caso de actuarse negligentemente en relación con la seguridad de la información.

Elaboraremos un procedimiento disciplinario formal que recoja las sanciones a aplicar en aquellos casos en los que se haya producido una negligencia en relación con la seguridad de la información (fuga o pérdida de datos confidenciales o sensibles, actuaciones intencionadas, ataques a la reputación en redes sociales, permitir ataques de terceros como infecciones por malware, etc.). Este procedimiento debe ser notificado a los empleados y estar accesible en todo momento.

6. Informar sobre cómo deberán cumplir el deber de confidencialidad una vez finalizada la relación laboral y revocar los permisos de acceso. 

Para evitar fugas de información es importante comunicar a los empleados las responsabilidades y obligaciones de seguridad y confidencialidad que deberán cumplir una vez finalizada la relación contractual.

7. Otorgar permisos de acceso a la información en función de los roles desempeñados por cada uno.

Si queremos garantizar que cada empleado solo acceda a la información oportuna, deberemos darle de alta en los sistemas de acuerdo con las políticas de control de acceso (físico y lógico) correspondientes. 

En este punto, entre otras, realizaremos las siguientes acciones:

  • Entregar las tarjetas de acceso físico; n asignar las cuentas de correo electrónico;
  • conceder los permisos de acceso a servicios, aplicativos y recursos compartidos; 
  • asignar el puesto de trabajo, los dispositivos y equipos.

8. Asegurarse de que los empleados aceptan y comprendes las políticas y cláusulas de seguridad de la información.

Del mismo modo que en su incorporación damos los accesos y permisos oportunos a los nuevos empleados para que puedan realizar su trabajo, al finalizar la relación contractual los revocaremos:

  • Recogiendo las tarjetas de acceso y los dispositivos entregados;
  • eliminando sus cuentas de correo;
  • eliminando sus permisos de acceso a sistemas y aplicativos

Desde GRUPO DATA, como consultora especializada en materia de protección de datos y seguridad de la información, nos encontramos a su disposición para la implementación de las soluciones y medidas de seguridad en base a la situación de su compañía.

 

 

Publicado el 28 de Enero de 2022
Por María González
Responsable del Departamento Jurídico

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

CERTIFICADO COVID19 Y LA PROTECCIÓN DE DATOS DEL TITULAR

CERTIFICADO COVID19 Y LA PROTECCIÓN DE DATOS DELTITULAR

Como consecuencia del escenario actual, a consecuencia de la pandemia por la COVID19, una de las medidas adoptadas por parte de algunas CCAA consiste en la solicitud del Certificado COVID19 para la entrada en determinados establecimientos (ligados a ocio nocturno, restauración, espacios cerrados, etc.). En cualquier caso, se trata de medidas destinadas a la contención y control de la situación, y limitadas a fin anterior. 

El Certificado COVID Digital UE es un documento con lectura QR, que facilita la libre circulación segura de la ciudadanía dentro de la Unión Europea durante la pandemia del COVID-19.

En este sentido, son numerosas las Comunidades autónomas que han optado por la aprobación de esta medida que debe ser tratada con especial atención, con motivo de la incidencia en materia de protección de datos.

A continuación, detallamos algunas de las imposiciones que, de forma general, podemos resaltar y que todas aquellas entidades que deban solicitar el Certificado COVID19, a sus clientes, deberán tener en consideración.

  • Los responsables de los establecimientos, eventos, actividades y lugares deberán garantizar el respeto a la normativa vigente en materia de protección de datos.
  • Cumplir con el deber de información a los titulares de los datos.
  • El acceso resulta limitado a la verificación, con la imposibilidad de conservar los datos en sistemas. 
  • Medidas implantadas a la hora de solicitar el Certificado COVID19, garantizando la máxima protección del titular.
  • Instrucciones sobre el tratamiento de datos, al personal de la entidad que solicite el Certificado COVID19 al cliente. 

Como todos sabemos, nos encontramos en una situación excepcional, en un contexto epidemiológico, en el que se adoptan medidas en ponderación de derechos fundamentales, como es la protección de datos. Pero en ningún caso, esta situación puede derivar en una vulneración de los mismos, es decir, se trata de adoptar medidas, pero bajo unas garantías y premisas.

 

 

Publicado el 30 de Diciembre de 2021
Por María González
Responsable del Departamento Jurídico

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

PROTECCIÓN DE DATOS EN NAVIDAD

PROTECCIÓN DE DATOS EN NAVIDAD

Con motivo de estas fechas navideñas, marcadas por las cenas de empresas, eventos con niños, compras a través de internet… debemos tener en cuenta la normativa de protección de datos, para que nuestra única preocupación sea disfrutar de esta festividad. En este sentido, a lo largo de este post, resolveremos algunas dudas, que resultan frecuentes. 

¿Envío de felicitaciones de navidad y límites de la normativa en protección de datos?

En primer lugar, debemos hacer distinción entre el envío de tarjetas o felicitaciones navideñas en el ámbito personal y profesional. En este sentido, la normativa vigente de protección de datos, no impide que los ciudadanos remitan estas tarjetas dentro de su ámbito personal, destinadas a amigos o familiares.

Cuestión distinta resulta el envío de felicitaciones corporativas, siendo exigible el cumplimiento de los requisitos que establece la normativa. En este supuesto, las organizaciones deben tener una justificación para realizarlo con base en algún tipo de legitimización en la que, dependiendo del caso, podría enmarcarse el interés legítimo. Además, si en estas comunicaciones se realiza algún tipo de oferta o publicidad, se deberá cumplir con las obligaciones que marca la legislación para este tipo de comunicaciones comerciales.

 

¿Vas a comprar en una tienda online?

Es una realidad afirmar que el comercio electrónico es uno de los canales principales de compraventa, y más en estas fechas navideñas, marcadas por el consumo.

En este sentido, en el informe de Ayden se sitúa al canal online como el segundo canal donde más ventas se generan. Además, también es interesante observar que las transacciones efectuadas a través de las aplicaciones y redes sociales suponen ya el 14% y 10%. De hecho, el comercio electrónico seguirá en forma de cara la próxima campaña de Navidad: según las predicciones que hace la compañía estadounidense de software Salesforce, las ventas online en todo el mundo se alzarán un 7%.

A lo largo del proceso de compra online, el consumidor puede ver comprometida su seguridad o privacidad, además de vulnerados sus derechos. En este sentido, a continuación, enumeramos una serie de consejos, facilitados por la autoridad de control, la Agencia Española de Protección de Datos.

 

Comprobar información legal del comercio: 

La información de la tienda online, requerida por distintas normas legales, suele incluirse en páginas con denominaciones como “Aviso legal”, “Términos de uso” o “Política de privacidad”. Éstas suelen ser accesibles mediante enlaces ubicados en los extremos superior o inferior de la página principal del comercio online. 

La información legal es fundamental porque: 

  • Ante un posible conflicto permite saber contra quién debemos reclamar.
  • Determina las leyes aplicables y las autoridades de control competentes.
  • Permite conocer los derechos que asisten a los usuarios. Es obligatorio que el comercio online proporcione, entre otros, estos datos
    • Nombre completo de la entidad (persona física, sociedad, fundación, etc.)
    • Número de identificación fiscal (NIF, NIE o CIF)
    • Datos de su inscripción en el registro mercantil
    • Dirección postal

Si recaban datos personales, deberán informar, entre otros datos: 

  • Quién es el responsable del tratamiento de datos, la finalidad del mismo y la legitimación para tratarlos.
  • El plazo de conservación de los datos, y la posibilidad de ejercitar los derechos de protección de datos.

¿Una de tus compras será un juguete conectado a Internet? 

En este sentido, a la hora de adquirir juguetes conectados a Internet, debemos tener en cuenta que estos intercambian información con fuentes externas y que, además requieren la instalación de una aplicación en el dispositivo móvil. La consecuencia es que, este tipo de juguetes, son capaces de recopilar información sobre el menor que lo usa, implicando que debamos prestar especial atención a qué pueden hacer, qué información recogen, etc., para poder proteger la privacidad del menor. 

En el caso de que te hayas decidido a regalar un juguete de estas características, a continuación, indicamos una serie de recomendaciones de la autoridad de control:

Su uso suele requerir la descarga de una aplicación en un dispositivo móvil. Pero, ¿cómo funcionan? Cuando captan imágenes o voces las envían a la aplicación, que a su vez las transmite a través de internet. Cuando se procesa la información, la contestación -ya sea una frase pregrabada o información obtenida en la Red- viaja de vuelta al juguete, que ofrece al usuario una respuesta.

Para completar este proceso, el juguete cuenta con herramientas como micrófono, cámara, altavoces o pantalla, que recopilan información sobre los usuarios -en su mayor parte menores- lo que puede suponer un riesgo para su privacidad y la protección de sus datos.

También es aconsejable saber qué datos se transmiten por internet, con qué objetivo y su destino final, así como los datos que se reciben de la Red y de dónde proceden. Es igualmente importante plantearse cómo se protegen los datos recogidos, el lugar donde van a almacenarse y si se van a enviar a terceros.

 

¿Captar imágenes de la obra de navidad del Colegio?

Decenas de padres, madres y familiares acuden estos días a colegios para presenciar funciones, conciertos u otro tipo actos en los que los más pequeños de la casa son los protagonistas y, como es lógico, aprovechan las cámaras de sus teléfonos móviles para conseguir un recuerdo de este momento en forma de foto o vídeo.

No existe ningún problema en tomar estas imágenes siempre y cuando se realice un uso personal y privado de las mismas. Si se difunden fuera de este ámbito familiar o de amistad como en redes sociales o páginas de Internet de acceso público, se podrían estar vulnerando los derechos de otros niños que aparecen, ya que para publicarlas se necesita el consentimiento de sus padres y tutores o de los propios menores si tienen más de 14 años.

 

¿Y las de la cena de empresa?

Del mismo modo, es habitual tomar fotos y vídeos de la cena de navidad de la empresa y que terminen en alguna red social. Debemos tener en cuenta que lo que hoy nos parece muy gracioso, puede afectarnos de manera negativa en un futuro. Piénsalo dos veces dos veces antes de compartir este contenido.

Si eres el autor de la imagen, recuerda que necesitas el permiso de las personas que aparecen para subirlas a Internet y que si lo haces sin ese consentimiento podrías estar cometiendo una infracción que, incluso, y dependiendo de las circunstancias, podría llegar a ser delito.

Desde GRUPO DATA, como especialistas en materia de protección de datos y seguridad de la información, le animamos a que, si desea obtener mayor información o asesoramiento, no dude en contactar con nosotros.

 

 

Publicado el 26 de Noviembre de 2021
Por María González
Responsable del Departamento Jurídico

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

LA CULTURA DE PROTECCIÓN DE DATOS» MEDIANTE LA FORMACIÓN

«LA CULTURA DE PROTECCIÓN DE DATOS» MEDIANTE LA FORMACIÓN

La formación del personal en cumplimiento de la Responsabilidad Proactiva y la protección de datos «desde el diseño”. 

En base al principio de «información y formación», el Responsable del tratamiento, para garantizar el cumplimiento en materia de protección de datos, debe habilitar y fomentar la formación e información del personal implicado en el tratamiento de los mismos, involucrando a los empleados en la denominada «cultura de protección de datos».

De igual modo, la autoridad de control, la Agencia Española de Protección de Datos, ha puesto de manifiesto que la utilización de medidas como la formación del personal define de forma explícita la intención y diligencia del responsable del tratamiento.

Además, debemos resaltar el riesgo que entraña el desconocimiento de la normativa en materia de protección de datos, pudiendo derivar en la causa de algún incumplimiento y una posterior sanción a la entidad. Las empresas se encuentran ante una obligación explícita de la propia normativa de protección de datos y de cualquier protocolo de seguridad de la información ya que, si el empleado no sabe, no puede cumplir con las obligaciones impuestas.

En este sentido, las entidades Responsables del tratamiento, debe adoptar un plan de formación y concienciación destinado a los usuarios intervinientes en el tratamiento de datos.

Desde GRUPO DATA, como entidad especializada en el asesoramiento en materia de protección de datos y seguridad de la información, os facilitamos una propuesta de plan formativo, destinado a la implantación de la cultura de protección de datos, siendo este:

1 Introducción materia de Protección de Datos
1.1 Antecedentes Legislativos y marco normativo actual
1.2 Novedades del Reglamento Europeo de Protección de Datos

1.3 Novedades Ley Orgánica 3/2018, de 5 de diciembre.

2 Figuras esenciales en materia de Protección de Datos
2.1 El Responsable del tratamiento
2.2 Funciones y obligaciones del Responsable del tratamiento
2.3 Corresponsables en el tratamiento de los datos
2.4 El encargado del tratamiento y su relación contractual con el responsable
2.5 Contenido mínimo de un contrato del art. 28 del RGPD

3 El registro de las actividades del tratamiento (RAT)
4.1 Contenido mínimo el RAT (art. 30 del RGPD)
4.3 Tratamiento de categorías especiales de datos personales
4.4 Situaciones específicas en el tratamiento de los datos personales

4 Deber de información a los interesados
4.1 El principio de transparencia
4.2 La información por capas
4.3 El consentimiento en el tratamiento de los datos personales

6 Ejercicio de los derechos de los interesados y las brechas de seguridad
6.1 Los derechos de los interesados en materia de Protección de Datos
6.2 Las brechas de seguridad

7 La Evaluación de Impacto y el Delegado de Protección de Datos
7.1 La Evaluación de Impacto (EIPD)
7.2 El Delegado de Protección de Datos (DPD)

8 Caso práctico: implantación en materia de Protección de Datos

 

Contenido actividad formativa. 

 

El plan de formación debe estar fundamentado en los tratamientos de datos de carácter personal identificados y, por lo tanto, debe prever acciones formativas específicas dirigidas a los usuarios intervinientes en el tratamiento de datos de carácter personal. 

 

Al mismo tiempo y con una periodicidad anual; deberán documentar el grado de cumplimiento del plan de formación. 

 

¿Quiénes deben nombrar un DPO? 

 

La acción formativa; en materia de protección de datos, se ha de dirigir para cumplir con los siguientes objetivos: 

  • Fomentar la formación e información del personal implicado en el tratamiento de los mismos, involucrando a los empleados en la denominada «cultura de protección de datos».
  • Dotar a los usuarios; de los conocimientos prácticos que les permitan el conocimiento e importancia del tratamiento de datos de carácter personal.
  • Sensibilizar a empleados del Responsable del tratamiento, sobre la importancia y la necesidad del correcto cumplimiento de las obligaciones de cumplimiento; impuestas por la normativa vigente.

 

Publicado el 27 de Octubre de 2021
Por María González
Responsable del Departamento Jurídico

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

DELEGADO DE PROTECCIÓN DE DATOS, UNA FIGURA DE OBLIGADO CUMPLIMIENTO

DELEGADO DE PROTECCIÓN DE DATOS, UNA FIGURA DE OBLIGADO CUMPLIMIENTO

Esta figura constituye uno de los elementos claves del RGPD y un garante del cumplimiento de la normativa de protección de datos en las organizaciones, si bien la responsabilidad sobre este cumplimiento recae en el responsable o encargado del tratamiento. 

 

La introducción de la figura del Delegado con el nuevo RGPD 

 

Desde mayo del 2018 resulta de obligado cumplimiento el nuevo Reglamento Europeo de Protección de datos (en adelante RGPD), con el que nace una nueva figura denominada Delegado de Protección de datos (en adelante DPO). Esta figura tiene entre sus funciones principales asesorar, supervisar, e informar de las obligaciones y políticas en materia de protección de datos. También tiene como función, actuar como intermediario entre las autoridades de control en esta materia (Agencia Española de Protección de Datos, en adelante AEPD o agencias autonómicas) y el propio Responsable del Tratamiento.

 

¿Quiénes deben nombrar un DPO? 

 

El RGPD, en su artículo 37.1, recoge los supuestos en que es obligatorio la designación de un Delegado de Protección de Datos, y que son los siguientes:

  • El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial. 
  • Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala. 
  • Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10. 

La Ley de protección de datos española (en adelante LOPDGDD), aclara y establece taxativamente, en su articulado 34, los supuestos en lo que resulta obligatorio contar con un Delegado de Protección de datos. 

 

¿Cuáles son las funciones de esta figura? 

 

Establecido lo anterior y como concreción del papel y función del DPO, deben tenerse en cuenta las siguientes consideraciones: 

    1. El DPO responde y debe reportar sobre su trabajo (informes, recomendaciones, etc.), directamente al Responsable de tratamiento (en adelante RT) u órgano directivo de la organización; de esta manera, éste se convierte en el interlocutor válido del DPO (art. 36.4 LOPDGDD). Dicho artículo establece que el DPO en el caso de documentar una vulneración en materia de protección de datos, procederá a la comunicación inmediata a los órganos de administración y dirección del Responsable o del Encargado. A su vez. Tanto el RT como el ET deben respaldar al DPO en el ejercicio de sus funciones (Art. 38.2).
       
    2. El DPO debe disponer de medios y recursos adecuados y suficientes para el desarrollo de sus funciones; por lo tanto, el RT o ET deben, en el momento de su designación concretar dichos recursos a disposición del DPO (Art. 38.2 del RGPD).
       
    3. Tanto en el caso de DPO interno como externo, se garantizará por parte del RT o ET la independencia y autonomía del DPO en el desarrollo de sus funciones. Para garantizar dicha autonomía e independencia, al margen de que no exista conflicto de intereses a la hora de su nombramiento, el DPO no podrá ser sancionado ni removido de su puesto por el desarrollo de sus funciones, salvo dolo o negligencia por su parte (Art. 38.3 RGPD).
       
    4. Por su parte, el DPO está obligado a mantener el secreto y la confidencialidad respecto a aquella información o datos a los que acceda con motivo del desarrollo de sus funciones (Art 38.5).

 

  • Según el art. 36.1 de la LOPDGDD, el DPO, en el desarrollo de sus funciones como tal, podrá inspeccionar procedimientos relativos a la protección de datos, acceder a datos personales y procesos de tratamiento, no pudiendo oponerse el RT o ET a dicho acceso.
    En este apartado cabría resaltar que sería muy conveniente y deseable que el RT o ET contaran con el asesoramiento previo del DPO a la hora de establecer dichos procesos o procedimientos; por tanto, nuestra recomendación es que la figura del DPO en las entidades sea incluida en las reuniones de la dirección estratégica de la misma, de tal forma que, la materia de protección de datos sea tenida en cuenta desde el diseño de dicha estrategia (“privacy by design”). De esta manera se garantizará el cumplimiento del art. 38.1 del RGPD: garantizar la “participación adecuada y en tiempo”, en todo lo concerniente a la Protección de Datos. 

 

 

  • En caso de que un interesado (titular de los datos) pretendiera presentar una reclamación, ejercer algún derecho en materia de protección de datos, así como realizar cualquier consulta relativa a la misma, ante el RT o ET, podrá dirigirse al DPO (art. 37.1 de la LOPDGDD).
    De hecho, los interesados podrán ponerse directamente en contacto con el DPO, para cualquier cuestión relativa a la Protección de Datos (Art. 38.4 RGPD).

 

 

  • En el supuesto de que dicha reclamación del interesado se dirigiera directamente a la autoridad de control, ésta la trasladará al DPO, para que le dé respuesta en el plazo de 1 mes al interesado, así como a la autoridad de control (art. 37.2 de la LOPDGDD). 

 

 

De manera ilustrativa, a continuación, contemplamos la regulación establecida en el RGPD, en relación a las funciones del DPO, en concreto en su art 39: 

A) En primer lugar, debemos indicar que lo que el RGPD establece en este artículo como Funciones del DPO es un catálogo de mínimos, es decir, se le pueden asignar más funciones por parte del RT o del ET. 

B) En cuanto a sus funciones concretas. 

    • Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en protección de Datos. De esta función se puede inferir que es competencia del DPO la formación de dichos empleados.
    • Supervisar el cumplimiento de lo dispuesto en la normativa de  protección de datos y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
    • Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.
    • Cooperar con la autoridad de control.
    • Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

 

Publicado el 27 de Septiembre de 2021
Por María González
Responsable del Departamento Jurídico

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.