PROTECCION DE DATOS

LAS 10 CLAVES PARA TENER ADAPTADO TU NEGOCIO A LA NORMATIVA DE PROTECCIÓN DE DATOS (RGPD Y LOPD).

Las 10 claves para tener adaptado tu negocio a la normativa de Protección de Datos (RGPD Y LOPD): Nuevo Artículo de OYA Abogados & Asesores

Hoy, con motivo del Día Europeo de la Protección de Datos, en Oya Abogados & Asesores te contamos las 10 claves para tener adaptado tu negocio a esta normativa

1.CLAUSULAS INFORMATIVAS.

Uno de los principios básicos en materia de protección de datos es la información. Se debe proporcionar a los usuarios y clientes la información básica de protección de datos de forma clara y concisa. Esto se debe hacer a través de las cláusulas informativas (en correo electrónico, facturas, presupuestos, formularios de recogida de datos, etc.). Se especificará quien es el responsable, la finalidad, destinatarios, plazo de conservación y la posibilidad de ejercer los derechos. Además, habrá que informar de donde se puede obtener información adicional, completa y más detallada relativa al tratamiento de los datos.

2.OBTENER EL CONSENTIMIENTO.

Para el tratamiento de datos se debe contar con el debido consentimiento del usuario (siempre y cuando no se cuente con otra base de legitimación como el cumplimiento de una obligación legal, la ejecución de un contrato, interés legítimo).

El consentimiento debe ser expreso y otorgarse de forma individualizada, es decir, se tiene que dar un consentimiento para cada una de las finalidades con las que se quiera utilizar los datos.

Esto se aplicaría, por ejemplo, en el caso de querer enviar publicidad o información comercial a los clientes y/o usuarios. Si se tiene pensado hacer una newsletter para nuestros clientes habrá que pedir el consentimiento para poder incluirlos en la misma. No obstante, en este supuesto existe una excepción, puesto que se podrá enviar información comercial a clientes cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

3.FORMACIÓN Y CONFIDENCIALIDAD DE EMPLEADOS.

El papel de los trabajadores es fundamental en el tratamiento de los datos de carácter personal. Normalmente, tienen un acceso continuado a datos de los clientes y usuarios por lo que es importante que reciban una formación con las obligaciones que tienen en materia de protección de datos para evitar posibles vulneraciones de la normativa de protección de datos.

Además, se les deberá informar sobre el tratamiento que la propia empresa hace de sus datos (la base de legitimación es la ejecución de un contrato laboral), así como firmar con ellos el correspondiente compromiso de confidencialidad.

4.CONTRATOS ENCARGADOS DE TRATAMIENTO Y COLABORADORES.

Con todos aquellos proveedores que para la prestación de sus servicios accedan a datos de carácter personal de los que disponemos, habrá que firmar el correspondiente contrato de encargado de tratamiento.

En el mismo se recogerán las obligaciones de ambas partes, la asistencia en materia de protección de datos, el destino de los datos una vez finalizada la relación contractual, la posibilidad o no de subcontratar, etc.

5.REGISTRO DE ACTIVIDADES.

Aunque no es obligatorio en todos los casos, se recomienda siempre contar con un Registro de Actividades en el que se detallen todos los tratamientos que se realizan en el negocio, se recoja la finalidad, los destinarios, los colectivos afectados, que tipo de datos se incluyen y una breve descripción de las medidas de seguridad.

No podemos olvidar que, si se trata de una entidad pública, el Registro de Actividades debe ser publicado.

6.ANALISIS DE RIESGOS Y EVALUACIÓN DE IMPACTO.

Toda entidad debe realizar un análisis de riesgos en el que se valoren los tratamientos que se realizan y los riesgos que pueden tener sobre los derechos y libertades de los interesados. Con este análisis se determinarán las medidas de seguridad técnicas y organizativas que garanticen dichos derechos y libertades de los interesados, considerando que el nivel de riesgo al que están expuestas las actividades de tratamiento no es elevado.

En caso de que el tratamiento de datos entrañe un alto riesgo para los derechos y libertades habrá que realizar una evaluación de impacto (EIPD). Ésta se exige, además, siempre en los siguientes casos: 1) cuando se realiza una evaluación sistemática y exhaustiva de aspectos personales de una persona, incluida la elaboración de perfiles; 2) cuando hay un tratamiento a gran escala de datos sensibles; y 3) cuando hay una observación sistemática a gran escala de una zona pública.

7.ADAPTACIÓN DE LA PAGINA WEB.

Las páginas webs corporativas tienen que cumplir también con unas obligaciones. En este sentido, deben contener los correspondientes textos legales (aviso legal, política de privacidad y política de cookies). Es muy importante que los formularios de recogida de datos pidan el consentimiento y den la información de protección de datos.

Resulta imprescindible que, si existen cookies, haya un texto emergente que avise de su existencia y de la opción tanto de aceptar como de rechazar las mismas.

8.GARANTÍA DE LOS DERECHOS DIGITALES.

Actualmente, también hay que tener en cuenta los derechos digitales contenidos en la nueva LOPD y establecer protocolos que garanticen el derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral, así como dispositivos de videovigilancia, grabación de sonidos y de geolocalización.

9.VIDEOVIGILANCIA.

Si en los locales hay instalado un sistema de videovigilancia, es imprescindible que se avise de su existencia a través de la colocación de carteles en los que se haga constar quien es el responsable y la dirección ante la que ejercer los derechos.

No podrá instalarse videovigilancia en las zonas comunes o en las zonas destinadas a descanso del personal. Por otro lado, si las imágenes resultantes de la videovigilancia se quieren usar para ejercitar control laboral, habrá que informar de forma previa a los trabajadores de dicha finalidad.

10.DELEGADO DE PROTECCIÓN DE DATOS.

Habrá que analizar si en nuestra entidad es necesaria la designación de un Delegado de Protección de Datos (DPD). Esta figura es obligatoria cuando se da alguna de las siguientes circunstancias: a) el tratamiento lo lleva a cabo una autoridad u organismo público; b) se realiza una observación habitual y sistemática de interesados a gran escala; o c) se realiza un tratamiento a gran escala de datos relativos a condenas e infracciones penales o datos relativos a salud, ideología, biométricos, etc.

Fuera de estos supuestos obligatorios, se puede designar un DPD siempre que así desee. La designación voluntaria demuestra el cumplimiento del principio de proactividad que a lo largo de todo su articulado se recoge en el RGPD.

Límite mínimo por debajo del cual no podrá situarse ningún salario

Rocío López, Departamento Jurídico de Oya Abogados & Asesores

Si quieres adaptar tu negocio a esta normativa, OYA ABOGADOS Y ASESORES puede ayudarte.

Puedes encontrarnos en Camino de Ronda, 133 (18003 – Granada) o en el teléfono 958 094 400.

Abrir chat