Protección de Datos

Cada vez que contratan una gestoría para llevar los temas fiscales o laborales estas entidades realizan ciertas gestiones en su nombre. O si tienen una empresa informática que realiza el mantenimiento de los equipos.

Éstos son los Encargados de tratamiento.

Así que, además de tener un registro de actividades de tratamiento, deben disponer de una lista de esas empresas externas en las que en alguna fase de la relación contractual puedan tener acceso a los Datos de Carácter Personal de su empresa y asegurar que también cumplan la normativa obligatoria.

Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan y DELIMITAR LAS RESPONSABILIDADES DEL TRATAMIENTO DE LOS DATOS – Cumplimiento de la Proteccion de datos entre empresas y evitar el uso de Datos Personales sin Consentimiento.

Como mínimo debe establecerse: objeto, la duración, la naturaleza y la finalidad del tratamiento.

•  Tipo de datos personales.
•  Categorías de interesados.
• Obligaciones y derechos entre el Responsable del Fichero (Entidad Propietaria de los Datos y su Tratamiento) y el Responsable del Tratamiento (Entidad a la que se le contrata un Tratamiento Determinado de los Datos).

QUEDANDO CLÁRAMENTE DEFINIDAS LAS RESPONSABILIDADES ENTRE LAS PARTES.

Si operan online, deben incluir en la página web los textos exigidos por la Ley de la Protección de Datos y la LSSI- Ejemplo de Política de Privacidad

•  Aviso legal
•  Política de privacidad
•  Política de cookies 

Este es el documento donde se identifica al propietario de la página web.

En él debes incluir:

• Nombre del Titular
• CIF/DNI
• Dirección
• E-Mail

DEBE PONER UN ENLACE VISIBLE A ESTE TEXTO DESDE CUALQUIER PÁGINA WEB.

Las Cookies son archivos de información enviados por un sitio Web y almacenados en el navegador del usuario que visita esa página. Se utilizan para analizar las visitas a la página Web o mostrar publicidad dinámica.

Por tanto si su Web lo incluye, debe cumplir con la LSSI 34/2002 – Ley de Servicios de la Sociedad de la Información en su Artículo 22.2. En ese texto debe informarse sobre las Cookies utilizadas en la página, su finalidad y duración.

Es importante revisar la política de privacidad de la empresa y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

Así, en el texto de Política de privacidad tendrán que informar expresamente de:

• La existencia de un tratamiento de los datos que se están solicitando.
• Finalidad.
• Destinatario o destinatarios de la información.
• Legitimación del Tratamiento.
• Plazo de Conservación de los Datos.
• Identidad y dirección del Responsable de Tratamiento de Datos y posibilidad de ejercer los derechos de Acceso, Rectificación, Cancelación/Oposición y por qué vía realizarlo.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, tienen que asegurarse de que esta nueva versión se publique en la web.

Además de actualizar la Política de Privacidad, su empresa debe tener el consentimiento expreso de todos sus clientes para poder tratar sus datos.

La empresa debe contar con un formulario, modelo consentimiento Protección de Datos (virtual si la captación de los Datos se realiza vía Web) o en Papel para el resto de los casos, solicitando el consentimiento para el Tratamiento (Máxime si se van a tratar datos sensibles). En él se debe informar de:

• Datos del Responsable del Tratamiento (Su Empresa)
• Finalidad Concreta del Tratamiento
• Tiempo de Conservación
• Destinatarios
• Transferencias Internacionales
• Derechos de los afectados y cómo pueden realizarlos: Derecho de Supresión o derecho de oposicion proteccion de datos.
• Datos del Delegado de Protección de Datos si la entidad debe contar con uno o si lo ha decidido.

Uno de los fines principales de la Ley de Protección de datos personales –  Lopd 2018 –  la ley orgánica protección datos y  Lopd gdd pretende que las personas físicas sean mucho más conscientes de qué información disponen las empresas/entidades de ellos y para qué se utilizan. 

Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar.

¿Cómo se realiza?

Una buena opción sería enviar una clausula Proteccion de Datos o un mail informativo a los clientes y empleados o, publicar alguna entrada en la página Web y difundirla posteriormente por Redes Sociales para generar más confianza.

Los empleados tienen acceso a toda la información que maneja la empresa y, por tanto deben firmar un acuerdo de confidencialidad (a la vez que se le informar mediante una breve formación para evitar que la información sea revelada a personas no autorizadas). También deben cumplir con los protocolos que la empresa determine para garantizar la Protección de Los Datos Personales.

En las empresas los empleados disponen de un correo electrónico para comunicarse entre ellos, con clientes o proveedores. Esto les convierte en objetivos de los ataques informáticos, porque la ingeniería social y técnicas como el phishing son los métodos de ataque más utilizados debido a la escasa formación de los trabajadores  y al éxito que tiene para los Ciberdelincuentes (ABRIR UN CORREO CON UN ARCHIVO MALICIOSO PUEDE “SECUESTRAR” TODA LA INFORMACIÓN DE UNA EMPRESA) 

En la empresa deben también realizar un análisis en el que valoren los riesgos que puedan derivarse de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones:

• Tipo de datos
• Naturaleza de los Datos
• Medios de Tratamiento
• Cesiones
• Transferencias internacionales y número de afectados.

Además, si el riesgo resultara ser especialmente alto deberán realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados.

Dependiendo de la actividad de la empresa es posible que se almacenen datos sensibles de sus clientes, como datos de salud, políticos o sindicales. En ese caso necesitan realizar la Evaluación de impacto debido a que, por el tipo de datos que maneja, existe un riesgo alto para los derechos y libertades de los afectados.

Tras estos análisis deberán implementar unas medidas de seguridad adecuadas.

Una de las Obligaciones que establece el Nuevo Reglamento de Protección de Datos RGPD 679/2016 es la notificación de los incidentes que se produzcan en la empresa/entidad, tanto a los afectados como a la Agencia España Proteccion de Datos AEPD

En caso de que se dé una situación de ciberataque o infracción en la empresa, lo ideal es estar prevenido con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar y dotar de la información afectada a la Agencia Espanola  Proteccion de Datos AEPD  por lo que el plan debe someterse a prueba para GARANTIZAR que se cumplan los plazos

Para la mayoría de las empresas no es obligatorio nombrar un Delegado de Protección de Datos, ya que por su actividad no están dentro de los supuestos en los que así lo exige el Reglamento de Protección de Datos RGPD 679/2016

En cualquier caso, cada empresa deberá analizar si en su caso procede el nombramiento del Delegado en Protección de Datos DPO, porque así lo decidan para asegurarse el adecuado cumplimiento de las normas:

-Ley de Protección de Datos Europea, Reglamento 679 de 2016

-Ley Proteccion de Datos de Caracter Personal LopdGdd 3/2108.