El documento resume los principales puntos sobre la protección de datos en España. Explica las diferencias entre la LOPD y el nuevo RGPD, incluyendo requisitos como tener ficheros registrados, documentación de seguridad actualizada, y medidas técnicas. También cubre temas como el derecho al olvido, datos en la nube, y los servicios que Nominalia ofrece para ayudar a las empresas a cumplir con la normativa.
Aspectos prácticos de la protección de datos para pymes y emprendedores
1.
2. Ponentes
Jaume Feliu, ingeniero informático, consultor en materia de
privacidad.
Co-fundador de PymeLegal.
Georgina Andrés, abogada, experta en nuevas tecnologías.
3. Sesión
• Contexto normativo.
• Aplicación práctica protección de datos (LOPD vs RGPD).
• La LSSICE.
• Errores habituales.
• RGPD y conceptos.
• Servicio NOMINALIA.
• FAQs
• Preguntas.
4. Contexto Normativo
• Constitución
• Directiva 95/46/CE
• Ley Orgánica 15/1999 (LOPD)
• Real Decreto 1720/2007
• Ley 34/2002 de Servicios de la Sociedad de la Información (LSSICE)
• Largo proceso de aprobación del reglamento (2009-2016)
• RGPD: NUEVO REGLAMENTO (UE) 2016/679 – 25 mayo 2016 – 25 mayo 2018
• Anteproyecto de Ley de la ‘nueva’ LOPD - trámite
5. ¿Dónde estamos?
• La normativa establece obligaciones legales-técnicas a cualquier empresa/autónomo
que trate datos.
• Elevado % de incumplimiento.
• AEPD – Sanciones de 900€ a 600.000€
• 10.571 denuncias y reclamaciones – 17millones€ en sanciones (Fuente: Memoria AEPD)
• NUEVO REGLAMENTO – NUEVAS REGLAS del juego – Sanciones más elevadas.
• Nuevas GUIAS publicada por la AEPD.
6. Aplicación práctica LOPD-RGPD
Datos nivel
BÁSICO
Datos nivel
MEDIO
Datos nivel
ALTO
MEDIDAS A APLICAR SEGÚN EL TIPO DE DATOS TRATADOS
LOPD RGPD
• NO ESTABLECE NIVELES DE
DATOS.
• NO ESPECIFICA MEDIDAS
PARTICULARES A NIVEL TECNICO.
• SE SIGUEN CONSIDERANDO
DATOS ‘ESPECIALMENTE
SENSIBLES’.
• SE AÑADEN NUEVOS CONCEPTOS
(datos biométricos, genéticos, …)
7. Aplicación práctica LOPD-RGPD
• Notificación de ficheros a la AEPD.
LOPD RGPD
• DESAPARECE OBLIGACIÓN
NOTIFICAR FICHEROS.
• HASTA MAYO 2018 SIGUE
SIENDO OBLIGATORIO.
• SE SUSTITUYE POR EL
‘REGISTRO DE ACTIVIDADES DE
TRATAMIENTO’.
8. Aplicación práctica LOPD-RGPD
• Disponer de un documento de seguridad.
✓ Estructura de los ficheros.
✓ Escenario informático.
✓ Usuarios por áreas y accesos.
✓ Inventario de dispositivos.
✓ Protocolos (E/S, incidencias).
LOPD RGPD
• SE PUEDE ENGLOBAR
DENTRO DEL REGISTRO DE
ACTIVIDADES.
9. Aplicación práctica LOPD-RGPD
• Firmar compromisos de confidencialidad.
✓ Con trabajadores + MANUAL USUARIO
✓ Con terceros con acceso a datos
(encargados de tratamiento)
LOPD RGPD
• SE AMPLIA EL CONTENIDO DEL
CONTRATO CON ENCARGADOS DE
TRATAMIENTO.
• DESCRIPCION DETALLADA SERVICIOS
PRESTADOS, MEDIDAS APLICADAS,
POSIBLES TRANSFERENCIAS
INTERNACIONALES,
SUBCONTRATACIONES, …
10. Aplicación práctica LOPD-RGPD
• Incluir cláusulas y avisos legales.
o Facturas.
o Presupuestos.
o Contratos.
o Impresos.
o Correo electrónico.
o Uso de imágenes.
o Recogida de datos.
o Cartel de video vigilancia.
o Derechos ARCO.
o AVISOS LEGALES WEB.
LOPD RGPD
• SE AMPLIA EL DETALLE DE LA
INFORMACIÓN QUE SE PROPORCIONA AL
AFECTADO (base jurídica para el
tratamiento, destinatarios de los datos,
derechos de los afectados,
reclamaciones, …)
• SE PLANTEA INCLUIR ESTA INFORMACIÓN
POR CAPAS:
1ª CAPA: Info básica primer nivel de recogida
datos.
2ª CAPA: Información adicional detallada.
11. Aplicación práctica LOPD-RGPD
• Implantar medidas técnico-organizativas.
▪ Claves de acceso para cada usuario.
▪ Perfiles de usuario.
▪ Copias de seguridad.
▪ Inventario de soportes / Registro de salidas.
▪ Control acceso físico servidores.
▪ Ficheros servidor.
▪ Antivirus / Firewall.
▪ Auditorias.
▪ Cifrado de datos.
▪ Registro de accesos.
▪ ...
LOPD RGPD
• NO ENTRA EN DETALLE EN
MEDIDAS TÉCNICAS A
APLICAR.
• RESPONSABILIDAD ACTIVA,
CONCEPTOS COMO PRIVACY
BY DESIGN O BY DEFAULT.
• ANALISIS DE RIESGOS.
13. LA LSSICE
La LSSICE (Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de
Comercio Electrónico) establece obligaciones a:
Regula actividades como:
▪ Comercio electrónico.
▪ Contratación en línea.
▪ Información y publicidad.
▪ Servicios de intermediación.
SIEMPRE QUE CONSTITUYAN
ACTIVIDAD ECONOMICA O
LUCRATIVA PARA EL PRESTADOR.
15. LA LSSICE
‘AVISO LEGAL’ (art.10 LSSICE): razón social, CIF, datos de contacto, datos inscripción registro, datos profesión
regulada, códigos de conducta, ...
‘POLITICA DE PRIVACIDAD’ (LOPD): Informar del tratamiento que se hará de los datos recogidos.
‘POLITICA DE COOKIES’ (LSSICE): Si se utilizan, informar de su uso, finalidad y mecanismo de desactivación.
‘CONDICIONES GRALES. CONTRATACION’ (especificas para cada tienda online).
‘CLAUSULA PARA COMUNICACIONES COMERCIALES’: Posibilidad de darse de baja.
Otros avisos legales:
• formulario de contacto web
• sección envío CV, etc.
• términos y condiciones (apps)
16. LA LSSICE
‘Ley de cookies’
No es una “ley” como a tal sino el texto correspondiente a el artículo 22 de la LSSICE.
- Pedir el consentimiento per su utilización. Si se continua navegando se da por
aceptado. Con la primera visita es suficiente (sino hay cambios en la política).
-Tipología: analíticas, publicitarias, de seguimiento, técnicas, de personalización, de
sesión, de seguridad…
-Mostrar una ‘política de cookies’ clara y visible que incluya: finalidad, quien las instala
y como se pueden desinstalar.
18. LA LSSICE
Comunicacionescomercialesvía electrónica
El régimen jurídico de este tipo de comunicaciones se regula en los artículos 19 a 22 de
la LSSICE.
El articulo 21.1 LSSICE prohíbe el envío de comunicaciones comerciales por correo
electrónico sin el consentimiento previo y exprés del afectado.
Además del consentimiento previo, se deberá informar en las comunicaciones sobre la
finalidad del tratamiento i el derecho a denegar o retirar el consentimiento; inclusión
de una dirección valida.
No es necesario el consentimiento previo si ha existido una relación contractual
previa, siempre que se hayan obtenido los datos de forma lícita y se trate de
publicidad de productos/servicios similares a los contratados.
19. LA LSSICE
CONSEJOS AEPD
1) Inscribirse lista robinson - fichero exclusión publicitaria.
2) Utilizar las fórmulas que den las empresas para no recibir
publicidad no deseada.
3) Evita dar tu consentimiento para que te envíen publicidad cuando
participas en un concurso.
4) Si ya has dado tu consentimiento, puedes retirarlo.
5) Ejerce tu derecho de oposición.
6) Ejerce tu derecho de cancelación.
7) Solicita que tus datos no aparezcan en la guía telefónica.
8) ¿Dónde puedo reclamar? AEPD y CONSUMO.
20. Aplicación práctica LOPD
RESUMEN- ¿Qué tiene que tener mi negocio, actividad, web?
▪ Ficheros registrados a la AEPD (clientes, proveedores, trabajadores,
usuarios web, etc.)
▪ Tener un documento de seguridad actualizado.
▪ Firmar compromisos de confidencialidad con trabajadores (si hay).
▪ Firmar acuerdos con encargados de tratamiento externos.
▪ Incluir cláusulas de información y consentimiento (mail, facturas,
documentos, ...).
▪ Avisos legales web (aviso legal, política privacidad, política cookies,
newsletter, etc)
▪ Atender los derechos ARCO.
▪ Implantar las medidas técnicas (RD1720/2007).
21. Errores habituales
❖ NO tener los ficheros inscritos a la AEPD.
❖ Tener solo los ficheros, no la documentación al día.
❖ No atender los derechos ARCO – baja newsletter.
❖ Realizar la auditoría a través de la ‘tripartita'.
❖ Controlar el correo del trabajador sin informar.
❖ Pensar: ‘yo no trato datos, esto a mi no me afecta’.
❖ Copiar el aviso legal de otra página web.
22. El derecho al olvido
Es la manifestación de los tradicionales derechos de cancelación y
oposición aplicados a los buscadores de internet. Hace referencia al
derecho de impedir la difusión de información personal a través de
internet cuando esta es obsoleta o ja no tiene relevancia ni interés
publico, aunque la publicación original sea legitima.
• ¿Puedo ejercer el derecho al olvido ante el buscador sin
acudir a la fuente? SÍ
• Si lo ejerzo ante el buscador, ¿la info desaparecerá de
Internet? NO
• ¿Cómo lo ejerzo? Formularios del propio buscador.
Si la entidad no responde a la petición o el ciudadano
considera que la respuesta no es la adecuada puede solicitar
que la AEPD tutele sus derechos.
24. El Nuevo Reglamento
Introducción.
• Aplicación a partir del 25 de mayo de 2018 – 8 MESES
• MOTIVOS:
• Incremento del intercambio de datos (cambios tecnológicos)
• Necesidad de un marco normativo único para toda la UE.
• OBJECTIVOS:
• Dar más garantías de control al ciudadano.
• Simplificar la regulación.
• Medidas especificas para los grandes de internet.
• Libre circulación de datos personales en la UE.
• Establecer reglas claras para la transferencia internacional de
datos.
De la BUROCRACIA a la CULTURA EMPRESARIAL por la privacidad.
25. El Nuevo Reglamento
Aspectosmás relevantes.
• Se amplia el ámbito de aplicación a RF i ET no establecidos en la UE.
• Consentimiento libre, informado, especifico, inequívoco y para las diferentes
finalidades. Prohibido consentimiento tácito o casillas pre-marcadas en páginas web.
• Transparencia en los avisos legales (leguaje claro y comprensible).
• Clausulas de información y consentimiento por capas.
• Se mantienen los derechos ARCO pero no plazos de respuesta.
• Se contempla el derecho al olvido (supresión) y portabilidad de datos.
• Desaparece la obligación de notificar ficheros a la AEPD.
• Realizar evaluaciones de impacto.
• Notificar ‘violaciones de seguridad’ a la autoridad de control y al afectado.
• Aparece la figura del DPO.
• Sistema de ventanilla única.
• Responsabilidad proactiva de las empresas (privacy by design and privacy by default).
• Regulación de las transferencias internacionales de datos.
• MULTAS DE HASTA 20 MILLONES DE EUROS o 4% DE LA FACTURACIÓN.
26. ¿Cómo puede ayudarte Nominalia?
Dos tipos de servicio: autogestionadoo con asesoramiento
27. ¿Cómo funciona el servicio LOPD de Nominalia?
Llámanos y en pocosdías tendrás tu negocioal día de la Ley de Protecciónde datos
Llámanos al 93 288 40 62
¡Te informamossin compromiso!
28. FAQs
• ¿Qué servicios incluye cada paquete?
• ¿Sirve el mismo servicio para varias empresas?
• ¿Puedo obtener con este servicio los textos legales para diferentes dominios?
• Me voy a establecer como autónomo, pero todavía no he hecho los trámites,
¿puedo contratar el servicio ahora?
• Tengo un blog, no vendo nada, ¿me afecta la Ley?
• ¿Puedo utilizar Dropbox para la gestión en la nube?
• Si somos una empresa de más de 20 empleados, ¿podemos contratar el servicio?
• ¿Cada cuándo tengo que renovar el servicio?
30. MUCHAS GRACIAS POR VUESTRAATENCIÓN
Más información:
www.nominalia.com/adaptacion-lopd/
Atención al Cliente: 93 288 40 62
Encontrarás el material de este webinar y mucho más
en www.escueladeinternet.com