EXPERTOS EN PROTECCIÓN DE DATOS
RGPD-LOPD-GDD

LA PROTECCIÓN DE DATOS NO ES SÓLO UN DERECHO, TAMBIÉN ES UN DEBER DE OBLIGADO CUMPLIMIENTO QUE NOS AFECTA A TODOS

Todas las organizaciones deben adaptarse. Se aplica a todos, ciudadanos, empresas y administraciones públicas, establecidas o no en la UE.

En protección de datos todo cuenta y con la nueva normativa las empresas deben tener mucho cuidado. Se contemplan sanciones y multas para aquellos que no hagan un uso adecuado de los datos personales que estén tratando, esto incluye, datos de clientes, trabajadores, proveedores etc.

OFRECE A TUS CLIENTES LA PROTECCIÓN DE DATOS

UN VALOR AÑADIDO PARA TU NEGOCIO
SI QUIERES QUE TUS CLIENTES CUMPLAN CON LA NORMATIVA

DÉJALO EN NUESTRAS MANOS

¿TODAVÍA NO HAS ADAPTADO LA PROTECCIÓN DE DATOS EN TU EMPRESA?

En Informática Ingenia podemos ayudarte. Desde nuestro Departamento Legal RGPD, especializado en protección de datos, tendrás a tu disposición a los mejores profesionales, que te orientarán y aconsejarán en cada fase.

Contarás con un servicio personalizado y adaptado a las necesidades de tu negocio, por eso, cada empresa necesita un estudio previo para adaptar correctamente la normativa.

Normativa europea que se basa en criterios de responsabilidad activa, flexibilidad, la importancia del contexto y la cooperación

MARCO NORMATIVO
INTERNACIONAL
  • Directrices de privacidad de la OCDE. Directrices sobre protección de la privacidad y flujos transfronterizos de datos personales que adoptó en 1980 la Organización para la Cooperación y el Desarrollo Económicos.
  • Declaración sobre flujos de datos transfronterizos adoptada en 1985 por la OCDE.
  • Declaración ministerial sobre la protección de la privacidad de las redes globales en 1998, adoptada también por la OCDE.
  • Convenio 108 del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, que entró en vigor el 1 de octubre de 1985. España pasó a formar parte en 1984. La UE se adhirió en 1999.
  • Protocolo Adicional al Convenio adoptado para reforzar la aplicación efectiva de los principios contenidos en el Convenio el 23 de mayo de 2001.
  • Privacy Shield. Acuerdo internacional celebrado el 12 de julio de 2016, en vigor desde el 1 de agosto de 2016, entre el Departamento de Comercio de Estados Unidos, la Comisión Europea y la administración suiza. Protege los derechos fundamentales de cualquier residente en la UE cuando por razones comerciales se transfieran sus datos a EEUU.
EUROPEO
  • Reglamento Europeo (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos (RGPD). Deroga la Directiva 95/46/CE y, por su naturaleza jurídica, todo su contenido es obligatorio y directamente aplicable en todos los Estados miembros de la UE desde el 25 de mayo de 2018. El 6 de julio de 2018 se incorporó el Acuerdo del Espacio Económico Europeo y a partir del 20 de julio de 2018 el RGPD se aplica también a los Estados EEA-EFTA. Actualmente son Islandia, Liechtenstein, Noruega y Suiza.
  • Directiva e-Privacy. Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, todo lo que no regule esta Directiva será completado por el RGPD.
  • Directiva 2009/136/CE del Parlamento Europeo y del Consejo de 25 de noviembre de 2009 por la que se modifican la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas y, el Reglamento (CE) núm. 2006/2004 sobre la cooperación en materia de protección de los consumidores, introduce un cambio radical en cuanto a la regulación de las cookies.
  • Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo. En RGPD se aplicará también a todo lo que no regule la Directiva 2016/680.
EN ESPAÑA
  • Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). Supuso la transposición de la derogada Directiva 95/46/CE.
  • Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos. Derogado por la nueva LOPD.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, publicada en el BOE el 6 de diciembre de 2018. Que viene a adaptar, que no transponer, la anterior LOPD, de 1999, al RGPD. Sin perjuicio de la DA 14ª y la DT 4ª, deroga la anterior LOPD de 1999 así como el Real Decreto-ley 5/2018.
  • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSICE) transpone la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior.
  • Ley 9/2014, de 9 de mayo, General de Telecomunicaciones (LGT) transpone la Directiva 2009/136/CE. Introduce el Capítulo III como –Secreto de las comunicaciones y protección de los datos personales y derechos y obligaciones de carácter público vinculados con las redes y servicios de comunicaciones electrónicas. Y modifica la LSSICE acerca del consentimiento para aceptar el tratamiento de datos derivado de las cookies.
  • Ley 59/2003, de 19 de diciembre, de firma electrónica. Es relevante en esta materia ya que las firmas electrónicas manuscritas tienen la consideración de datos de carácter personal.
RÉGIMEN SANCIONADOR
SUJETOS RESPONSABLES
  • Responsables de tratamiento
  • Encargados de tratamiento
  • Representantes de Responsables y Encargados no establecidos en la UE
  • Entidades de certificación
  • Entidades acreditativas de supervisión de códigos de conducta
TIPOS DE INFRACCIONES (LOPD-GDD)
INFRACCIONES MUY GRAVES

Artículo 72. Prescriben a los 3 años

En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:

a) El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679.

b) El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artículo 6 del Reglamento (UE) 2016/679. cve: BOE-A-2018-16673 Verificable en http://www.boe.es BOLETÍN OFICIAL DEL ESTADO Núm. 294 Jueves 6 de diciembre de 2018 Sec. I. Pág. 119830

c) El incumplimiento de los requisitos exigidos por el artículo 7 del Reglamento (UE) 2016/679 para la validez del consentimiento.

d) La utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello.

e) El tratamiento de datos personales de las categorías a las que se refiere el artículo 9 del Reglamento (UE) 2016/679, sin que concurra alguna de las circunstancias previstas en dicho precepto y en el artículo 9 de esta ley orgánica.

f) El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas fuera de los supuestos permitidos por el artículo 10 del Reglamento (UE) 2016/679 y en el artículo 10 de esta ley orgánica.

g) El tratamiento de datos personales relacionados con infracciones y sanciones administrativas fuera de los supuestos permitidos por el artículo 27 de esta ley orgánica.

h) La omisión del deber de informar al afectado acerca del tratamiento de sus datos personales conforme a lo dispuesto en los artículos 13 y 14 del Reglamento (UE) 2016/679 y 12 de esta ley orgánica.

i) La vulneración del deber de confidencialidad establecido en el artículo 5 de esta ley orgánica.

j) La exigencia del pago de un canon para facilitar al afectado la información a la que se refieren los artículos 13 y 14 del Reglamento (UE) 2016/679 o por atender las solicitudes de ejercicio de derechos de los afectados previstos en los artículos 15 a 22 del Reglamento (UE) 2016/679, fuera de los supuestos establecidos en su artículo 12.5.

k) El impedimento o la obstaculización o la no atención reiterada del ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679.

l) La transferencia internacional de datos personales a un destinatario que se encuentre en un tercer país o a una organización internacional, cuando no concurran las garantías, requisitos o excepciones establecidos en los artículos 44 a 49 del Reglamento (UE) 2016/679.

m) El incumplimiento de las resoluciones dictadas por la autoridad de protección de datos competente en ejercicio de los poderes que le confiere el artículo 58.2 del Reglamento (UE) 2016/679.

n) El incumplimiento de la obligación de bloqueo de los datos establecida en el artículo 32 de esta ley orgánica cuando la misma sea exigible.

ñ) No facilitar el acceso del personal de la autoridad de protección de datos competente a los datos personales, información, locales, equipos y medios de tratamiento que sean requeridos por la autoridad de protección de datos para el ejercicio de sus poderes de investigación.

o) La resistencia u obstrucción del ejercicio de la función inspectora por la autoridad de protección de datos competente.

p) La reversión deliberada de un procedimiento de anonimización a fin de permitir la reidentificación de los afectados.

Tendrán la misma consideración y también prescribirán a los tres años las infracciones a las que se refiere el artículo 83.6 del Reglamento (UE) 2016/679.

INFRACCIONES GRAVES

Artículo 73. Prescriben a los 2 años

En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:

a) El tratamiento de datos personales de un menor de edad sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela, conforme al artículo 8 del Reglamento (UE) 2016/679.

b) No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad o por el titular de su patria potestad o cve: BOE-A-2018-16673 Verificable en http://www.boe.es BOLETÍN OFICIAL DEL ESTADO Núm. 294 Jueves 6 de diciembre de 2018 Sec. I. Pág. 119831 tutela sobre el mismo, conforme a lo requerido por el artículo 8.2 del Reglamento (UE) 2016/679.

c) El impedimento o la obstaculización o la no atención reiterada de los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando este, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación.

d) La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño, así como la no integración de las garantías necesarias en el tratamiento, en los términos exigidos por el artículo 25 del Reglamento (UE) 2016/679.

e) La falta de adopción de las medidas técnicas y organizativas apropiadas para garantizar que, por defecto, solo se tratarán los datos personales necesarios para cada uno de los fines específicos del tratamiento, conforme a lo exigido por el artículo 25.2 del Reglamento (UE) 2016/679.

f) La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos exigidos por el artículo 32.1 del Reglamento (UE) 2016/679.

g) El quebrantamiento, como consecuencia de la falta de la debida diligencia, de las medidas técnicas y organizativas que se hubiesen implantado conforme a lo exigido por el artículo 32.1 del Reglamento (UE) 2016/679.

h) El incumplimiento de la obligación de designar un representante del responsable o encargado del tratamiento no establecido en el territorio de la Unión Europea, conforme a lo previsto en el artículo 27 del Reglamento (UE) 2016/679.

i) La falta de atención por el representante en la Unión del responsable o del encargado del tratamiento de las solicitudes efectuadas por la autoridad de protección de datos o por los afectados.

j) La contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas conforme a lo establecido en el Capítulo IV del Reglamento (UE) 2016/679.

k) Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito con el contenido exigido por el artículo 28.3 del Reglamento (UE) 2016/679.

l) La contratación por un encargado del tratamiento de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles.

m) La infracción por un encargado del tratamiento de lo dispuesto en el Reglamento (UE) 2016/679 y en la presente ley orgánica, al determinar los fines y los medios del tratamiento, conforme a lo dispuesto en el artículo 28.10 del citado reglamento.

n) No disponer del registro de actividades de tratamiento establecido en el artículo 30 del Reglamento (UE) 2016/679.

ñ) No poner a disposición de la autoridad de protección de datos que lo haya solicitado, el registro de actividades de tratamiento, conforme al apartado 4 del artículo 30 del Reglamento (UE) 2016/679.

o) No cooperar con las autoridades de control en el desempeño de sus funciones en los supuestos no previstos en el artículo 72 de esta ley orgánica. p) El tratamiento de datos personales sin llevar a cabo una previa valoración de los elementos mencionados en el artículo 28 de esta ley orgánica. q) El incumplimiento del deber del encargado del tratamiento de notificar al responsable del tratamiento las violaciones de seguridad de las que tuviera conocimiento.

r) El incumplimiento del deber de notificación a la autoridad de protección de datos de una violación de seguridad de los datos personales de conformidad con lo previsto en el artículo 33 del Reglamento (UE) 2016/679.

s) El incumplimiento del deber de comunicación al afectado de una violación de la seguridad de los datos de conformidad con lo previsto en el artículo 34 del Reglamento cve: BOE-A-2018-16673 Verificable en http://www.boe.es BOLETÍN OFICIAL DEL ESTADO Núm. 294 Jueves 6 de diciembre de 2018 Sec. I. Pág. 119832 (UE) 2016/679 si el responsable del tratamiento hubiera sido requerido por la autoridad de protección de datos para llevar a cabo dicha notificación.

t) El tratamiento de datos personales sin haber llevado a cabo la evaluación del impacto de las operaciones de tratamiento en la protección de datos personales en los supuestos en que la misma sea exigible.

u) El tratamiento de datos personales sin haber consultado previamente a la autoridad de protección de datos en los casos en que dicha consulta resulta preceptiva conforme al artículo 36 del Reglamento (UE) 2016/679 o cuando la ley establezca la obligación de llevar a cabo esa consulta.

v) El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 y el artículo 34 de esta ley orgánica.

w) No posibilitar la efectiva participación del delegado de protección de datos en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones.

x) La utilización de un sello o certificación en materia de protección de datos que no haya sido otorgado por una entidad de certificación debidamente acreditada o en caso de que la vigencia del mismo hubiera expirado.

y) Obtener la acreditación como organismo de certificación presentando información inexacta sobre el cumplimiento de los requisitos exigidos por el artículo 43 del Reglamento (UE) 2016/679.

z) El desempeño de funciones que el Reglamento (UE) 2016/679 reserva a los organismos de certificación, sin haber sido debidamente acreditado conforme a lo establecido en el artículo 39 de esta ley orgánica.

aa) El incumplimiento por parte de un organismo de certificación de los principios y deberes a los que está sometido según lo previsto en los artículos 42 y 43 de Reglamento (UE) 2016/679.

ab) El desempeño de funciones que el artículo 41 del Reglamento (UE) 2016/679 reserva a los organismos de supervisión de códigos de conducta sin haber sido previamente acreditado por la autoridad de protección de datos competente.

ac) La falta de adopción por parte de los organismos acreditados de supervisión de un código de conducta de las medidas que resulten oportunas en caso que se hubiera producido una infracción del código, conforme exige el artículo 41.4 del Reglamento (UE) 2016/679.

INFRACCIONES LEVES

Artículo 74. Prescriben al año

Se consideran leves y prescribirán al año las restantes infracciones de carácter meramente formal de los artículos mencionados en los apartados 4 y 5 del artículo 83 del Reglamento (UE) 2016/679 y, en particular, las siguientes:

a) El incumplimiento del principio de transparencia de la información o el derecho de información del afectado por no facilitar toda la información exigida por los artículos 13 y 14 del Reglamento (UE) 2016/679.

b) La exigencia del pago de un canon para facilitar al afectado la información exigida por los artículos 13 y 14 del Reglamento (UE) 2016/679 o por atender las solicitudes de ejercicio de derechos de los afectados previstos en los artículos 15 a 22 del Reglamento (UE) 2016/679, cuando así lo permita su artículo 12.5, si su cuantía excediese el importe de los costes afrontados para facilitar la información o realizar la actuación solicitada.

c) No atender las solicitudes de ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, salvo que resultase de aplicación lo dispuesto en el artículo 72.1.k) de esta ley orgánica.

d) No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando este, para el ejercicio de esos derechos, haya facilitado cve: BOE-A-2018-16673 Verificable en http://www.boe.es BOLETÍN OFICIAL DEL ESTADO Núm. 294 Jueves 6 de diciembre de 2018 Sec. I. Pág. 119833 información adicional que permita su identificación, salvo que resultase de aplicación lo dispuesto en el artículo 73 c) de esta ley orgánica.

e) El incumplimiento de la obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento exigida por el artículo 19 del Reglamento (UE) 2016/679.

f) El incumplimiento de la obligación de informar al afectado, cuando así lo haya solicitado, de los destinatarios a los que se hayan comunicado los datos personales rectificados, suprimidos o respecto de los que se ha limitado el tratamiento.

g) El incumplimiento de la obligación de suprimir los datos referidos a una persona fallecida cuando ello fuera exigible conforme al artículo 3 de esta ley orgánica.

h) La falta de formalización por los corresponsables del tratamiento del acuerdo que determine las obligaciones, funciones y responsabilidades respectivas con respecto al tratamiento de datos personales y sus relaciones con los afectados al que se refiere el artículo 26 del Reglamento (UE) 2016/679 o la inexactitud en la determinación de las mismas.

i) No poner a disposición de los afectados los aspectos esenciales del acuerdo formalizado entre los corresponsables del tratamiento, conforme exige el artículo 26.2 del Reglamento (UE) 2016/679.

j) La falta del cumplimiento de la obligación del encargado del tratamiento de informar al responsable del tratamiento acerca de la posible infracción por una instrucción recibida de este de las disposiciones del Reglamento (UE) 2016/679 o de esta ley orgánica, conforme a lo exigido por el artículo 28.3 del citado reglamento.

k) El incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del responsable del tratamiento, salvo que esté legalmente obligado a ello conforme al Reglamento (UE) 2016/679 y a la presente ley orgánica o en los supuestos en que fuese necesario para evitar la infracción de la legislación en materia de protección de datos y se hubiese advertido de ello al responsable o al encargado del tratamiento.

l) Disponer de un Registro de actividades de tratamiento que no incorpore toda la información exigida por el artículo 30 del Reglamento (UE) 2016/679.

m) La notificación incompleta, tardía o defectuosa a la autoridad de protección de datos de la información relacionada con una violación de seguridad de los datos personales de conformidad con lo previsto en el artículo 33 del Reglamento (UE) 2016/679.

n) El incumplimiento de la obligación de documentar cualquier violación de seguridad, exigida por el artículo 33.5 del Reglamento (UE) 2016/679.

ñ) El incumplimiento del deber de comunicación al afectado de una violación de la seguridad de los datos que entrañe un alto riesgo para los derechos y libertades de los afectados, conforme a lo exigido por el artículo 34 del Reglamento (UE) 2016/679, salvo que resulte de aplicación lo previsto en el artículo 73 s) de esta ley orgánica.

o) Facilitar información inexacta a la Autoridad de protección de datos, en los supuestos en los que el responsable del tratamiento deba elevarle una consulta previa, conforme al artículo 36 del Reglamento (UE) 2016/679.

p) No publicar los datos de contacto del delegado de protección de datos, o no comunicarlos a la autoridad de protección de datos, cuando su nombramiento sea exigible de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 y el artículo 34 de esta ley orgánica.

q) El incumplimiento por los organismos de certificación de la obligación de informar a la autoridad de protección de datos de la expedición, renovación o retirada de una certificación, conforme a lo exigido por los apartados 1 y 5 del artículo 43 del Reglamento (UE) 2016/679.

r) El incumplimiento por parte de los organismos acreditados de supervisión de un código de conducta de la obligación de informar a las autoridades de protección de datos acerca de las medidas que resulten oportunas en caso de infracción del código, conforme exige el artículo 41.4 del Reglamento (UE) 2016/679.

SUPUESTO DE INTERRUPCIÓN DE LA PRESCRIPCIÓN:
  1. Por la iniciación, con conocimiento del interesado, del procedimiento sanción. Se reiniciará el plazo de prescripción si el expediente está paralizado durante más de 6 meses por causas ajenas al presunto infractor.
  1. En los procesos en que la AEPD ostente la condición de autoridad de control principal y se siga el procedimiento del art. 60 RGPD, por el conocimiento formal del interesado del proyecto de acuerdo de inicio que sea sometido a las autoridades de control interesadas.
SANCIONES

Se atenderá a los criterios de graduación del art. 83.2 RGPD y 76.2 de la LOPDGDD.

MULTAS DE HASTA 10.000.000 € ó 2% del volumen de negocio global del último año. Infracción de los artículos 8,11,25 a 39, 42 y 43 del RGPD
  1. Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información.
  2. Tratamiento que no requiere identificación.
  3. Protección de datos desde el diseño y por defecto.
  4. Corresponsables del tratamiento.
  5. Representantes de responsables o encargados del tratamiento no establecidos en la Unión
  6. Encargado del tratamiento
  7. Tratamiento bajo la autoridad del responsable o del encargado del tratamiento
  8. Registro de las actividades de tratamiento
  9. Cooperación con la autoridad de control
  10. Seguridad del tratamiento
  11. Notificación de una violación de la seguridad de los datos personales a la autoridad de control
  12. Comunicación de una violación de la seguridad de los datos personales al interesado
  13. Evaluación de impacto relativa a la protección de datos
  14. Consulta previa
  15. Designación del delegado de protección de datos
  16. Posición del delegado de protección de datos
  17. Funciones del delegado de protección de datos.
  18. Certificación
  19. Organismo de certificación
MULTAS DE HASTA 20.000.000 € ó 4% del volumen de negocio global del último año. Infracción de los artículos 5 a7, 9, 12 a 22, 44 a 49 y 58 RGPD.
  1. Principios relativos al tratamiento
  2. Licitud del tratamiento
  3. Condiciones para el consentimiento
  4. Tratamiento de categorías especiales de datos personales
  5. Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado
  6. Información que deberá facilitarse cuando los datos personales se obtengan del interesado
  7. Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado
  8. Derecho de acceso del interesado
  9. Derecho de rectificación
  10. Derecho de supresión («el derecho al olvido»
  11. Derecho a la limitación del tratamiento
  12. Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento
  13. Derecho a la portabilidad de los datos
  14. Derecho de oposición
  15. Decisiones individuales automatizadas, incluida la elaboración de perfiles
  16. Transferencias de datos personales a terceros países u organizaciones internacionales
  17. Poderes
PRESCRIPCIÓN DE SANCIONES

-Por importe igual o inferior a 40.000 €  ——————– 1 año
-Por importe entre 40.001 € y 300.000 € ——————- 2 años
-Por importe superior a 300.000 €—————————- 3 años

PRINCIPIOS EN PROTECCIÓN DE DATOS
  1. LICITUD DEL TRATAMIENTO (art. 5.1 a RGPD)

Los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado.

  1. LEALTAD Y TRANSPARENCIA (art. 13.2 RGPD)

Además de la información mencionada en el artículo 13. 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:

  1. a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;
  2. b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
  3. c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;
  4. d) el derecho a presentar una reclamación ante una autoridad de control;
  5. e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;
  6. f) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
  1. LIMITACIÓN DE LA FINALIDAD (art. 5.1 b RGPD)

Los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales.

  1. MINIMIZACIÓN DE LOS DATOS (art. 5.1 c RGPD)

Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.

  1. EXACTITUD DE LOS DATOS (art. 5.1 d RGPD)

Los datos personales serán exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.

  1. LIMITACIÓN DEL PLAZO DE CONSERVACIÓN (art. 5.1 e RGPD)

Los datos personales serán mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado.

  1. INTEGRIDAD Y CONFIDENCIALIDAD (art. 5.1 f RGPD)

Los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.

  1. PRIVACIDAD DESDE EL DISEÑO Y POR DEFECTO (Considerando 78 y art. 25 RGPD)

La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del presente Reglamento. A fin de poder demostrar la conformidad con el presente Reglamento, el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto. Dichas medidas podrían consistir, entre otras, en reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales, dar transparencia a las funciones y el tratamiento de datos personales, permitiendo a los interesados supervisar el tratamiento de datos y al responsable del tratamiento crear y mejorar elementos de seguridad. Al desarrollar, diseñar, seleccionar y usar aplicaciones, servicios y productos que están basados en el tratamiento de datos personales o que tratan datos personales para cumplir su función, ha de alentarse a los productores de los productos, servicios y aplicaciones a que tengan en cuenta el derecho a la protección de datos cuando desarrollan y diseñen estos productos, servicios y aplicaciones, y que se aseguren, con la debida atención al estado de la técnica, de que los responsables y los encargados del tratamiento están en condiciones de cumplir sus obligaciones en materia de protección de datos. Los principios de la protección de datos desde el diseño y por defecto también deben tenerse en cuenta en el contexto de los contratos públicos.

Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.

El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.

Podrá utilizarse un mecanismo de certificación aprobado con arreglo al artículo 42 como elemento que acredite el cumplimiento de estas obligaciones.

  1. RESPONSABILIDAD PROACTIVA

La suma de todos estos principios es lo que se denomina responsabilidad proactiva. Es decir, las empresas deben asumir la responsabilidad de anticiparse a la materialización de los riesgos. Deberán adoptar medidas técnicas y organizativas que garanticen y demuestren un tratamiento dentro de la normativa.

DERECHOS DEL INTERESADO
CONSIDERACIONES COMUNES

1. LEGITIMACIÓN

1.1. ACTIVA: El propio interesado o, su representante, legal o voluntario, acreditado con el debido documento y la fotocopia del DNI del propio interesado.

1.2. PASIVA: El responsable del tratamiento. El encargado, siempre que se hubiese previsto en el contrato de encargo, también podrá recibir y tramitar las solicitudes.

2. PLAZO DE RESOLUCIÓN

En el plazo de 1 mes improrrogable debe darse una respuesta estimando, desestimando o, indicando que se procederá al estudio de la solicitud cuando revista cierta complejidad o exista concurrencia de solicitudes, en cuyo caso podrá ampliarse a 2 meses más.  Es decir, la respuesta motivada, debe darse en el plazo de 1 mes, desde la recepción de la solicitud, con independencia de su contenido.

3. CARÁCTER GRATUITO

No se puede solicitar tasa alguna salvo que las solicitudes resulten manifiestamente infundadas o excesivas, que se podrá cobrar una tasa proporcional a los costes generados o negarse a actuar y, en todo caso deberá motivarse.

1. DERECHO DE TRANSPARENCIA E INFORMACIÓN (Considerandos 60 a 62 RGPD, art. 12.1, 13, 14 RGPD y art. 11 LOPD-GDD)

Uno de los más fundamentales. Es muy importante facilitar al interesado toda la información sobre el tratamiento y, cómo se llevará a cabo en el momento previo al mismo de un modo totalmente transparente y con un lenguaje claro y accesible, sobre todo si nos dirigimos a menores de edad. Podrá realizarse por escrito, electrónicamente o, incluso de manera verbal. No obstante, no es aconsejable realizarlo oralmente debido a la obligación del responsable o encargado del tratamiento de demostrar, con evidencias sostenibles, que ha cumplido con su deber de información.

Para cumplir este deber correctamente, en la práctica habrá que diferenciar entre si los datos han sido o no obtenidos directamente del interesado.

2. DERECHO DE ACCESO (Considerandos 63 y 64 RGPD, art. 15 RGPD y art. 13 LOPD-GDD)

El interesado tiene derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no sus datos personales y,  si es así, tiene derecho a recibir toda la información que pueda afectar al tratamiento. En todo caso, recibida la solicitud de acceso, el responsable del tratamiento debe responder confirmando o negando la existencia del tratamiento.

No es estrictamente necesario un formato determinado para remitir la información, lo que sí que se requiere es que se facilite de un modo directo y seguro. No obstante, si el interesado lo solicitó por medios electrónicos éste recibirá copia de sus datos personales por estos mismos medios.

3. DERECHO DE RECTIFICACIÓN (art. 16 RGPD y art. 14 LOPD-GDD)

Es necesario mantener los datos del interesado, exactos y actualizados. La solicitud de modificación debe contener detalladamente qué datos se solicita modificar o actualizar. Además es recomendable que junto con la solicitud se adjunten los documentos que acrediten dichos cambios.

4. DERECHO DE SUPRESIÓN (Considerandos 35 y 66 RGPD, art. 17 RGPD y art.15, 17.1, 93 y 94 LOPD-GDD)

La antigua cancelación pasa ahora a denominarse supresión. Implica la eliminación total de los datos del interesado. Ejercitada la solicitud, el responsable debe resolver en plazo su procedencia y, si procede, eliminarlos. Existen determinas circunstancias bajo las cuales este derecho se puede materializar. Además, existen también motivos excepcionales por los que el responsable podría denegar la supresión.

Hay que tener en cuenta que en algunas ocasiones, éste derecho no podrá estimarse de manera absoluta debido a la concurrencia con la figura del bloqueo de los datos.

Dentro del derecho a la supresión hay que tener en cuenta la relevancia que la supresión tiene en el entorno digital. Se incluyen el derecho al olvido en búsquedas de Internet y el derecho al olvido en servicios de redes sociales y equivalente.

5. DERECHO A LA LIMITACIÓN DEL TRATAMIENTO (Considerando 67, art. 18 RGPD y art. 16 LOPD-GDD)

Supone una barrera sobre los datos del interesado que impide que se puedan seguir utilizando para la finalidad a la que fueron destinados. Para conceder la limitación existen determinadas condiciones que el responsable del tratamiento deberá analizar. En muchas ocasiones no se acciona de modo independiente sino que puede ser una consecuencia de la solicitud de otro derecho.

El responsable deberá enunciar expresamente las limitaciones en los datos personales que se den en su entidad en el registro de actividades de tratamiento como medida proactiva. No sólo se deben atender los derechos de los interesados, sino que se debe actuar en consecuencia y, ser capaz de probar que efectivamente se han atendido estos derechos.

6. DERECHO A LA PORTABILIDAD (Considerando 68 RGPD, art. 20 RGPD y art. 17 y 95 LOPD-GDD)

Es una extensión del derecho de acceso. Cualquier interesado tiene derecho a recibir sus datos del responsable del tratamiento con la finalidad de transmitirlos a otro responsable de su elección. Incluso se tiene derecho a que la portabilidad la realice el propio responsable.

Los únicos condicionantes son que el tratamiento esté basado en el consentimiento, en la ejecución de un contrato y se efectúe por medios automatizados.

Nos remitimos al artículo 95 LOPD-GDD para la regulación del derecho a la portabilidad en redes sociales y servicios equivalentes.

7. DERECHO DE OPOSICIÓN (Considerandos 69 y 70 RGPD, art. 21 RGPD y art. 18 y DF 3ª LOPD-GDD)

Supone, para el responsable, que no podrá seguir tratando los datos del interesado para ciertas actividades de tratamiento concretas, pero para otras sí, sin que esto conlleve un derecho de supresión. Pudiendo conservarlos en tiempo legalmente establecido.

No es necesario justificar causa particular concreta para ejercitar este derecho, lo que sí se debe tener en cuenta, en cuanto al contenido, es que no incluye todo tipo de tratamientos, deben darse determinadas circunstancias y, dándose éstas también presenta ciertas limitaciones que podrían hacer que el responsable del tratamiento denegase la solicitud y siguiese tratando los datos.

8. DERECHO DE OPOSICIÓN A DECISIONES AUTOMATIZADAS, INCLUIDA LA ELABORACIÓN DE PERFILES (Considerandos 71 y 72 RGPD y art. 22 RGPD)

Especialidad del derecho de oposición, pero a éste tratamiento concreto. Presenta ciertas limitaciones si la decisión:

-Es necesaria para la celebración o la ejecución de un contrato entre el interesado y el responsable del tratamiento.

-Está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.

-Se basa en el consentimiento explícito del interesado.

9. DERECHO A LA COMUNICACIÓN DE UNA VIOLACIÓN DE LA SEGURIDAD DE LOS DATOS PERSONALES DEL INTERESADO (art. 34 RGPD)

Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.

¿A QUIÉN VA DIRIGIDA LA NORMATIVA DE PROTECCIÓN DE DATOS?

Su ámbito material lo encontramos en el art. 2 RGPD

Se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

No se aplica al tratamiento de datos personales en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión, ni a los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de la Política Exterior y de Seguridad Común. Tampoco se aplica al tratamiento efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas. Ni al tratamiento efectuado  por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.

Su ámbito territorial lo encontramos en el art. 3 RGPD

Se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.

Se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:

  1. a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o
  2. b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.

Se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.

LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS

El nuevo marco normativo habilita una nueva figura, la del Delegado de Protección de Datos (DPD) o, más conocido por sus siglas en inglés (DPO), Data Protection Officer.

El DPO es la persona encargada de garantizar el cumplimiento de la Ley de Protección de Datos en la empresa.  Debe contar con conocimientos especializados en Derecho y en la práctica de la protección de datos y, por el momento, no se le exige tener que estar certificado oficialmente.

El DPO debe ser independiente y tener autonomía en la toma de decisiones ya que será el interlocutor entre el propio responsable de tratamiento y los encargados de tratamiento, los interesados y la propia AEPD.

Está obligado a mantener el secreto o la confidencialidad de todo lo relativo al desempeño de sus funciones pudiendo desempeñar otras funciones siempre que no exista un conflicto de intereses. Además, desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

Tendrá como mínimo las siguientes funciones:

  1. Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
  1. Supervisar el cumplimiento de lo dispuesto en el Reglamento, en otras disposiciones de protección de datos de la Unión o de los Estados miembros y en las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento y, las auditorías correspondientes.
  1. Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35 RGPD.
  1. Cooperar con la autoridad de control (AEPD).
  1. Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

No tiene por qué ser un profesional en sentido único, puede tener el carácter de una persona jurídica que ofrece éste servicio. Además existe la posibilidad de que forme parte de la estructura interna de la empresa o,  puede externalizarse su servicio.

¿Necesitas un DPD-DPO?

Podemos ayudarte

Llámanos al TLFN. 876-903-268 o solicita información a través de ésta web.

¿CUÁNTO ME CUESTA CUMPLIR CON ÉSTA NORMATIVA?

EXISTEN MÚLTIPLES ACTIVIDADES

Y cada empresa necesita un estudio previo y personalizado para adaptar correctamente la normativa a las características de su negocio. Por eso, no es recomendable dar un precio estándar para todo tipo de empresas.

Además del tipo actividad de la empresa, que requerirá además de determinadas particularidades, ajustar los textos y determinados documentos a sus concretas obligaciones,  existen otros factores que se deben valorar para poder dar un precio más ajustado a las exigencias de cada uno, entre otros muchos, la existencia o no de página web, los centros de trabajo, si se realiza publicidad, video vigilancia, se comparten datos, se realizan transferencias internacionales etc.

Dicho lo anterior y esperando que por la propia lógica esto se comprenda, podemos darte una estimación, en relación al precio mínimo desde el que partiría la implantación de la normativa adaptada desde una perspectiva básica en cuanto a las características que anteriormente acabamos de mencionar. Esta estimación partiría mínimo desde unos 125 € de implantación, a pagar en una primera y única vez, más 50 € de mantenimiento anual. Pero reiteramos que, en cualquier caso, siempre se debe realizar un estudio previo y personalizado para fijar el precio más ajustado.

DIRIGIDO A EMPRESAS DE PROFESIONALES

OFRECE A TUS CLIENTES LA PROTECCIÓN DE DATOS

UN VALOR AÑADIDO PARA TU NEGOCIO

SI QUIERES QUE TUS CLIENTES CUMPLAN CON LA NORMATIVA

DÉJALO EN NUESTRAS MANOS

rgpd

LLÁMANOS O INFÓRMATE EN TFNO.: 876 903 268  rgpd@ingenia-aragon.com

La protección de datos no es sólo un derecho,  también es un deber de OBLIGADO CUMPLIMIENTO que nos AFECTA A TODOS     

Solicitar información

He leído y acepto la política de privacidad de Informática Ingenia S.L.

He leído y acepto el envío de publicidad

En nombre de la Informática Ingenia S.L. tratamos la información que nos facilita con el fin de enviarle publicidad relacionada con nuestros productos y servicios por cualquier medio (postal, email o teléfono) e invitarle a eventos organizados por la empresa. Los datos proporcionados se conservarán mientras no solicite el cese de la actividad. Los datos no se cederán a terceros salvo en los casos en que exista una obligación legal. Usted tiene derecho a obtener confirmación sobre si en Informática Ingenia S.L. estamos tratando sus datos personales por tanto tiene derecho a acceder a sus datos personales, rectificar los datos inexacto o solicitar su supresión cuando los datos ya no sean necesarios para los fines que fueron recogidos. Podrá ejercer estos derechos, acompañando fotocopia del DNI, a la dirección Calle Camino de las Torres, 4 Local Oficina 4, 50002 (Zaragoza). mas información