¿Qué incluye nuestro servicio de Protección de Datos?

Si estás interesado en contratar nuestros servicios en protección de datos, echa un vistazo a nuestras prestaciones.

Protección de Datos

A lo largo del último siglo, el desarrollo tecnológico ha experimentado, a nivel mundial, un avance sin precedentes. Plataformas on-line, como las redes sociales o las aplicaciones de mensajería instantánea, han pasado a ser una necesidad para prácticamente todas las personas, que las utilizan para compartir con otros usuarios tanto hábitos de su vida diaria como testimonios tanto de ellos mismos como de otros ciudadanos. Esto que acabamos de mencionar, así como otras muchas actividades que todos incluimos en nuestra rutina, da lugar a un tráfico enorme de datos que, en muchas ocasiones pueden exponer la privacidad de las personas y poner en peligro los derechos y libertades de los individuos a los que estos datos incumben. Para poder hacer frente a esta situación, los países contemporáneos han llevado a cabo medidas para poder proteger los mencionados derechos de sus ciudadanos, aprobando diversos textos legislativos con el objetivo de regular la actividad de los que se lucran mediante el tratamiento de esta información. Así es como aparece el llamado derecho a la protección de datos de carácter personal. En la misma Unión Europea y en sus Estados miembros, han sido muchos los intentos de legislar sobre la materia, aprobándose famosas normas como la Directiva 95/46/CE, en lo referente a la protección de las personas físicas con respecto al tratamiento de datos personales y la libre circulación de los mismos; sin embargo, aunque esta sí que establecía normas que protegían a los ciudadanos, no conseguía uniformar los Ordenamientos Jurídicos de los Estados miembros, existiendo por ello legislaciones diversas dentro del marco comunitario y perjudicando, como consecuencia, la libre circulación de datos personales a causa, precisamente, de la falta de seguridad jurídica que esta diferenciación normativa entre los distintos países provocaba. El derecho a la protección de datos ha sido objeto de análisis por el Tribunal Constitucional en diversas ocasiones. Así, en la STC 94/1998, de 4 de mayo, señala que es un derecho fundamental, por el cual se garantiza que las personas tengan el control sobre los datos personales que les incumban y les otorga la facultad de decidir sobre su uso o destino. Esto derecho, señala el mismo Tribunal, busca impedir el tráfico ilícito de esos datos, así como el que pueda lesionar la dignidad y los derechos de las personas; así mismo, el derecho a la protección de datos se entiende como la facultad que permite al interesado oponerse a que los datos personales que le incumben se destinen a fines distintos para los que fueron recogidos. Por otra parte, la STC 292/2000, de 30 de noviembre, define la protección de datos como un derecho autónomo e independiente. De hecho, el mismo tiene cabida en el artículo 18.4 de la Constitución Española, a tenor del cual se establece que “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. Además, este derecho se configura como un poder de disposición y de control sobre los datos de carácter personal que faculta a la persona para tomar la decisión sobre qué información personal proporcionar a un tercero o qué datos puede este recabar, incluyendo la permisión al individuo para tener conocimiento sobre quienes poseen esos datos de carácter personal y los fines para los cuales van a ser utilizados. Es precisamente por esto que la Unión Europea aprueba el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016. Los principales objetivos de esta norma no es otra sino la de garantizar que exista una uniformidad al respecto de la regulación del derecho a la protección de datos entre los diversos Estados miembros de la UE -cuya normativa debe ser equivalente-, mantener una elevada protección de los derechos y libertades de las personas físicas, y aumentar la seguridad jurídica para eliminar los obstáculos que puedan dificultar la libre circulación de datos personales dentro de la Unión. En el caso de España, la transposición de esta norma comunitaria se culmina con la aprobación de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Esta ley, de igual manera, incluye circunstancias especiales, siempre compatibles con el contenido del Reglamento General de Protección de Datos (RGPD), las cuales son aplicables tan solo en el ámbito de influencia del Ordenamiento Jurídico español.

¿Quién se encuentra bajo la protección del RGPD?

El mismo Reglamento (UE) 2016/679 señala en su considerando 14 quiénes se encuentran bajo el ámbito de protección de este, especificando que el mismo se debe aplicar a las personas físicas, con independencia de su nacionalidad o lugar de residencia, en relación con el tratamiento de sus datos de carácter personal.


Sin embargo, no se encuentran protegidos por este texto legal las personas jurídicas y en particular empresas constituidas como personas jurídicas, incluido el nombre y la forma de esta, así como sus datos de contacto.

¿Quiénes deben cumplir con las obligaciones del RGPD?

El mencionado RGPD es de aplicación directa en todos los Estados miembros desde el 25 de mayo de 2018, y tiene la obligación de cumplirlo cualquier responsable o encargado del tratamiento en el contexto de las actividades de sus establecimientos en la Unión en las cuales exista tratamiento de datos personales, con independencia de que ese tratamiento se esté llevando a cabo dentro de la Unión o no. De igual manera, también tienen la obligación de respetar el contenido del RGPD los responsables o encargados que no se encuentren establecidos en la Unión, pero que traten datos de carácter personal de interesados que residan en la UE, siempre y cuando sus actividades del tratamiento se encuentren en relación con:

  • Cualquier circunstancia relativa a ofertas, tanto de bienes como de servicios, a interesados que residan en la UE, con independencia de que se requiera su pago a estos o,
  • Con relación al control de su conducta, siempre y cuando este tenga lugar en la Unión.

De igual manera, también será de aplicación el RGPD para el tratamiento de datos personales llevado a cabo por un responsable o un encargado que no se encuentre establecido en la Unión, pero sí en un territorio en el cual sea de aplicación el Derecho de alguno de los Estados miembros (en virtud del Derecho Internacional Público).

¿Qué derechos se reconocen al interesado?

Los derechos del interesado reconocidos por el RGPD se encuentran recogidos en este texto legal -al cual la Ley Orgánica 3/2018 hace referencia-. Estos derechos son los siguientes:


DERECHO DE ACCESO (ART 15 RGPD)


El derecho de acceso permite al interesado obtener, por parte del responsable del que se trate, una confirmación sobre si se está llevando a cabo una actividad de tratamiento sobre los datos personales que le incumben. En caso de que la respuesta sea afirmativa, el interesado tendrá derecho a acceder a sus datos de carácter personal, además de a la siguiente información:

  • Los fines a los cuales va destinado el tratamiento.
  • Las categorías de datos personales que se están tratando.
  • Los destinatarios -o las categorías de los mismos- que fueron o serán objeto de comunicación de los datos personales (con especial hincapié en los que sean terceros países u organizaciones internacionales).
  • El plazo establecido para la conservación de los datos en cuestión. En caso de que esto no sea posible, se deberá dar acceso a los criterios utilizados para determinar este plazo.
  • La existencia de los derechos de rectificación, supresión, limitación del tratamiento y de oposición.
  • El derecho a presentar reclamaciones ante las autoridades competentes de control.
  • Toda información disponible sobre el origen de los datos de carácter personal cuando estos no se hayan obtenido directamente del interesado.
  • La existencia, cuando fuese preciso, de decisiones automatizadas, concepto en el que se incluye la elaboración de perfiles.
  • Las garantías existentes en caso de que se transfieran datos de carácter personal a un tercer país u organización internacional.

 

DERECHO DE RECTIFICACIÓN (ART 16 RGPD)


Permite a la persona obtener del responsable del tratamiento una rectificación sobre los datos personales inexactos que le incumban y que esto se cumpla sin dilación indebida.


En el caso de España, el ejercicio de este derecho deberá ir acompañado de una indicación sobre los datos que deban ser corregidos, así como de los documentos que justifiquen la inexactitud o la incompletitud de los datos objeto de tratamiento (cuando ello sea preciso).

 

DERECHO DE SUPRESIÓN (ART 17 RGPD)


Este derecho también cuenta con la denominación de derecho al olvido. Otorga la facultad al interesado de que sus datos de carácter personal sean suprimidos sin dilación indebida por parte del responsable del tratamiento.


Eso sí, este derecho no es siempre de aplicación, ya que deben cumplirse una serie de requisitos, contenidos en el mismo RGPD, para que pueda ejercitarse, como por ejemplo -entre otros motivos- que los datos personales ya no sean precisos para cumplir con los fines que justifican su recogida, que el interesado retire su consentimiento cuando estos se recogieron en base al mismo y no exista otra condición que permita el tratamiento de los datos con licitud, o que los datos hayan sido tratados ilícitamente.

También existen situaciones concretas en la que este derecho no es de aplicación, como en los casos en los que el tratamiento se necesite por motivos de ejercicio de derechos como el de la libertad de expresión e información, por motivos de interés público en el campo de la salud pública, para el cumplimiento de obligaciones legales que requieran del tratamiento de esos datos por parte del responsable o para formular, ejercer o defender reclamaciones (entre otros).

 

DERECHO DE LIMITACIÓN DEL TRATAMIENTO DE LOS DATOS (ART 18 RGPD)


Consiste en el derecho del interesado a obtener por parte del responsable del tratamiento la limitación del mismo en relación con los datos que le conciernen siempre y cuando se cumpla alguna de las condiciones recogidas en el RGPD. Estas son:

 

  • Tras la impugnación de la inexactitud de los datos de carácter personal que incumben al interesado hasta que se decida sobre su exactitud.
  • Cuando, en base a la ilicitud del tratamiento de los datos, el interesado se oponga a la supresión y decida que se limite el tratamiento de los mismos.
  • Cuando el interesado necesite esos datos para el ejercicio, formulación o defensa de reclamaciones.
  • Cuando el interesado se haya opuesto al tratamiento de los datos mientras se comprueba si existen o no motivos legítimos para su tratamiento por parte del responsable y si estos motivos prevalecen sobre los del interesado.


Los datos que se encuentren limitados solo podrán tratarse consintiendo previamente del interesado o para formular, ejercer y defender reclamaciones, así como para proteger los derechos de otras personas (en este caso tanto físicas como jurídicas) o por razones de interés público, tanto de la UE como de un Estado miembro.

 

DERECHO A LA PORTABILIDAD DE LOS DATOS (ART 20 RGPD)


Es el derecho del interesado a recibir, en un formato estructurado, de uso común y lectura mecánica, los datos de carácter personal que haya facilitado al responsable del tratamiento y que le incumban. Tras recibirlos, el interesado puede transmitirlos a otro responsable sin que el responsable al que se los hubiera facilitado pueda impedirlo. De igual manera, la portabilidad se puede llevar a cabo directamente de responsable a responsable, sin que tenga que pasar primer por el interesado.

Este derecho se puede ejercitar siempre y cuando:

 

  • El tratamiento se base en el consentimiento o en un contrato.
  • El tratamiento se efectúe por medios automatizados.


No podrá ser de aplicación este derecho al tratamiento que sea necesario para cumplir con misiones de interés público o en el ejercicio de poderes públicos que hayan sido conferidos al responsable del tratamiento.

 

DERECHO DE OPOSICIÓN (ART 21 RGPD)


En base a este derecho, el interesado puede oponerse a que los datos de carácter personal que le incumban sean objeto de tratamiento en base a las disposiciones contenidas en el artículo 6.1 e) y f), incluida la elaboración de perfiles.


Cuando el interesado ejerce este derecho, el responsable del tratamiento está obligado a dejar de tratar esos datos personales, siempre con la excepción de que este tenga motivos legítimos para el tratamiento y que estos prevalezcan sobre los de la persona en cuestión, así como para formular, ejercer o defender reclamaciones.

 

DERECHO A NO SER OBJETO DE DECISIONES INDIVIDUALES AUTOMATIZADAS, INCLUIDA LA ELABORACIÓN DE PERFILES (ART 22 RGPD)


Salvo en los expresamente establecidos en el RGPD, el interesado tiene derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzcan efectos jurídicos en él o le afecten de modo similar y de manera significativa.

Las mencionadas situaciones en las que no es aplicable este derecho son las siguientes:

  • Que la decisión sea necesaria para la celebración y ejecución de un contrato celebrado entre el interesado y el responsable del tratamiento.
  • Que esté autorizado por el Derecho Europeo o interno de cualquier Estado miembro, además de que se establezcan medidas adecuadas para defender el correcto ejercicio de los derechos y libertades, así como el interés legítimo, del interesado.
  • Que la decisión se base en el consentimiento explícito del interesado.

Sin embargo, estas circunstancias no se podrán basar en las categorías especiales de datos recogidas en el artículo 9 RGPD, salvo en las excepciones expresamente señaladas por el Reglamento.

¿Con qué obligaciones se tiene que cumplir durante el tratamiento de datos de carácter personal?

El Reglamento General de Protección de Datos contiene en su artículo 5 una serie de principios que son de obligado cumplimiento en relación con el tratamiento de los datos personales. Además, en virtud del llamado principio de responsabilidad proactiva (o accountability, en inglés), es el responsable del tratamiento de los datos el que responde del cumplimiento de estos principios y el que debe demostrar que está cumpliendo con ellos a lo largo del ejercicio de su actividad de tratamiento. Los mencionados principios son los siguientes:

  • Principio de licitud, lealtad y transparencia: Los datos se deben tratar lícitamente, de manera transparente y con lealtad con respecto al interesado.
  • Principio de limitación de la finalidad: Los datos se deben recoger para unos fines determinados, explícitos y legítimos. Esto incluye que, una vez recopilados, los datos no pueden tratarse, con posterioridad, con incompatibilidad hacia los fines para los que se recogieron.
  • Principio de minimización de datos: Los datos deben ser pertinentes, limitados a lo necesario y adecuados con relación a los fines para los que se tratan.
  • Principio de exactitud: Los datos personales deberán ser exactos y tienen que estar actualizados. Para ello, es necesario que los obligados a cumplir con las disposiciones del Reglamento adopten medidas razonables para emendar, sin dilación indebida, los datos inexactos.
  • Principio de limitación del plazo de conservación: Los datos que permitan la identificación del interesado no deben ser mantenidos durante más tiempo del necesario para el cumplimiento de los fines del tratamiento.
  • Principio de integridad y confidencialidad: Se deben tratar los datos personales garantizando una seguridad adecuada de los datos de carácter personal mediante la puesta en marcha de medidas técnicas u organizativas apropiadas.

En relación con el mencionado principio de responsabilidad proactiva, las obligaciones que las empresas (así como los demás obligados por el RGPD) tienen que adoptar serían las siguientes:

 

EVALUACIONES DE IMPACTO SOBRE LA PROTECCIÓN DE DATOS


Se tiene que llevar a cabo para describir, con carácter preventivo y anticipado, el tratamiento de los datos de carácter personal, así como para evaluar la necesidad y proporcionalidad del mismo para de esta manera poder gestionar de manera adecuada los riesgos potenciales para los derechos y libertades a los que esos datos personales pueden estar expuestos. Tras la elaboración de esta evaluación, se deben determinar las medidas adecuadas para reducir los mencionados riesgos a un nivel aceptable.


Estas evaluaciones se encuentran dentro del principio de responsabilidad proactiva. Existe debido a la misma la obligación legal de gestionar los riesgos y, además, de demostrar que se han establecido las medidas adecuadas para cumplir con el Reglamento General de Protección de Datos.

 

DESIGNAR A UN DELEGADO DE PROTECCIÓN DE DATOS


Tanto el Reglamento General de Protección de Datos como la Ley 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, establecen una regulación sobre la figura del Delegado de Protección de Datos. Existen una serie de supuestos en los cuales hay una obligación legal de designar a un Delegado de Protección de Datos.


Las entidades que necesitan de la designación de esta figura se encuentran recogidas en los artículos 37.1 RGPD y 34 LOPDGDD.

 

REGISTRO DE ACTIVIDADES DEL TRATAMIENTO


Es obligatorio llevar a cabo un registro de actividades del tratamiento, el cual se encuentra contenido en el artículo 30 RGPD. El mencionado registro sustituye la anterior inscripción de ficheros en la AEPD y debe ser elaborado tanto por los responsables como por los encargados del tratamiento bajo su propia responsabilidad.

 

MEDIDAS DE PROTECCIÓN DE DATOS DESDE EL DISEÑO Y POR DEFECTO


Para cumplir correctamente con el principio de responsabilidad proactiva, se deben implementar una serie de medidas basadas en la protección de datos desde el diseño y por defecto.


La protección de datos desde el diseño busca cumplir con los derechos de los interesados reconocidos por el Reglamento General de Protección de Datos y tiene como objetivo que la protección de datos tenga presencia en los inicios de un proyecto.


Por otra parte, la protección de datos o privacidad por defecto busca que tan solo sean objeto de tratamiento los datos de carácter personal estrictamente necesarios para la consecución de los fines que tiene el tratamiento (en virtud de los mencionados principios del tratamiento).

 

ANÁLISIS DE RIESGOS


Es obligatorio implantar medidas técnicas y organizativas, así como demostrar que estas están presentes, para permitir que el tratamiento cumpla con las disposiciones del Reglamento General de Protección de Datos.


Para cumplir con este objetivo, el primer paso es el de elaborar una evaluación de los riesgos del tratamiento para, en base a este, determinar cuáles son las medidas que se deben establecer con la intención de reducir o eliminar riesgos a los que los datos personales puedan encontrarse expuestos.


Por lo tanto, es necesario llevar a cabo un análisis de riesgos de la seguridad de la información, así como proceder con una gestión continua del riesgo para establecer y actualizar las medidas de protección de datos desde el diseño y por defecto.

 

NOTIFICACIÓN DE BRECHAS DE SEGURIDAD


Cuando se produce una brecha o violación de seguridad que afecte a los datos de carácter personal, los mencionados datos pueden encontrarse expuestos a riesgos que pueden ser perjudiciales para los derechos y libertades fundamentales de las personas.


Por lo tanto, tanto el Reglamento General de Protección de Datos como la Ley 3/2018, de 5 de noviembre, establecen una serie de circunstancias y plazos (a más tardar, 72 horas, salvo que exista causa justificada para la demora) en las cuales se deben llevar a cabo notificaciones tanto a la AEPD como a los afectados.

 

TRANSFERENCIAS INTERNACIONALES


Las transferencias internacionales se encuentran definidas por la Agencia Española de Protección de Datos como un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega).


En el caso de que una entidad lleve a cabo transferencias internacionales de datos, deberá cumplir con las normas para llevar a cabo las mismas, que incluyen la de obtener una autorización para poder efectuarlas.


Existe un listado de países para los cuales no es necesaria una autorización y que se encuentran señalados en la página web de la AEPD, ya que estos destinatarios han sido declarados de nivel adecuado por la Comisión Europea.

 

OTROS MECANISMOS DE CONTROL


Para que exista una mayor transparencia, el Reglamento establece la obligación de que el responsable del tratamiento designe a encargados que ofrezcan garantías suficientes para poder cumplir con los principios recogidos en este.


Es por ello por lo que tanto los responsables como los encargados del tratamiento pueden adherirse a códigos de conducta, mecanismos de certificación o sellos y marcas de protección de datos que les permitan demostrar que cumplen con las disposiciones contenidas en el RGPD.

¿Cuáles son las consecuencias de incumplir con las disposiciones del RGPD?

Si las obligaciones establecidas en la legislación relativa a la Protección de Datos se incumplen, tanto el RGPD como la LOPDGDD establecen un sistema de sanciones para los que lleven a cabo el incumplimiento.


De esta manera, las sanciones (que pueden ser catalogadas como leves, graves o muy graves) pueden llegar a ser muy elevadas, estableciéndose cuantías que pueden llegar hasta los 20 000 000 de euros o un 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior.

Conoce nuestra oferta de Protección de Datos