Cumple la normativa de protección de datos de forma fácil y segura

¿Cómo saber si estoy tratando datos personales?

Si tratas datos de clientes o clientes potenciales, de proveedores, de trabajadores, o tienes una página web estás tratando datos personales

~

¿Cómo saber si el dato que trato es un dato personal?

Para saber si el dato que estás tratando es un dato personal hazte las siguientes siguientes preguntas:

¿el dato se refiere a una persona física identificada? o ¿puede identificarse a la persona física directa o indirectamente?

Son datos personales: 

  • su nombre
  • su número de identificación
  • sus datos de localización
  • su identificador en línea
  • y los elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona son datos que permiten identificar directa o indirectamente a la persona física

¿Necesitas ayuda en materia de Protección de Datos?

Confía en nuestros expertos en protección de datos y adapta tu actividad de forma cómoda, segura y personalizada 

100% Online

Toda tu información en una plataforma on-line, SIN PAPELEO

Tu información siempre actualizada

Evidencias y cambios normativos y actualizados 

Rápido, sencillo y seguro

Realiza las tareas y recomendaciones  a tu ritmo, y  de forma segura. 

Asesoramiento continuo por email y teléfono

Podrás consultar siempre que lo necesites con el abogado que se encargue de tu proyecto

Te ayudamos con la  gestión y la mejora de la protección de datos

Te facilitamos todas las cláusulas legales

 Cláusulas legales para emails, contratos con clientes, trabajadores….

elaboracion contratos

Confección contratos de encargado de tratamiento

Redactaremos todos los contratos con los proveedores que intervengan en el tratamiento de datos

Elaboración del registro de actividades

Te ayudaremos a identificar y analizar los tratamientos y a elaborar el registro de actividades

Análisis de riesgos

Analizaremos tus tratamientos, y sus posibles riesgos.
elaboracion contratos

Gestionar las incidencias

La mejor forma de gestionar las incidencias es evitarlas, por eso analizamos el riesgo de tu empresa y te sugerimos las medidas que debes adoptar. Si aún así tienes un incidente, te ayudaremos a gestionarlo. 

Ejercicio de derechos

Crearemos un procedimiento de ejercicio de derechos y te ayudaremos a atenderlos adecuadamente

proteccion de datos: Cosas que debes saber como empresario

Obligación de información sobre el tratamiento de sus datos y sobre el ejercicio de sus derechos.

Estás obligado a informar de forma clara y sencilla sobre los aspectos más importantes del tratamiento de sus datos, identificando quién trata los datos, con qué base jurídica, para qué finalidad, y sobre la forma de ejercer los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad, oposición y decisiones automatizadas, incluida la elaboración de perfiles.

No siempre es necesario el consentimiento para que el tratamiento de datos personales sea legítimo

El Reglamento General de Protección de Datos y la Ley Orgánica recogen varias
bases jurídicas legitimadoras del tratamiento de datos personales por parte de las organizaciones privadas:

  • relación contractual previa que contemple el tratamiento,
  • consentimiento del ciudadano
  • o interés legítimo que prevalezca sobre los derechos de las personas, entre otras.

No es necesario que el consentimiento si existe otra otra base jurídica que legitime el tratamiento.

En los casos en los que el consentimiento  sea preciso por no existir otra base legitimadora, la aceptación de tratamiento debe ser libre, específico, informado e inequívoco, ya sea mediante una declaración o una clara acción afirmativa.

El consentimiento tácito o por omisión NO ES VÁLIDO

SI quieres que el consentimiento legitime varias finalidades es necesario que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas.

Tratamiento de datos de menores de edad

Si tratas datos personales de menores, cuando el tratamiento de datos esté legitimado por el consentimiento,  debes exigir el consentimiento del menor cuando sea mayor 14 años; y el de los padres o sus representantes legales en el caso de que sea menor de 14 años.

Limitación de la actividad publicitaria: las “listas Robinson”

Si vas a hacer una campaña publicitaria y no tienes el consentimiento para recibir publicidad  debes consultar con
carácter previo las “listas Robinson” para evitar el envío de publicidad a aquellos 
ciudadanos que se hayan registrado en ellas.

Si tienes el consentimiento, no es necesario  que consultes la lista. El registro en la lista Robinson no renova el consentimiento. 

Derecho a la intimidad de los empleados

La Ley Orgánica garantiza el derecho a la intimidad de los empleados en el lugar de trabajo frente al uso de dispositivos de videovigilancia y de grabación de sonidos, así como frente al uso de los dispositivos digitales y sistemas de geolocalización, de los que deberán ser informados de forma expresa, clara e inequívoca.

Delegado de Protección de datos: supuestos de designación obligatoria

El RGPD, establece que es obligatorio nombrar DPD cuando: 

  • Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados gran escala, o
  • Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales. 

La LOPDGDD especifica las entidades y organismos que deberán proceder a esta designación con carácter obligatorio:

  • Los colegios profesionales y sus consejos generales.
  • Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
  • Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
  • Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
  • Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
  • Los establecimientos financieros de crédito.
  • Las entidades aseguradoras y reaseguradoras.
  • Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
  • Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
  • Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
  • Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
  • Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
  • Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
  • Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
  • Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
  • Las empresas de seguridad privada.
  • Las federaciones deportivas cuando traten datos de menores de edad.

 

RESPONSABILIDAD PROACTIVA:Medidas de Cumplimiento

Registro de actividades de tratamiento

El RGPD regula en su artículo 30 el denominado “Registro de actividades de tratamiento” que sustituye la inscripción de ficheros (vigente con la anterior LOPD 15/1999) y establece que cada responsable y, en su caso, el encargado del tratamiento, llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad.

Dicho registro deberá contener la siguiente información: 

  • el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
  • los fines del tratamiento;
  • una descripción de las categorías de interesados y de las categorías de datos personales;
  • las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
  • en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
  • cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
  • cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad 
Análisis de riesgos y adopción de medidas de seguridad

Las medidas de seguridad son claves a la hora de garantizar el derecho fundamental a la protección de datos ya que no es posible asegurar el derecho fundamental a la protección de datos si no es posible garantizar:

  • la confidencialidad,
  • la integridad
  • y la disponibilidad de los  datos personales.

Para garantizar estos tres factores de la seguridad son necesarias medidas tanto de índole técnica como de índole organizativo.

El primer paso para determinar las medidas de seguridad será el análisis del riesgo, una vez evaluado el riesgo será necesario determinar las medidas de seguridad encaminadas para reducir o eliminar los riesgos para el tratamiento de los datos.

Evaluaciones de impacto de protección de datos

Una Evaluación de impacto es un proceso ligado a los principios de protección de datos desde el diseño y protección de datos por defecto concebido para:

  • describir, de manera anticipada y preventiva, un tratamiento de datos personales,
  • evaluar su necesidad y proporcionalidad
  •  gestionar los potenciales riesgos para los derechos y libertades a los que estarán expuestos los datos personales en función de las actividades de tratamiento que se lleven a cabo con los mismos,
  • determinar las medidas necesarias para reducirlos hasta un nivel de riesgo aceptable.

Esta obligación debe entenderse en el contexto de la responsabilidad proactiva y la obligación general de:

  • gestionar adecuadamente los riesgos
  • y demostrar que se han tomado las medidas adecuadas para garantizar el cumplimiento de los requisitos exigidos por el RGPD.
Brechas de seguridad

Una brecha de seguridad es un incidente de seguridad que afecta a datos de carácter personal.

Este incidente puede tener un origen accidental o intencionado y además puede afectar a datos tratados digitalmente o en formato papel.

En general, se trata de un suceso que ocasione destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales.

Una brecha de seguridad puede tener una serie de efectos adversos considerables en las personas, susceptibles de ocasionar daños y perjuicios físicos, materiales o inmateriales; por lo que hay que intentar evitarlas y en caso de que sucedan gestionarlas adecuadamente.

 

Protección de datos desde el diseño y por defecto

El principio de protección de datos desde el diseño tiene como objetivo:

  • proteger los derechos de los interesados 
  • que la protección de datos se encuentre presente en las primeras fases de concepción de un proyecto.

Estos requisitos se van a traducir en medidas técnicas y organizativas con el objeto de:

  • aplicar de forma efectiva los principios de protección de datos
  • integrar las garantías necesarias en el tratamiento.

El concepto de privacidad por defecto se refiere a que sólo sean objeto de tratamiento los datos personales que sean estrictamente necesarios para cada uno de los fines de tratamiento.

Cuando se diseña un tratamiento de datos, se ha de tener en cuenta que sólo debe accederse a los datos estrictamente necesarios para ese tratamiento, con independencia de los datos que hayamos recabado para la prestación del servicio. 

Los empleados de la empresa sólo han de tener acceso a los datos de carácter personal que son estrictamente necesarios para realizar su trabajo o proporcionar un servicio. 

Qué dicen de nosotros

nuestros clientes

Me siento arropada, empecé con una consulta gratuita y he contratado varios de sus servicios

Elena

Dentista

Cuando tengo una duda me atienden y me asesoran, sin importar la materia, incluso en temas personales

Daniel

Informático

Durante el estado de alarma me comunicaron que añadía 2 meses de servicio gratis, no tuve ni que pedirlo

Eduardo

Abogado

Pin It on Pinterest