Este sitio web utiliza cookies para poder mejorar la calidad de servicios. La información sobre las cookies se almacena en su navegador y nos ayuda a conocer detalles de su navegación en la página web, así como analizar secciones y realiza funciones como reconocerlo cuando regresa a nuestro sitio web y ayudar a analizar qué secciones del sitio web le resultan más interesantes y útiles.
Para adecuarnos a la adaptación RGPD, es necesario llevar a cabo un estudio de seguridad previo que permita cumplir con los requisitos de seguridad de activos, tratamientos y usuarios, entre otros aspectos.
En la adaptación al RGPD, es necesario cumplir con los requisitos legales de protección de datos europeos, la Ley de Servicios de la Sociedad de la Información y la Ley General para la Defensa de los Consumidores y Usuarios.
Céntrate en tu negocio y deja los trámites en manos de una asesoría para emprendedores
En Supra Legit nos encargamos de todo lo que necesita para poner en marcha tu negocio al mejor precio, y le ayudamos con todos los trámites necesarios para que tu nuevo negocio pueda ponerse en marcha y funcionar.
¿Qué es la adaptación RGPD y cómo afecta a las empresas?
El RGPD es una normativa que establece los límites en cuanto al uso de nuestros datos por parte de las empresas.
Se puso en vigor en mayo de 2016 y a partir del 25 de mayo de 2018 es obligatorio para todas las entidades.
Esto nos otorga mayores derechos para decidir cómo queremos que nuestros datos sean tratados y además nos garantiza que se respetarán nuestros derechos si se usan sin nuestro consentimiento.
Aspectos que deben de tener en cuenta las empresas ante la adaptación RGPD
Datos personales
Los datos personales son cualquier tipo de información relacionada con una persona en particular, incluyendo su nombre, dirección, datos clínicos, religiosos, DNI, datos económicos y culturales.
El Reglamento General de Protección de Datos (RGPD) actual establece unas normas más estrictas que la Ley Orgánica de Protección de Datos (LOPD) anterior, con el fin de garantizar la seguridad de los datos personales de los ciudadanos y su cumplimiento.
Mayor transparencia
Según el Reglamento General de Protección de Datos (RGPD), las empresas tendrán la obligación de informar a los usuarios acerca de para qué usarán los datos que recogen.
Además, deberán proporcionar pruebas de que los datos sólo se usarán para los fines para los que fueron recopilados.
Consentimiento explícito
No es suficiente con asumir que un usuario nos ha dado su consentimiento para recolectar sus datos. Ahora, debemos obtener una aprobación clara de la persona antes de hacerlo.
Los usuarios también pueden revocar su consentimiento en cualquier momento para eliminar su información de la base de datos de la empresa. El nuevo RGPD exige que la persona que suministra los datos sea plenamente consciente de ello.
Esto es considerablemente diferente al antiguo Reglamento de Protección de Datos y requiere que revisemos los contratos y cláusulas.
Figura del DPO
El nuevo reglamento requiere la figura de un delegado de protección de datos que sea responsable de identificar todos los posibles riesgos relacionados con el tratamiento de datos y buscar soluciones para ellos.
Esta figura será necesaria en todo tipo de entidades, tanto para las administraciones públicas como para aquellas empresas que tratan grandes cantidades de datos. El delegado puede ser un empleado dentro de la organización o un profesional externo contratado para este cometido.
Servicios que prestamos a los emprendedores
En Supra Legit ofrecemos varios servicios legales y fiscales para los emprendedores que quieren tener éxito en su proyecto.
Desde nuestra página web puede ponerse en contacto con nuestra marca, donde le facilitaremos toda la información necesaria con su negocio.
A continuación tiene los diferentes tipos de asesoramiento que ofrecemos a los emprendedores, para que usted tome la mejor decisión sobre su emprendimiento.
Adaptación RGPD, cumplimiento obligatorio en la Unión Europea
Desde el 25 de mayo de 2018, el RGPD establece que empresas, autónomos, organismos públicos, asociaciones y comunidades de propietarios deben tratar los datos personales de manera adecuada.
En España, la Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) complementa en algunos aspectos al RGPD y también debe ser considerada en materia de protección de datos.
A pesar de esto, muchas empresas, startups y diferentes profesionales aún tienen dudas sobre cómo cumplir con la normativa de protección de datos.
Veamos a continuación los puntos esenciales:
Aplicar la normativa
El RGPD representa un compromiso auténtico de empresas y autónomos con la protección de datos, pero esto no necesariamente significa una mayor carga de trabajo.
Es fundamental conocer las obligaciones que establecen el RGPD y la LOPDGDD, y contar con la información que nos ofrece el asesoramiento profesional adecuado para su cumplimiento.
En caso de que la empresa no dispone del tiempo necesario para llevar a cabo todo el proceso, puede delegar parte del trabajo en un consultor especializado.
Si antes de mayo de 2018 la empresa gestionaba correctamente los datos personales, el cambio de normativa solo implica una continuación o reemplazo de las medidas que ya se estaban aplicando.
Obtención del consentimiento
Uno de los cambios más significativos que ha traído el RGPD es la forma en que se obtiene el consentimiento para el tratamiento de datos personales.
Antes de mayo de 2018, había varias formas de obtener el consentimiento, pero con el RGPD, sólo se puede hacer mediante una declaración explícita del interesado.
Prácticas como el consentimiento tácito o por inacción del interesado están prohibidas.
Sin embargo, todavía se pueden leer mensajes en los banners de aviso de cookies de alguna página web que dice «si sigues navegando, entenderemos que estás de acuerdo», lo cual tampoco es correcto. En las páginas web, se pueden utilizar casillas de verificación para obtener el consentimiento, pero no se pueden utilizar casillas preseleccionadas.
Además, el consentimiento debe darse por separado para cada finalidad de tratamiento y debe ser verificable.
Por ejemplo, el usuario debe dar su consentimiento para recibir la newsletter, participar en un sorteo o autorizar la publicación de su imagen en redes sociales. Es posible que deban marcarse varias casillas o firmarse varios documentos.
La única excepción en la que no es necesario recopilar el consentimiento explícito para enviar comunicaciones comerciales es cuando se trata de clientes existentes del negocio.
En estos casos, el tratamiento se realiza bajo el amparo del interés legítimo o por la ejecución de un contrato (cliente-proveedor).
Cláusulas informativas y avisos de privacidad
Es esencial garantizar que los textos legales en tu sitio web y otros medios (correo electrónico, contratos, facturas, etc.) se actualicen de acuerdo con la normativa vigente.
Deben incluir información como la base jurídica del tratamiento, el plazo de conservación, los criterios para su determinación, la posibilidad o no de transferencias internacionales de datos, así como los derechos que la legislación confiere al titular sobre sus datos.
Además, estos textos deben ser concisos, transparentes, inteligibles, accesibles, con un lenguaje claro y sencillo, por escrito y de acceso gratuito.
Es importante evitar textos largos, incomprensibles y que oculten información detrás de múltiples enlaces y redirecciones.
Hay que facilitar al usuario la comprensión de la información, ya que, de lo contrario, puede sentirse incómodo o incluso denunciarnos.
Los contratos con terceros encargados de tratamiento
Los terceros que nos prestan servicios y a los que les facilitamos datos personales nuestros y de otros, se les conoce como encargados de tratamiento (ET).
Desde mayo de 2018, la adaptación al RGPD implica que es necesario firmar nuevos contratos con todos los encargados de tratamiento de nuestro negocio.
Para cumplir con lo que indica el RGPD, estos contratos deben incluir una descripción detallada de los servicios prestados, las medidas aplicadas en relación al tratamiento de los datos personales, posibles transferencias internacionales de datos, subcontrataciones, los derechos de los usuarios que el encargado de tratamiento se compromete a respetar, entre otros aspectos.
Niveles de seguridad
Con la nueva normativa RGPD, se establece que todos los datos personales deben ser tratados con medidas de seguridad estándar, mientras que los datos genéticos, biométricos, de salud, de menores, de antecedentes penales, de comportamientos y hábitos, de orientación sexual o política, se consideran categorías especiales y requieren un tratamiento con mayor seguridad.
Esto se diferencia de la antigua LOPD, que dividía los datos en tres niveles de seguridad (básico, medio y alto) exigiendo medidas diferentes para cada uno.
Medidas de seguridad que hay que aplicar
El Reglamento General de Protección de Datos (RGPD) no proporciona una lista específica de medidas de seguridad que deban aplicarse. En cambio, introduce el concepto de responsabilidad proactiva (accountability).
Esto significa que quienes tratan datos personales deben adoptar las medidas necesarias para garantizar los criterios de seguridad adecuados, como la confidencialidad, integridad, disponibilidad y resiliencia.
En Supra Legit le recomendamos algunas medidas clave para asegurar la conformidad con el RGPD.
- La empresa debe tomar en consideración los aspectos relacionados con la protección de datos personales al tomar decisiones.
- Es necesario implementar la protección de datos por defecto y desde el diseño, así como contar con medidas técnico-organizativas adecuadas, registrar las actividades de tratamiento de datos, realizar análisis de riesgos y evaluaciones de impacto y, si es necesario, nombrar un delegado de protección de datos.
- También es imprescindible notificar a los interesados y a la Agencia Española de Protección de Datos en caso de violación de la seguridad de los datos y documentar estas medidas para que sean aplicables en todo momento.
Registro de ficheros en la AEPD
La antigua obligación de inscribir los ficheros en la Agencia de Protección de Datos dejó de existir el 25 de mayo de 2018. Esto significa que los responsables de tratamiento y los encargados de tratamiento ya no tienen que preocuparse por este trámite.
Sin embargo, algunos todavía hacen referencia a él. Esto significa que no han hecho la adaptación necesaria al RGPD.
Con la implantación del nuevo RGPD requiere que el responsable del tratamiento y el encargado del tratamiento mantengan un registro de actividades que cumpla los contenidos mínimos establecidos por la normativa y que refleje la realidad de la empresa.
Los nuevos derechos: limitación, olvido y portabilidad
La Ley Orgánica de Protección de Datos 15/1999 contemplaba los derechos ARCO (acceso, rectificación, cancelación y oposición) de los titulares de los datos.
El Reglamento General de Protección de Datos (RGPD) añade tres nuevos derechos: el derecho al olvido, el derecho a la portabilidad y el derecho de limitación.
El derecho al olvido se refiere a la cancelación y oposición de los datos en buscadores de internet.
El derecho a la portabilidad permite a los interesados recuperar sus datos de forma estructurada para trasladarlos a otro responsable.
El derecho de limitación da al usuario la capacidad de decidir qué datos ceder al responsable del tratamiento, así como los límites que establecer (temporales, geográficos, de alcance, etc.).
Régimen de sanciones
Las sanciones aplicadas pueden variar dependiendo del volumen de negocio de la empresa. Estas pueden ser directas, hasta un máximo de 20 millones de euros, o un porcentaje entre el 2% y el 4% del valor del volumen neto de negocios del ejercicio anterior.
Delegado de Protección de Datos Personales
Las empresas de cierto tamaño o con tratamientos de datos específicos tienen la recomendación de designar a un Delegado de Protección de Datos (DPD).
Sin embargo, hay algunos casos en los que esta designación es obligatoria, tales como cuando la empresa es de cierto tamaño o está realizando tratamientos de datos específicos:
- Cuando se trate de una entidad gubernamental, a excepción de los tribunales cuando estén ejerciendo su función jurisdiccional.
- Si su negocio se centra principalmente en la realización de operaciones que requieren una vigilancia frecuente y organizada de un gran número de partes interesadas, como, por ejemplo, empresas de publicidad y prospección comercial, entonces esta descripción se aplica.
- Las actividades principales de algunas empresas incluyen el tratamiento a gran escala de datos personales especialmente protegidos por la Ley 2/2006 de Educación. Estas empresas tratan de manera sistemática y a gran escala datos relacionados con la ideología, el sexo, la religión, la política, el sindicato, la salud, los datos biométricos o genéticos.
También ha publicado, la AEPD, y controla el Esquema de Certificación de Delegados de Protección de Datos. Por tratarse de una figura relevante para las empresas, es importante seleccionar un DPD con la mejor cualificación, lo que quiere decir que esté certificado.
La Autoridad Española de Protección de Datos (AEPD) ha creado un Esquema de Certificación de Delegados de Protección de Datos.
Esto significa que las empresas deben asignar un DPD con la mejor cualificación, lo que implica que esté certificado. Puede ser interno o externo, es decir, externalizar el servicio cuando la empresa no tenga un personal formado para llevarlo a cabo.
La persona designada debe ser profesional con conocimientos especializados en Derecho y experiencia en materia de protección de datos.
Opiniones de clientes
Medios
Beneficios de Supra Legit
Los clientes del despacho de abogados Supra Legit son tanto personas jurídicas, como personas físicas de diferente nacionalidad, y este extremo define nuestro método de actuación y resolución de problemas. Nos enfocamos en la resolución íntegra de cada asunto y prestamos servicios en varios idiomas que tiene efectos positivos en la actividad empresarial del cliente. Hablamos cuatro idiomas y valoramos su tiempo.