Protección de Datos para Empresas
Protección de Datos para Empresas
Nosotros lo hacemos por ti
Evita las sanciones
Aprovecha la OFERTA ESPECIAL del 50%
Autonomos y empresas de hasta 5 trabajadores.
Sólo hasta el 31/10/2022 45€ el primer año.
RGPD para empresas desde 99€
"Desde el 25 de mayo de 2018, el nuevo Reglamento General de Protección de Datos es de obligado cumplimiento para cualquier negocio"
- Protección de datos Empresas
La nueva Ley de Protección de Datos Personales y garantía de los derechos digitales - LOPDGDD 3/2018 adapta el derecho español al RGPD
Tus derechos
- Derecho de acceso.
- Derecho de rectificación.
- Derecho de oposición.
- Derecho de supresión ("al olvido").
- Derecho a la limitación del tratamiento.
- Derecho a la portabilidad.
- Derecho a no ser objeto de decisiones individuales automatizadas.
- Derecho de información.
Sanciones
- Las sanciones leves van desde 600.01 € hasta 60.101,21 €.
- Las sanciones graves van desde 60.101,21 € hasta 300.506,05 €.
- Las sanciones muy graves van desde 300.506,05 € hasta 601.012,10 €.
¿Quienes deben cumplir la RGPD y la LOPDGDD?
El RGPD se aplica a los negocios, y empresas cuya actividad que constituyan el objeto social de la empresa deben incluir actividades en las que el tratamiento de datos forme una parte indisoluble de la actividad del responsable o encargado del tratamiento, salvaguarda y protección de los datos correspondientes de los mismos.
Están obligados a su cumplimiento todos los Autónomos, Pymes y las Comunidades de Propietarios con o / sin sitio web, que gestionen datos de carácter personal, tales como nombres, emails, etc.
Ten presente
El que no conozcas la ley no te exime de su cumplimiento
Ley de Protección de Datos Empresas
Son dos las normas mas importantes que rigen en España las actividades con datos personales y son la Ley Orgánica de Protección de Datos de Carácter Personal de 1999 y el Reglamento General de Protección de Datos Personales aprobado por la Unión Europea en 2016 y de aplicación efectiva en España a partir del 25 de mayo de 2018.
El Reglamento General de Protección de Datos (RGPD) se aplica a todos negocios, Autónomos, Pymes, organizaciones, administraciones y Comunidades de Propietarios que gestionen los datos de carácter personal de los usuarios o clientes como nombres, emails, direcciones, teléfonos. Obliga a realizar la protección de datos empresas.
Existe la creencia de que el RGPD sólo afecta a las empresas que desarrollan actividades que están relacionadas con las nuevas tecnologías. Pues bien, eso no es cierto, este reglamento es de obligado cumplimiento tanto para persona físicas como para personas jurídicas que sean poseedoras de datos de carácter personal de usuarios o clientes (personas físicas).
El RGPD es un reglamento europeo enfocado a la protección de los datos de las personas físicas evitando que exista una libre circulación de los datos que las mismas se ven obligadas a entregar a las empresas para poder tener una relación comercial. Entró en vigor el 25/05/2016 pero no fue de aplicación obligatoria hasta el 25/05/2018. Este tiempo de transición fue necesario para que tanto las empresas privadas como organizaciones, organismos e instituciones se fuesen adaptando para su cumplimiento. El ámbito de aplicación es la Unión Europea por lo que cualquier empresa que desarrolle su negocio total o parcialmente en la UE y manejen datos personales de cualquier tipo están obligados a acogerse a la Ley de protección de datos empresas siendo sancionable su incumplimiento con multas de hasta 20 millones de euros.
Que entendemos como datos de carácter personal
Estos datos son los que se refieren a cualquier información de personas físicas (no jurídicas) identificadas o identificables. Estos datos son nombre, apellidos, teléfono, NIF, dirección, edad, fecha de nacimiento, sexo, datos bancarios, etc… Por tanto, aquellos datos que permiten identificar a una persona en concreto.
Estos datos se suelen llamar ficheros y pueden ser automatizados en soporte informático o pueden ser no automatizados, en soporte físico o en papel. Estos ficheros van a recoger los datos que tienen relación entre sí de una manera organizada.
El responsable de cada empresa debe notificar los ficheros a la Agencia de Protección de Datos antes de su creación y ha de hacerse por internet. La notificación se hará de cada uno de los ficheros que la empresa tenga (proveedores, clientes, trabajadores, etc)
En caso de duda, la mejor opción es que este proceso lo realice un profesional ya que el incumplimiento de esta ley puede suponer la imposición de sanciones que pueden llegar a ser muy elevadas, entre 600 y 600.000 euros.
Tipos de datos
Con la aplicación del RGPD se pretende la protección del derecho al honor y la intimidad de las personas. Se distinguen 3 niveles de protección dependiendo de la sensibilidad de los datos que se recojan:
- Nivel alto: En este nivel se incluyen los datos que se refieren a ideologías políticas, creencias religiosas, datos sobre salud, vida sexual, afiliaciones sindicales, etc..
- Nivel medio: En este nivel se incluyen los datos referidos a solvencia patrimonial, servicios financieros, infracciones penales o administrativas, ficheros por impagos o morosidad, etc…
- Nivel bajo: En este nivel se incluyen el reto de datos como nombre, apellidos, NIF, teléfono, dirección, email, sexo, etc…
Principios de la Ley de Protección de Datos Empresas
El Reglamento General de Protección de Datos establece una serie de principios que deben de tener en cuenta las personas responsables del tratamiento de los datos personales que aportan los clientes:
- Principio de “limitación de la finalidad”: Los datos recabados por la empresa han de tratarse con la finalidad o finalidades explícitas y determinadas para las que han sido recabados y, además, está prohibido que esos datos recogidos para esas finalidades en concreto se traten con fines incompatibles a los inicialmente determinados.
- Principio de “licitud, transparencia y lealtad”: Los datos serán tratados por parte de la empresa de forma legal y transparente para con el interesado que nos los ha proporcionado.
- “Principio de exactitud”: Los datos deben ser exactos, adoptándose las medidas necesarias para la rectificación o supresión de datos que no correspondan en relación a los fines perseguidos.
- Principio de “minimización de datos”: Los datos deberán ser adecuados y estar limitados a lo que es estrictamente necesario según los fines para lo que van a ser tratados.
- Principio de “integridad y confidencialidad”: Los responsables del tratamiento de los datos tienen la obligación de ser proactivos en la protección de esos datos para evitar riesgos o amenazas en la seguridad de los mismos.
- El principio de “limitación del plazo de conservación”: La conservación de los datos se limitará a la consecución de fines perseguidos por el tratamiento de los mismos. Toda vez que se han conseguido estos fines, estos datos se eliminarán total o parcialmente de forma que de ninguna manera se pueda identificar a los interesados.
- Principio de “responsabilidad proactiva”: Los responsables del tratamiento de los datos deberán aplicar todas las medidas organizativas y técnicas para garantizar y demostrar que el tratamiento de los datos personales se realiza dentro de las directrices marcadas por el Reglamento General de Protección de Datos.
Materialización del principio de responsabilidad proactiva de la Ley de Protección de Datos Empresas
- Delegado de protección de datos empresas: El RGPD establece supuestos de designación obligatoria cuando:
- El tratamiento lo realice una autoridad u organismo público, excepto los tribunales en ejercicio de su función judicial.
- Las principales actividades del responsable sean operaciones de tratamiento que requieran una observación habitual y sistemática de interesados.
- Las principales actividades del responsable consistan en el tratamiento a gran escala de categorías especiales de datos personales incluidos datos relativos a condenas judiciales e infracciones penales.
- Registro de actividades de tratamiento: Sustituye la inscripción de ficheros. Cada responsable y encargado llevarán registros de las actividades de tratamiento que se realicen bajo su responsabilidad.
- Medidas de protección de datos desde el diseño y por defecto: protección de datos empresas desde el diseño y por defecto.
- Análisis de riesgos y adopción de medidas de seguridad: Para garantizar la confidencialidad, integridad y disponibilidad de los datos personales son necesarias medidas tanto de índole técnica cómo organizativa.
- Notificación de brechas de seguridad: Una brecha de seguridad en la protección de datos empresas puede ser de origen accidental o intencionado y puede ocasionar destrucción, alteración , comunicación o acceso no autorizado a datos personales.
- Evaluaciones de impacto sobre la protección de datos: es un proceso pensado para describir el tratamiento de datos personales gestionando, de forma preventiva, los riesgos potenciales para los derechos y libertades de los datos personales y determinando las medidas que son necesarias para reducir el riesgo a un nivel que se considere aceptable.
- La adhesión por parte de responsables y encargados de tratamiento a códigos de conducta, mecanismos de certificación, sellos y marcas de protección de datos
- Transferencias internacionales
El cumplimiento y aplicación de la Ley de Protección de datos empresas es obligatorio.
¿Qué empresas están obligadas a la protección de datos?
Todas las empresas y autónomos que manejen datos personales en el curso de su actividad están obligadas a cumplir con la normativa de protección de datos personales. Esto incluye tanto a empresas del sector público como privado, así como a las empresas extranjeras que manejen datos de ciudadanos de la Unión Europea.
En particular, las empresas están sujetas a la Ley Orgánica de Protección de Datos (LOPD) y al Reglamento General de Protección de Datos (RGPD) de la Unión Europea si procesan datos personales. Esto implica, por ejemplo, que deben obtener el consentimiento explícito de las personas cuyos datos están siendo procesados, y que deben garantizar la seguridad de los datos.
Además, las empresas que manejan datos sensibles, como información sobre la salud o datos financieros, tienen obligaciones adicionales de protección de datos. En cualquier caso, se recomienda que las empresas consulten con un asesor jurídico o experto en protección de datos para asegurarse de que están cumpliendo con todas las obligaciones legales correspondientes.
¿Qué es la protección de datos en una empresa?
La protección de datos en una empresa se refiere al conjunto de medidas legales, técnicas y organizativas que deben adoptar las empresas para garantizar la privacidad y protección de los datos personales de sus clientes, empleados y proveedores, de acuerdo con lo establecido en la normativa de protección de datos personales.
La normativa española de protección de datos personales está regulada por la Ley Orgánica de Protección de Datos (LOPD) y su Reglamento de Desarrollo, el Real Decreto 1720/2007. Estas normativas establecen los derechos y deberes de los ciudadanos y las empresas en relación con la recopilación, almacenamiento, tratamiento y transferencia de datos personales.
Entre las medidas que una empresa debe adoptar para proteger los datos personales, se encuentran:
· Identificación y clasificación de los datos personales que se manejan.
· Nombramiento de un responsable de protección de datos.
· Implementación de medidas de seguridad adecuadas para la protección de los datos personales.
· Información clara y transparente a los titulares de los datos personales sobre el tratamiento que se les va a dar a sus datos.
· Obtención del consentimiento de los titulares de los datos personales antes de su tratamiento.
· Derecho de acceso, rectificación, cancelación y oposición por parte de los titulares de los datos personales.
· Realización de evaluaciones de impacto de protección de datos.
Las empresas que incumplen estas normas pueden ser sancionadas con multas que pueden llegar hasta los 20 millones de euros o el 4% de la facturación global anual de la empresa.
¿Qué debo hacer para cumplir con la ley de protección de datos?
· Informar a las personas afectadas sobre la recopilación de sus datos personales y la finalidad para la que se van a utilizar, mediante la elaboración de una Política de Privacidad.
· Obtener el consentimiento explícito de las personas para el tratamiento de sus datos personales, salvo que se trate de datos necesarios para el cumplimiento de una obligación legal.
· Garantizar la seguridad de los datos personales, adoptando las medidas técnicas y organizativas necesarias para evitar su alteración, pérdida, tratamiento o acceso no autorizado.
· Designar un delegado de Protección de Datos (DPD) en el caso de que sea necesario. El DPD es la persona encargada de velar por el cumplimiento de la LOPD en la organización.
· Cumplir con los derechos de los titulares de los datos, como el derecho de acceso, rectificación, cancelación y oposición.
Es importante recordar que la LOPD también se aplica a empresas y organizaciones que recopilan datos personales de ciudadanos españoles, aunque no tengan su sede en España. Por lo tanto, si su empresa opera en España o recopila datos personales de ciudadanos debe cumplir con la LOPD.
¿Qué diferencia hay entre LOPD y RGPD?
La LOPD (Ley Orgánica de Protección de Datos) y el RGPD (Reglamento General de Protección de Datos) son dos leyes que regulan la protección de datos personales.
La principal diferencia entre ambas es que la LOPD se aprobó en el año 1999 y estableció las bases para la protección de datos en España, mientras que el RGPD es una normativa europea que entró en vigor en mayo de 2018 y que establece un marco legal común para toda la Unión Europea.
En términos generales, el RGPD es mucho más exigente que la LOPD en cuanto a las obligaciones y responsabilidades de las empresas y organizaciones que tratan datos personales, así como en los derechos de los titulares de los datos. Por ejemplo, el RGPD establece la obligación de nombrar un delegado de Protección de Datos en determinadas situaciones, mientras que la LOPD no lo exigía.
En cualquier caso, es importante tener en cuenta que el RGPD no sustituye por completo a la LOPD, sino que la complementa y modifica en algunos aspectos, por lo que ambas leyes deben ser tenidas en cuenta.
¿Qué datos personales no se pueden publicar?
La RGPD (Reglamento General de Protección de Datos) de la UE establece que cualquier dato personal que identifique directa o indirectamente a una persona física es considerado un dato personal y, por lo tanto, debe ser tratado con cuidado y protegido adecuadamente.
Algunos ejemplos de datos personales que no deben ser publicados sin el consentimiento explícito del titular son:
· Información de identificación personal, como el nombre completo, la dirección, la fecha de nacimiento, el número de identificación nacional o cualquier otro número de identificación personal.
· Información financiera, como números de cuenta bancaria, números de tarjeta de crédito o débito.
· Información de salud, como historiales médicos o información sobre discapacidades.
· Información relacionada con la vida sexual o la orientación sexual de una persona.
· Información sobre afiliaciones políticas, creencias religiosas o filosóficas.
· Datos biométricos, como huellas dactilares, reconocimiento facial, etc.
· Información sobre condenas penales o delitos.
En general, cualquier dato personal que pueda utilizarse para identificar directa o indirectamente a una persona física no debe ser publicado sin su consentimiento explícito. Es importante tener en cuenta que esto también se aplica a la fotografía o imágenes que contengan información personal.
¿Quién puede acceder a mis datos personales?
En general, tus datos personales sólo deben ser accesibles por ti y las personas o entidades que tú hayas autorizado para hacerlo, y que estén legalmente autorizadas para procesar esos datos. Sin embargo, esto puede variar dependiendo de la legislación específica de tu país y del tipo de datos que estés compartiendo.
Algunos ejemplos de personas o entidades que pueden tener acceso a tus datos personales incluyen:
Servicios en línea: Las empresas que ofrecen servicios en línea pueden acceder a tus datos personales si los necesitan para proporcionarte el servicio que les has solicitado. Por ejemplo, una empresa de comercio electrónico podría necesitar tu nombre y dirección para enviarte un pedido.
Autoridades gubernamentales: En algunos casos, las autoridades gubernamentales pueden tener acceso a tus datos personales. Por ejemplo, si eres un empleado y estás pagando impuestos, la Agencia Tributaria puede necesitar acceder a cierta información personal para asegurarse de que estás pagando los impuestos adecuados.
Empleadores: Si estás empleado, tu empleador puede tener acceso a ciertos datos personales como tu nombre, dirección, número de seguridad social, etc. con el fin de cumplir con las obligaciones laborales y administrativas.
Proveedores de servicios de procesamiento de datos: En algunos casos, una empresa puede contratar a un tercero para procesar datos personales en su nombre. En este caso, el proveedor de servicios de procesamiento de datos podría tener acceso a tus datos personales.
En cualquier caso, es importante que siempre leas y comprendas los términos y condiciones de cualquier sitio web, aplicación o servicio en línea antes de proporcionar tus datos personales. De esta manera, puedes estar seguro de quiénes pueden acceder a tus datos y cómo serán utilizados.
¿Qué pasa si una organización no protege sus datos?
Todas las organizaciones están obligadas a cumplir con la normativa de protección de datos, en particular con la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) y el Reglamento General de Protección de Datos (RGPD) de la Unión Europea.
Si una organización no protege adecuadamente sus datos y se produce una violación de seguridad que afecta a la privacidad de las personas, puede enfrentarse a sanciones económicas muy graves.
En concreto, las sanciones por infracciones graves o muy graves del RGPD pueden alcanzar los 20 millones de euros o el 4% del volumen de negocio anual global de la organización, lo que sea mayor.
Además de las sanciones económicas, las organizaciones pueden sufrir graves consecuencias reputacionales y legales, ya que los afectados por la brecha de seguridad pueden emprender acciones legales para reclamar daños y perjuicios.
¿Qué tipo de datos no están protegidos por el RGPD?
El Reglamento General de Protección de Datos (RGPD) de la Unión Europea establece un alto nivel de protección para todos los datos personales que sean procesados en la UE, incluyendo España. Sin embargo, existen algunas excepciones en las que el RGPD no se aplica, como, por ejemplo:
· Datos personales tratados para fines exclusivamente personales o domésticos.
· Datos personales tratados para fines de seguridad nacional o aplicación de la ley.
· Datos personales tratados para fines estadísticos o de investigación científica, siempre y cuando se hayan adoptado medidas técnicas y organizativas adecuadas para garantizar la protección de los derechos y libertades de los interesados.
Además, hay ciertos tipos de datos que están sujetos a reglas específicas en el RGPD, como son los datos de salud, los datos genéticos, los datos biométricos y los datos relativos a condenas penales y delitos. En estos casos, se requiere un nivel aún mayor de protección y se imponen requisitos adicionales para su tratamiento.
¿Qué pasa si dan mis datos personales sin mi consentimiento?
La Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) establece que el tratamiento de datos personales solo puede llevarse a cabo con el consentimiento del titular de los datos, salvo en los casos permitidos por la ley.
Si alguien da tus datos personales sin tu consentimiento, se estaría incumpliendo la normativa de protección de datos personales y podrías ejercer tus derechos ante la Agencia Española de Protección de Datos. Entre los derechos que podrías ejercer se encuentran:
· Derecho de acceso: puedes solicitar información sobre los datos personales que se tienen sobre ti y cómo se han obtenido.
· Derecho de rectificación: puedes solicitar la rectificación de los datos personales inexactos o incompletos.
· Derecho de cancelación: puedes solicitar la cancelación de tus datos personales si ya no son necesarios para la finalidad para la que fueron recopilados o si no se cumplen los requisitos legales.
· Derecho de oposición: puedes oponerte al tratamiento de tus datos personales en determinadas circunstancias.
Además, también podrías ejercer acciones legales contra la persona o entidad que ha dado tus datos personales sin tu consentimiento si se han producido daños y perjuicios como consecuencia de ello.
¿Cuándo se aplica la ley de protección de datos?
La Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) se aplica a partir del 25 de mayo de 2018, fecha en que entró en vigor el Reglamento General de Protección de Datos de la Unión Europea (RGPD).
La LOPDGDD establece el marco legal para la protección de datos personales en España, y se aplica a todas las personas, empresas y organizaciones que manejen datos personales en el territorio español, así como a aquellas que estén fuera de España pero que ofrezcan bienes o servicios a ciudadanos españoles.
La ley establece una serie de obligaciones y responsabilidades para quienes manejen datos personales, y establece sanciones y multas para aquellos que no cumplan con las obligaciones establecidas en la ley. Además, la ley reconoce y garantiza los derechos de los ciudadanos sobre sus datos personales, incluyendo el derecho a acceder, rectificar, suprimir y limitar el tratamiento de sus datos personales, así como el derecho a la portabilidad de los mismos.