Cómo cumplir con la directiva europea de Protección de datos

cómo cumplir con la directiva europea de Protección de Datos

Aprende cómo cumplir con la directiva europea de Protección de Datos

En este artículo vamos a ver cómo cumplir con la directiva europea de Protección de Datos de forma que no tengamos ningún problema. Este artículo es la continuación del artículo de la semana pasaba en la que hacíamos un primer acercamiento a la Protección de Datos de Carácter Personal.

Como todos sabemos, esta Directiva Europea entra en vigor el 25 de mayo de 2018 y es de obligado cumplimiento para todas las páginas web y empresas que tienen su sede (o facturan) en la Unión Europea.

Descárgate el pdf publicado en el BOE el 27 de abril de 2016.

cómo cumplir con la directiva europea de Protección de Datos

Principios que regula el GDPR

Antes de ver cómo cumplir con la directiva europea de Protección de Datos, deberás saber qué prinicpios están regulados en esta Normativa Europea.

Los relativos al tratamiento de los datos: legalidad, lealtad y transparencia, con fines determinados, explícitos y legítimos, sin que se pueda dar otro uso distinto. Adecuados, pertinentes y limitados a lo estrictamente necesario.Y además exactos y actualizables cuando se compruebe que no lo son.

Datos que quedan fuera de la regulación

Hay categorías de datos que quedan fuera de este régimen ordinario, y en principio, salvo excepciones contadas, quedan prohibidos.

Están fuera de esta regulación los siguientes tipos de datos:

  • Etnia
  • Raza
  • Ideología
  • Religión
  • Afiliación sindical
  • Vida sexual
  • Datos genéticos
  • Datos biométricos

Excepciones

  • Un consentimiento explícito y reforzado
  • Datos publicados por el interesado
  • Datos que sean necesarios en un procedimiento judicial
  • Que sean necesarios para fines de tratamiento médico, de protección de la salud pública
  • De investigación científica, histórica o estadística

El responsable del tratamiento

Es el que responderá de que éste sea conforme a Derecho, abarca las medidas técnicas y organizativas apropiadas para garantizarlo. El responsable debe vigilar que los dispositivos físicos, lógicos, redes de transmisión y demás medios materiales sean suficientemente seguros. Por otro lado, debe establecer una política de empresa en la que se contemplen las eventualidades, los riesgos y la forma de responder a las distintas contingencias, con la atribución de los distintos papeles a cada empleado.

El encargado del tratamiento

Si el responsable es el encargado de responder sobre el tratamiento de estos datos, el encargado es el que ha de ejecutar este tratamiento.

El responsable sólo puede designar un encargado, éste, a su vez, no puede subcontratar esta tarea previa autorización por escrito. El contrato que lo sustituya debe recoger: objeto, duración, naturaleza y finalidad del tratamiento. También el tipo de datos, categorías de interesados, así como los derechos y obligaciones del responsable.

Particularmente, el documento deberá especificar que el encargado se limitará a seguir instrucciones documentadas del responsable, que los empleados del encargado se han comprometido a respetar la confidencialidad o estaban ya obligadas a ello. Tomará todas las medidas de seguridad necesarias incluyendo pseudominización, cifrado, copias de seguridad y auditarías periódicas. El cambio del encargado no implica el cambio de las condiciones en las que este debe prestar sus servicios, y si el segundo encargado incumple, el segundo sigue siendo responsable ante el encargado del tratamiento.

Deberá prestar su colaboración para que el responsable del tratamiento pueda hacer frente a las solicitudes de transparencia, información, acceso, rectificación y demás. Pondrá a disposición del responsable toda la información necesaria para acreditar el cumplimiento del Reglamento y facilitar la realización de auditorias o inspecciones.

Pasos obligatorios para adaptarte y saber cómo cumplir con la directiva europea de Protección de Datos

Cómo cumplir con la directiva europea de Protección de Datos: para ello, como mínimo deberías cumplir estos puntos:

Punto 1: Alta del fichero en la agencia Estatal de Protección de Datos

  1. Lo primero es dirigirse al servicio NOTA en la página oficial de la Agencia Española de Protección de Datos.
  2. Inicias una nueva notificación y dependiendo de si tienes certificado electrónico o no, elegirás una u otra opción.
  3. Rellenas tus datos en un archivo que te aparecerá como este:
    Alta del fichero en la agencia Estatal de Protección de Datos
  4. Rellenas igualmente los datos del responsable del fichero seleccionando a la actividad que te dediques y te aparecerá una página como esta donde habrá que darle a ALTA DE FICHERO, salvo caso contrario.
  5. Posteriormente le darás a alta Normal o formulario Tipo, este es interesante si tratas datos como los que te exponen que te redactan automáticamente el formulario, si estas en unos de estos casos, dale así y ahorras tiempo.

Punto 2. Medidas de seguridad desarrolladas en el Documento de Seguridad

Las medidas de seguridad son diferentes dependiendo del tipo de nivel de datos ante el que nos encontremos, recogiéndose en la Ley de 3 tipos, Nivel Básico, Nivel Medio y Nivel alto.

Hay que diferenciar:

  • Ficheros automatizados que se recogen en la LOPD en los artículos 89 a 114 y se refiere a aquellos que se utilizan procedimientos de búsqueda automatizados, básicamente en soporte informático, refiriéndose a carpetas, bases de datos, archivos.
  • Ficheros no automatizados, que son aquellos que se encuentran en formato papel, y se recoge en el Reglamento que desarrolla la LOPD en los artículos 105 a 114, es sencillo de entender pero a modo de ejemplo podéis haceros una idea con un despacho de abogados donde la información se recoge en expedientes físicos.

El contenido mínimo que deber tener el documento de seguridad seria el siguiente:

  • Ámbito de aplicación del documento.
  • Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar los niveles de seguridad exigidos en este documento.
  • Información y obligaciones del personal.
  • Procedimientos de notificación, gestión y respuestas ante las incidencias.
  • Procedimientos de revisión.

El punto más importante de este documento de seguridad no es realizarlo, sino ACTUALIZARLO, de nada te sirve hacerlo una vez y que pasen 5 años donde tu forma de recoger datos o se ha actualizado la normativa debiendo adoptar unas u otras medidas y no se recoge en este documento, por eso es de vital importancia.

Punto 3. Consentimiento para la recabación de datos e información de derechos

La definición del consentimiento viene regulado expresamente en la Ley Orgánica de Protección de Datos como:

ART. 3H LOPD — “ toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”

La ley además dice que este consentimiento debe ser INEQUIVOCO. No obstante, la Ley permite que el consentimiento pueda realizarse de varias formas:

  • Expreso, declaración de voluntad por la que se manifiesta que acepta el acuerdo (podemos plasmarlo en un contrato mediante una cláusula que se incorpora al mismo y se firma).
  • Tácito, se le advierte de los derechos que tiene el afectado y en caso de no impugnarlo en el plazo de 30 días, se le entiende que consiente los datos.
  • Especialmente protegidos: Debe ser expreso y escrito.

Punto 4. Deber de confidencialidad

Debes saber que la AEPD solo sanciona al responsable del fichero, y no a la persona que incumple, lógicamente no puede quedar impune esta persona ya que derivarían acciones civiles y penales, lo que nos referimos con esto es que es básico un documento que se recoja que has informado a tus trabajadores o a las personas que debas informar para salvaguardarte de una posible sanción.

Art. 10 LOPD – El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Es FUNDAMENTAL y obligatorio la redacción de cláusulas de confidencialidad ya sea entre trabajadores si es que los tienes y los encargados del tratamiento, ya que como exige la normativa es obligatorio GUARDAR SECRETO por lo que deben informar de esa obligación.

Punto 5. Política de privacidad, cookies y aviso legal

Si tienes una página web y recabas información personal ya sea mediante suscripción a newsletter o porque realizas determinados servicios, es necesario que sepas para que sirve cada una, si puedes tenerlas todas en una sola página o tienes que tenerla por separado.

Aviso legal

Te lo voy a decir de forma resumida, imagina que la AEPD o un usuario necesita identificarte, ¿Dónde lo hace? En este apartado, por lo cual, debes recoger:

  • Datos que identifiquen al titular de la página web, con DNI o si es una sociedad su CIF e inscripción en el Registro Mercantil.
  • Si se realiza una actividad que necesita de autorización administrativa previa, se debe hacer constar estos datos.
  • Si eres un profesional colegiado, debes recoger tu número de colegiación y colegio inscrito.
  • Precios (si vendes servicios).
  • Si estás regido por un código de conducta, debes recoger como encontrarlo y si estás adherido al mismo.

Política de privacidad

En este apartado, debes ser identificable, es decir, tienes que establecer cuáles son tus datos, quien es el dueño de la página así como tu domicilio social, que si eres autónomo y trabajas desde casa, éste sería el domicilio.

Aquí debes exponer para qué recoges sus datos de carácter personal así como la finalidad con la que los recoges. Asimismo, si el responsable del fichero es una persona diferente, debes indicarlo también.

Cookies

No basta con recoger en tu página web el típico plugin que dice que la web usa cookies y que das tu consentimiento, porque han existido sanciones en este sentido.

Paso 5. Condiciones generales de la contratación

Es sencillo, si vendes servicios o tienes un e-comerce, debes recoger este apartado obligatoriamente, estableciendo igualmente tus datos personales o de la sociedad que realice la venta para evitar posibles engaños, así como las condiciones de devolución, que es un derecho que tenemos como usuarios.

La cuestión que suele preguntarse la mayoría de la gente es si todo esto hay que hacerlo en diferentes páginas o en una sola.

La respuesta es… como queráis, pero si vendéis servicios o es un e-Commerce, lo aconsejable es tener una política de privacidad (donde puedes incluir la política de cookies) y aparte una de condiciones generales de contratación, ya que el cliente tiene que aceptar las condiciones para poder realizar la compra y tener acceso a las mismas de manera sencilla.

Si lo deseas, desde aquí puedes descargarte un documento que te servirá como base.

 

¿Qué te ha parecido el artículo?. Házmelo saber en los comentarios que tienes más abajo. Estoy deseando leerte.

Por último, si crees que este artículo puede ser interesante para algún amigo tuyo, te agradecería enormemente que lo compartieras con él y con todo el mundo a través de las Redes Sociales.

Puede que también te interese...

Deja un comentario

Información básica sobre protección de datos
Responsable: Jose González Bueno.
Finalidad: Moderación y publicación de comentarios.
Destinatarios: No se comunican datos a terceros.
Derechos: Tienes derecho a acceder, rectificar, exportar y suprimir tus datos.

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

He leído y acepto la política de privacidad de este sitio. *