Este sitio web utiliza cookies para poder mejorar la calidad de servicios. La información sobre las cookies se almacena en su navegador y nos ayuda a conocer detalles de su navegación en la página web, así como analizar secciones y realiza funciones como reconocerlo cuando regresa a nuestro sitio web y ayudar a analizar qué secciones del sitio web le resultan más interesantes y útiles.
El Reglamento General de Protección de Datos (RGPD) es un documento novedoso que introduce unos conceptos verdaderamente positivos para el ordenamiento jurídico español. En virtud de este Reglamento, todas las empresas y profesionales que posean datos personales de clientes o proveedores deberán obtener el consentimiento explícito para utilizarlos en su nombre.
Con la asesoría RGPD de SupraLegit te ayudaremos a cumplir la normativa.
También es importante asegurarse de que sus clientes entienden cómo planea utilizar sus datos y qué derechos tienen sobre ellos de una manera exhaustiva pero directa.
Céntrate en tu negocio y deja los trámites en manos de una asesoría para emprendedores
En Supra Legit nos encargamos de todo lo que necesita para poner en marcha tu negocio al mejor precio, y le ayudamos con todos los trámites necesarios para que tu nuevo negocio pueda ponerse en marcha y funcionar.
¿Cómo debemos informar?
Es esencial comunicar al cliente en un lenguaje sencillo qué datos se conservan, para qué objetivos concretos se utilizarán, cuánto tiempo permanecerán almacenados, sus derechos, quién tiene acceso a esta información y quién es el responsable del tratamiento y protección de datos.
Es esencial que el cliente comprenda perfectamente estos puntos. El silencio o la falta de acción por su parte no pueden asumirse como consentimiento.
¿Quién y cuándo debe informar?
El responsable del tratamiento debe avisar a la persona cuando recopile su información. Está obligado a avisarle antes de recabarla si obtiene los datos directamente de esa persona.
En los casos en que los datos no se hayan obtenido directamente de la persona, como una transferencia legítima o fuentes de acceso público, el responsable del tratamiento los notificará en el plazo de un mes a partir de su obtención inicial.
¿Dónde y cómo informar?
Los datos pueden recopilarse y registrarse de diversas formas: formularios en papel, encuestas telefónicas, navegación por la web o formularios en Internet, registros en aplicaciones móviles.
Las notificaciones de datos de clientes pueden transmitirse por correo tradicional, mensajería digital o como alertas emergentes dentro de servicios y aplicaciones en línea.
En última instancia, los datos deben entregarse de forma clara y directa, que sean compactos, transparentes, fácilmente comprensibles y de fácil acceso.
Derechos de los clientes para la protección de datos personales
Entre los derechos de los clientes podemos destacar:
- Mantenerse informado de los datos que son almacenados y procesados.
- No estar expuesto a una automatización o categorización informática completa.
- Identificar y rectificar cualquier dato erróneo.
- Rescindir la autorización concedida en cualquier momento.
- Los clientes tienen derecho a solicitar que se borren sus datos en determinadas circunstancias, como cuando ya no son necesarios para los fines para los que se recogieron (derecho al olvido).
- Para que sus datos personales puedan compartirse cómodamente con otro encargado del tratamiento, deben ajustarse a un formato estructurado y de uso común. La portabilidad de los datos le otorga la posibilidad de transferir fácilmente dicha información en determinadas condiciones.
Cesión de datos a terceros
Si su asesoría o agencia requiere el uso de un proveedor externo para gestionar cualquier servicio y transferir datos personales pertenecientes a clientes, es imprescindible que se firme un contrato entre usted y el proveedor tratante.
En el contrato de encargado del tratamiento, es esencial que el responsable de la protección de datos registre todas las instrucciones y requisitos que se deben cumplir.
Esto se debe a que recae sobre los hombros del responsable o encargado del tratamiento asegurarse de que se toman las medidas adecuadas para que ambas partes cumplan la normativa de protección de datos.
¿Cómo presentarle la información a nuestro cliente?
La AEPD propone aplicar un formato estratificado a la recogida y presentación de datos. La información más básica debe presentarse de forma resumida en el mismo momento en que se recoge, utilizando los medios que mejor se adapten a su finalidad.
A continuación, los detalles complementarios pueden ofrecerse por separado utilizando canales de comunicación más adecuados para su plena comprensión.
El consentimiento de los clientes
Con la entrada en vigor del GDPR, es obligatorio recibir el permiso explícito de los clientes antes de recopilar sus datos personales.
Obtener el consentimiento explícito requiere una acción positiva de la persona interesada, que puede obtenerse tanto física como digitalmente. Para conseguirlo en persona, puede pedirles que firmen un documento indicando que entienden cómo se tratarán los datos. Las solicitudes de consentimiento en línea suelen implicar que las personas pulsen un botón de «aceptar» o marquen una casilla en la que aceptan su política de privacidad (que debe incluir un enlace para que puedan leerla).
La siguiente información debe incluirse en su referencia
- Responsable del tratamiento.
- La intención del tratamiento.
- En caso de que sea necesario compartir datos con terceros, se informará, hará de forma segura y de acuerdo con toda la normativa aplicable.
- Para expresar plenamente sus derechos, las partes interesadas deben actuar.
Otros fines
El consentimiento debe obtenerse para cada operación de tratamiento, y se limita a la finalidad o finalidades que se informaron al interesado. Si es necesario utilizar la información personal para otro fin, deberá obtenerse de nuevo el consentimiento. Este mismo proceso se aplica también al final de cualquier periodo de conservación asignado.
Las obligaciones de los consultores y asesores
Los profesionales del tratamiento y protección de datos pueden considerarse desde dos puntos de vista.
Por un lado, se hacen cargo y controlan la información personal de sus clientes y trabajadores, lo que les convierte en responsables del tratamiento de datos.
Por otra parte, cuando se ocupan de diversos aspectos de la gestión de una empresa (impuestos, contabilidad, gestión de recursos humanos, etc.), actúan como proveedores de servicios para sus clientes, convirtiéndose en procesadores de datos.
Como encargados
Como procesadores de datos, las consultorías y agencias son responsables de las siguientes obligaciones:
- Cumplir la normativa establecida por el responsable del tratamiento de datos para disfrutar de una experiencia segura.
- Respetar la confidencialidad de los usuarios.
- Aplicar estrategias de seguridad sólidas para garantizar la protección de sus datos.
- Establecer un acuerdo global de subcontratación entre ambas partes.
- Permitir y facilitar la práctica de los derechos de acceso, rectificación, supresión, limitación del uso de tratamiento, fácil transferencia de datos entre servicios y oposición a posibles tratamientos.
- Al colaborar con el responsable del tratamiento de datos, podemos garantizar el cumplimiento de sus obligaciones.
- Como se detalla en el acuerdo contractual, garantizar que todos los datos se transfieran a su destino previsto una vez finalizados nuestros servicios.
Como responsables
Como responsables del tratamiento de datos, las empresas y agencias de consultoría tienen la obligación de cumplir la siguiente normativa, que se analizará con más detalle en puntos posteriores.
- Documentar la progresión de los tratamientos es vital para garantizar el éxito de los resultados.
- Realizar una evaluación exhaustiva de los riesgos para identificar los riesgos potenciales y su gravedad.
- Para determinar el impacto potencial de sus acciones, lleve a cabo una evaluación de impacto siempre que proceda.
- Establecer acuerdos con socios externos para garantizar el éxito de nuestro negocio.
- Asegurarse de que su sitio web cumple la legislación incluyendo los textos legales aplicables.
- Obtener el consentimiento explícito de los clientes.
- Facilitar los derechos de los usuarios.
- Asegurarse de que sus empleados cumplen los acuerdos de confidencialidad por la seguridad de su empresa.
- Asignar a una persona para que actúe como delegado de la protección de datos (DPD) cuando sea necesario.
Adaptación de un gestor o asesor a la normativa vigente
Análisis de riesgos
Antes de emprender cualquier acción que implique recopilar datos personales de sus clientes, es esencial analizar primero los riesgos y cómo podrían afectar a los derechos y libertades de esas personas. Esto podría incluir actividades como la creación de una base de datos con su información o la construcción de un fichero con todos sus datos de identificación. No hacerlo puede tener graves consecuencias para ambas partes en esta situación.
Evaluación de Impacto
Cualquier tratamiento de datos requiere un cierto nivel de riesgo, sobre todo cuando el análisis indica que puede vulnerar los derechos y libertades de las personas. En los casos en que se detecte un riesgo elevado en relación con categorías especiales de datos, la realización de una Evaluación de Impacto sobre la Protección de Datos (EIPD) se convierte en obligatoria.
Si su consultoría o agencia trabaja con los datos personales mencionados en el artículo 9 del RGPD, especialmente si lo hace de forma sistemática a gran escala (lo que es más probable para las grandes consultorías y agencias que tratan con numerosos clientes), entonces necesita llevar a cabo un EIPD.
Registro de las actividades de tratamiento
Para cada operación de tratamiento de datos, es esencial documentar y almacenar un registro de todas las actividades.
Aunque no es obligatorio para todas las empresas, las consultorías y empresas de gestión que manejen muchos datos o tengan más de 250 trabajadores deben adherirse a la EIPD. Las empresas que traten información de categoría especial también están sujetas a este requisito.
Todas las empresas y entidades en España deben mantener un registro actualizado de todas sus actividades de tratamiento de datos para la AEPD (Agencia Española de Protección de Datos). Este documento debe incluir detalles claros y concisos como:
- Para garantizar la seguridad de los datos, es esencial tener acceso a la información relativa a quién es responsable de los datos (responsable del tratamiento), en su caso, los corresponsables (corresponsables del tratamiento), los encargados del tratamiento (encargados del tratamiento), así como los datos de contacto del responsable de la protección de datos.
- La eficacia del tratamiento.
- El objetivo del plan de tratamiento.
- Categorizar y organizar la información de las partes interesadas.
- Entidades habilitadas para recibir cesiones.
- En caso necesario, los datos relativos a las transferencias internacionales.
- Descripción de las medidas de seguridad.
- A continuación se detallan los tiempos de espera previstos.
La obligación de notificar brechas de seguridad
A pesar de contar con sólidos sistemas de seguridad, sigue existiendo un riesgo inevitable de que se produzcan violaciones de datos que den lugar a la exposición de información confidencial perteneciente a nuestros clientes.
En caso de cualquier circunstancia que amenace los derechos y libertades de los interesados, las asesorías y consultorías (así como el resto de empresas) deben alertar a la autoridad de control de acuerdo con su normativa de protección de datos.
Así pues, la AEPD debe ser alertada en un plazo de 72 horas siempre que se produzca una violación de la seguridad. Además, las personas cuya información pueda haberse visto comprometida deben recibir una alerta para que puedan tomar inmediatamente las medidas de protección adecuadas.
Contrato de confidencialidad con empleados
Para proteger la información confidencial de nuestros clientes, debemos asegurarnos de que todos los empleados de la consultoría o asesoría cumplen con su deber de confidencialidad. Esto significa que no revelarán los datos de los clientes a terceros no autorizados, no los utilizarán en beneficio propio ni harán caso omiso de las medidas de seguridad aplicadas por el responsable del tratamiento.
Para seguir cumpliendo la normativa de protección de datos para consultorías y agencias, puedes incluir las cláusulas pertinentes en los contratos o hacer que todas las partes firmen un acuerdo para mantener la confidencialidad de la información sensible debe ser una prioridad máxima para cualquier organización, y es esencial animar a los empleados a mantener este compromiso. También es importante esbozar posibles medidas disciplinarias para reforzar el cumplimiento de estas expectativas.
Sistema de sanciones por incumplimiento de la normativa
El sistema de aplicación del Reglamento General de Protección de Datos (RGPD) requiere sanciones por infracciones, que incluyen las siguientes sanciones:
- En caso de infracción grave, las empresas pueden enfrentarse a multas de hasta 10 millones de euros o el 2% de sus ingresos anuales totales, la cantidad que sea mayor.
- En caso de infracciones muy graves, una entidad puede ser responsable de hasta 20 millones de euros o el 4% de su volumen de negocios anual; la cifra que sea mayor.
Opiniones de clientes
Medios
Beneficios de Supra Legit
Los clientes del despacho de abogados Supra Legit son tanto personas jurídicas, como personas físicas de diferente nacionalidad, y este extremo define nuestro método de actuación y resolución de problemas. Nos enfocamos en la resolución íntegra de cada asunto y prestamos servicios en varios idiomas que tiene efectos positivos en la actividad empresarial del cliente. Hablamos cuatro idiomas y valoramos su tiempo.