Entradas

Welcome to Dataseg’s blog! If you speak English, this post is a great way to get to know us and find some information about our services.

Who are we?

Dataseg is a company from Canary Islands specialized in data protection, privacy, cybersecurity and IT Law. We provide training and consultancy and give companies legal advice in order to comply with GDPR and with Spanish data protection regulations.

Where are we and who do we work with?

We are located in Santa Cruz de Tenerife, Canary Islands, Spain. Many of our clients are also located in the Canary Islands, but we also have clients all around Spain and we work with companies which operate internationally. We are used to collaborate with large companies, but we also work with small professionals whose businesses are just launching. We adapt to what our clients need.

How can I know if I need your services and why counting on Dataseg?

No matter if you are located in the European Union or not: if you work with European clients or provide services anywhere in Europe, you must comply with the GDPR and with any other data regulations that apply in Europe. If you focus specifically in Spain, you must know that our country has its own Data Protection Act.

Maybe you are thinking about taking a big step and launch your own company or expand your business abroad. Or perhaps you simply are concerned about GDPR compliance in your company and you haven’t found professionals that can help you with it.

It doesn’t matter if you have previous experience or not, or what your situation is: it is always a must to get legal advice in order to help you reach your goals, obtain the best results and avoid risks related to lack of compliance.

What makes Dataseg different to other companies?

Our team counts with Law graduate consultants who are constantly learning about European and international regulations in order to improve their knowledge and provide a quality service.

We take part in national projects, as well as international ones, and we provide our services in Spanish and English, which means that communication will never be a problem when you work with us. We guarantee that your needs will be heard and understood.

Apart from that, we are very used to work in sectors where everything mentioned above is highly important: tourism, travel, new technologies, sales and commerce in general, on-line presence and many others. We take care of our clients and we analyse each project on a case-by-case basis, giving it the attention it requires.

How can I reach Dataseg?

If you wish to know more about us, our services or you need some more information, you can contact us with no commitment, through the following:

  • Phone: +34 922 215 406
  • E-mail: info@dataseg.es
  • Through our contact form.

You can also follow us on LinkedIn and Twitter or check other posts on our blog.

Don’t hesitate! Our team will be pleased to hear about you and your ideas.

Los mitos sobre el RGPD (GDPR, si preferís sus siglas en inglés), rayos, truenos y centellas, no dejan de aparecer a medida que se acerca el 25 de mayo. Muchos de nuestros clientes nos llaman asustados por lo que un comercial, de dudosa ética le ha dicho para intentar venderle -bajo amenaza de multas millonarias- un producto/servicio que no necesita o que ya ha contratado.

También hay muchos bulos, noticias sueltas y no contrastadas, mesías de la LOPD que publican verdades a medias, medias mentiras, y otras veces exageraciones o vaguedades. Pese a que hay muy buenos artículos y muy buenos abogados, asesores, consultores, etc. que publican información clara, vemos necesario aclarar dudas, confusiones, y desechar mentiras.

Esperamos que este post ayude a que tengáis información más clara, así como fuentes a las que acudir en caso de duda.

Mito 1. El RGPD entró en vigor el 25 de mayo de 2018.

¡Falso! el Reglamento entró en vigor el 25 de mayo del año 2016, sí, como lo lee, del año 2016. Ahora bien, será exigible, y aplicable a partir del 25/05/2016 (Aquí mini resumen de los puntos clave del RGPD). Esto significa que ha estado en vigor todo este tiempo, aunque se aplazó la exigencia de su cumplimiento 2 años.

Entonces, ¿En qué nos afectará en realidad la llegada del 25/05/2018? Fácil, que a partir de ese día, todos los sujetos obligados al cumplimiento del RGPD, deben cumplirlo. No hay periodo de carencia, no hay unos meses después de esa fecha para adecuarse, el tiempo para adecuarse ha sido el transcurrido desde su aprobación hasta ahora.

Mentira 2. El GDPR obliga a todo el mundo a tener un Delegado de Protección de Datos

Otra vez, ¡Falso! El Reglamento no obliga que todos los Responsables o Encargados de tratamiento de los datos, nombren un Delegado de Protección de Datos – DPD (Más conocido como DPO por sus siglas en inglés).  Deben asignar un delegado de protección de datos, aquellos que cumplan, como mínimo, una de las siguientes opciones:

Artículo 37 RGPD:

1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
a) el tratamiento lo lleve a cabo una autoridad u organismo público…
b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales.

Eso dice el Reglamento, aunque es cierto que el proyecto de Ley Orgánica de Protección de Datos 2018 (Aquí resumen de los puntos clave), trae supuestos más directos y desglozados. Ahora bien, hasta que no esté aprobado y publicado el texto íntegro de la Nueva Ley de Protección de Datos, los supuestos son los que dice el RGPD, ni más, ni menos.

En caso de duda se pueden consultar los artículos de la Agencia Española de Protección de Datos sobre el tema (aquí), o sus preguntas frecuentes (aquí) o las directrices del Grupo del Artículo 29 (aquí).

Pregunta del millón ¿Una farmacia necesita Delegado de Protección de Datos? ¡Pues depende! ¿De qué? Del volumen de datos, número de afectados o del alcance geográfico. Por ejemplo, no es lo mismo la única farmacia del pueblo, que una de 20 en un mismo pueblo.

Mentira 3. Todo el mundo debe llevar un “Registro de Actividades de Tratamiento”

¡Falso! Pues oiga, tampoco. Al igual que el punto anterior, y sin perjuicio de lo que exija la futura LOPD 2018, este registro solo deben realizarlo una serie de Responsables o Encargados.

No deberán llevar un Registro de actividades de tratamiento, aquellos a los que aplique la siguiente excepción establecida en el art. 30 del RGPD:

Artículo 30 RGPD

5. Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.

Exageración 4. El RGPD hace que todos los Estados miembros de la UE exijan lo mismo en protección de datos.

Lamentablemente, ¡Falso!. Ya nos gustaría que ese principio y objetivo de la UE se hubiera alcanzado. No hubo consenso en todo el contenido del RGPD, y se dejó margen a los Estados para que regulasen internamente algunos puntos conflictivos, o muy “de país”.

Según Alejandro Padin (Garrigues), durante su comparecencia en el Congreso -en relación con el proyecto de Ley de Protección de datos 2018-, El RGPD obliga a los Estados a regular a nivel nacional entre 15 y 20 puntos, pero “permite” que regulen, o que se aplique el derecho nacional -si existe- hasta en 36 puntos más. Osea que podrían haber hasta más o menos 56 puntos de diferencia en la normativa de protección de datos de los Estados miembros de la UE.  Por lo que se ve en las leyes ya aprobadas (Francia y Alemania) y los proyectos de Ley en proceso, definitivamente no habrá homogeneidad.

Un ejemplo claro es lo relativo a la edad del consentimiento de los menores en el ámbito de la sociedad de la información. El RGPD establece la edad necesaria para consentir, en ese ámbito, en los 16 años, pero permite a los Estados poner una distinta -mínimo 13 años-. En España actualmente la edad para que los menores presten consentimiento son los 14 años, pero el proyecto de Ley de la nueva LOPD 2018, rebaja esa edad a 13 años (a ver cómo queda). El resto de Estados:

  • 13 años: Chipre, Letonia, Dinamarca, Suecia, Irlanda, Polonia, Noruega y Reino Unido.
  • 14 años: Austría y Bulgaría.
  • 15 años: Croacia.
  • 16 años: Alemanía, Hungría, Francia, Lituania, Luxemburgo, Reino Unido, Estonia, Holanda.

Mito 5. El 25 de mayo de 2018, dejará de aplicarse la LOPD 15/1999.

Sí, y no. Todo aquello en lo que la LOPD 15/99, sea contraría al RGPD, dejará de ser exigible y aplicará el RGPD. Ahora bien, todo aquello que no contravenga al RGPD, será en relación al Reglamento, «derecho del Estado», y en tal caso aplicará de forma complementaría.

Retomando el ejemplo de la edad del consentimiento de los menores, en caso de que la nueva Ley de protección de datos, no esté en vigor el 25/05/2018, la edad del consentimiento de los menores, en el ámbito de la Sociedad de la información, en España será 14 años, conforme nuestra LOPD 15/1999, y no de 16 años como establece el RGPD. Esta aclaración la hizo Agustín Fuentes, de la Agencia Española de Protección de Datos, durante su comparecencia en el Congreso con motivo de la tramitación de la nueva LOPD. La AEPD interpreta en sentido amplio la remisión del RGPD a «LEYES nacionales», y aunque la edad de 14 años se estableció mediante un Real Decreto será la que se aplique. 

En fin, que salvo que haya una nueva Ley de Protección de Datos, la actual no morirá el próximo 25/05/2018. Seguirá estando vigente en todo cuanto no contravenga al Reglamento Europeo de Protección de Datos.

Muchos mitos, pocas nueces

Las información está clara como el agua en el contenido del RGPD. No hay que creer inventos de vende humos, en caso de duda, hay que acudir a la fuente.

Si quiere información clara, acuda página del Grupo del artículo 29 -futuro Consejo UE de Protección de Datos-; a la página de la Agencia Española de Protección de Datos. En ellas encontrará información clara, concisa y apropiada. También, existen grandes profesionales, y empresas especializadas, que le podrán ayudar con la tarea de enfrentarse al RGPD.

Para más información, visite nuestros post relacionados:

1. Claves del Anteproyecto de Ley Orgánica de Protección de Datos (futura LOPD 2018)

2. Reglamento General de Protección de Datos ¿Qué es?, puntos más importantes a tener en cuenta.

3. Resumen1. 9AEPD. Primera parte de la sesión anual de la AEPD, especial sobre el RGPD.

4. Resumen2. 9AEPD. Segunda parte de la sesión anual de la AEPD 2017, especialmente dedicado al RGPD.

WhatsApp es la aplicación de mensajería instantánea que ha revolucionado las comunicaciones en la era de internet. Nació en el 2009,  y desde entonces, se ha hecho parte de nuestra vida. Sus funcionalidades, usos y usuarios crecen día a día, así como la cantidad de datos personales que se tratan a través de ella.

Usarla con fines laborales o dentro de las empresas es un dulce harto apetecible para muchos, y para otros parte de su día a día. Este post nació con el fin de acercar las reglas que «rigen»/»regirían» el uso de la aplicación a nivel empresarial. Como más adelante decimos, no la recomendamos, pero si la va a usar, por lo menos tenga en cuenta unas cuantas «cosillas».

[Nota actualización 22/03/2018] El  pasado 15/03/18 conocimos que la AEPD sancionó a Facebook y a WhatsApp con 300.000 c/u, porque se comunicaron datos mutuamente sin el consentimiento “libre, específico e informado” de los usuarios. A raíz de esto tenemos muchas consultas de nuestros clientes, y no clientes, y hemos decidido actualizar este post. Verá los cambios marcados con [Act 22/03/18] 

¿Porqué hay que tener en cuenta la LOPD al usar WhatsApp?

WhatsApp fue concebida para uso personal. Pese a lo anterior, cada día hay más empresas, profesionales y comercios, que hacen uso de ella para tratar con sus clientes, comunicarse con el personal, etc.

Por otro lado tenemos la opción de crear grupos, y todo sea dicho, a esta función la carga el diablo. Muchas veces los integrantes del grupo no se conocen entre ellos, otras, no han dado su consentimiento para ser incluidos en el grupo, entre otras más vías de complicaciones.

Finalmente está lo más obvio, pero no menos importante ¡la información!. Los datos que se comparten, la tipología, el consentimiento para transmitirlos por esa vía, o incluso, si se ha informado o no de dicha posibilidad.

¿Usar o no usar whatsapp a nivel empresarial?

Hasta ahora habíamos recomendado no usar WhatsApp en las empresasaún lo hacemos. [Act 22/03/18] No, no es recomendable usar whatsapp a nivel empresa, o para comunicarse con clientes, empleados padres, etc. pero, ya no podemos decir que está absolutamente prohibido.

Básicamente no podemos decir que está prohibido por varias razones. La primera es que la Agencia Española de Protección de Datos empezó a usar esta App en el canal joven. [Act 22/03/18] Es más, la menciona en su «Guía centros educativos» pág. 26, y da recomendaciones para su uso; la segunda, que en sus sanciones e informes, no la prohíbe sino que habla de la protección de los principios de la protección de datos durante su uso; la tercera  es que el cifrado end to end, da una cierta -no del todo- apariencia de seguridad; y ya la última  y la guinda, que  actualmente está en pruebas la versión para empresas, y seguramente cuando esté disponible muchas empresas se subirán al carro de whatsapp.

Total, que por lo dicho antes, no nos queda de otra, más que dar algunas directrices para que ya que se usa o se va a usar, se use de la forma más correcta y cumplidora posible.

La clave de las 5 claves: cumplir con los principios de la protección de datos

Si pretende usar WhatsApp en su empresa, institución o negocio, tenga en cuenta que debe cumplir los principios de la protección de datos. Hablamos del principio de calidad, información, consentimiento, confidencialidad, seguridad de los datos, entre otros.

Los principios de la protección de datos son críticos para que nuestro uso de whatsapp con fines laborales o comerciales sea relativamente correcto. Hablamos de los principios de calidad, información, consentimiento, datos especialmente protegidos, confidencialidad y seguridad de los datos. Hay más, y por esa razón no se debería usar para estos fines, pues por ahora no son fáciles de cumplir, en especial el relativo la firma del contrato de protección de datos con whatsapp. Hablamos de este contrato, aquí.  

Clave 1. Informe a los usuarios que usará con ellos esa aplicación.

Antes de usar whatsapp para tratar datos personales de una persona, debe informarle de las finalidades de dicho tratamiento. El tratamiento en este caso puede ser, comercial, informativo, de confirmación de citas, de vía de comunicación, o de envío de datos. En cualquier caso, el titular de los datos debe saber del uso de esta herramienta y del fin para el cuál se prevé.

Clave 2. Pedir el consentimiento para tratar los datos por esa vía

Uno de los principios que más quebraderos de cabeza da a las empresas, es el consentimiento. Salvo excepciones, es necesario el consentimiento del cliente. Osea, que para tratar los datos del cliente por ese medio, hay que informar y pedir consentimiento.

Especialmente aquí haremos hincapié en la finalidad comercial. Para remitir información comercial, es necesario conforme al artículo 22 de la LSSI, solicitar el consentimiento expreso del afectado. El consentimiento expreso no es otra cosa que una acción clara afirmativa, informada, libre e inequívoca de que sí, quiere recibir publicidad. Por ese medio. Si no tenéis ese consentimiento, no enviéis publicidad por whatsapp.

Preguntas orientadoras sobre su cumplimiento. Si una o todas es no, !póngase manos a la obra!

  1. ¿En caso de envío de publicidad. Tiene el consentimiento expreso de las personas?
  2. Pide consentimiento a los interesados antes de incluirles en un grupo?
  3. Solicita consentimiento para enviar información personal por esa vía?

Clave 3. Cuide la confidencialidad de los datos que trata en whatsapp

La confidencialidad es uno de los requisitos más especiales que se exigen a una empresa, negocio u organización. Debe garantizarse que esos datos que nos han facilitado, se mantienen a salvaguarda y confidenciales. Que solo los trata el personal autorizado y que no acceden a ellos terceras personas.

Preguntas orientadoras sobre su cumplimiento. Si la respuesta a una o todas, es no, revise y actualice su cumplimiento.

  1. ¿Controla el uso profesional de esta app por parte de su personal?
  2. ¿Ha comprobado que el whatsapp desde el que se comunica su personal con el cliente es de la empresa y no desde su número personal?
  3. ¿Ha informado a su personal que en los grupos con clientes deben evitar compartir datos personales?
  4. ¿Tiene una política de tratamiento de datos vía online? en ella se debería describir las reglas de uso de estas y otras aplicaciones en el ámbito de la empresa.

Clave 4. Ponga medidas de seguridad para proteger los datos enviados o almacenados.

En este caso lo que se puede hacer es limitado, ya que la seguridad de la aplicación como tal, corresponde a WhatsApp. Eso sí, siempre podemos poner medidas de seguridad asociadas al procedimiento de custodia de los dispositivos, que almacenan los datos; del control del uso de la aplicación, etc.. También podrá hacerse a través de medidas de gestión asociadas a una política de uso de la aplicación y protección de los datos personales.

Estás preguntas le darán una idea de las opciones. No las eche en saco roto.

  1. ¿Usa la aplicación para remitir datos de carácter personal? Es mejor no  hacerlo.
  2. ¿Ha dado instrucciones a su personal sobre el tipo de datos que pueden o no remitir a través de esta vía?
  3. ¿El número de whatsapp que se usa para comunicar con clientes, personal, u otros interesados es de la empresa, o de un empleado?
  4. ¿Ha dado instrucciones para no crear grupos sin consentimiento de la dirección?
  5. ¿Elimina el contenido de las comunicaciones cuando han dejado de ser necesarias?
  6. ¿Conoce de forma clara quién y qué grupos de trabajo, o comunicación con clientes hay creados en su empresa?

Sanciones y apercibimientos puestos por la AEPD por el uso de whatsapp

En principio como dijimos antes, la agencia todavía no ha sancionado por el hecho en sí de usar whatsapp. Lo que ha hecho hasta ahora ha sido en relación con los principios de la normativa de protección de datos, y del cumplimiento del artículo 22 de la LSSI, Ley de Servicios de la Sociedad de la información y comercio electrónico.

Primera sanción (Enero 2016). Incumplimiento del artículo 22 de la LSSI. Envío de publicidad sin consentimiento expreso del afectado. 600€.

Primer apercibimiento (octubre 2017). Inclusión en un grupo de whatsapp de un cliente, sin el consentimiento del mismo, incluso en su contra.

[Actualización 31/12/17] Declaración de infracción de AAPP (Noviembre 2017) Creación de un grupo de whatsapp por parte de un Ayuntamiento. En el grupo incluyó al denunciante y a todo el pueblo… Sin consentimiento, usando datos recabados para otros fines.

Actualizaciones importantes por hechos noticiosos

1ª. [Actualización 31/12/2017 con motivo de los apercibimientos y declaraciones de infracción por creación de grupos de whatsapp]

[1] En caso dado, no sería delito, sino una infracción de la normativa de #ProtecciónDeDatos
[2] Es una infracción de: (1) deber del secreto: en el grupo todos ven los datos de todos. Para añadir correctamente a alguien, se le deberá pedir el #Consentimiento, así no hay vulneracion del deber del secreto, ni del principio de #información y consentimiento.
[3] Esta infracción es exigible cuando el grupo NO entra en la EXCEPCIÓN doméstica. Es decir, si es un grupo personal, familiar, NO «salvo cosas raras» no sería sancionable.
[4] La LOPD y el RGPD/GDPR son exigibles a las empresas, negocios, profesionales, y demás tratamientos de datos, comerciales, filantrópicos, etc. que no tengan fines domésticos.
]

2ª. [Actualización 22/03/18, con motivo de las noticias que hablan de no usar whatsapp en la empresa, debido a la sanción a Facebook y Whatsapp]

[1] Ya mencionamos más arriba algunas indicaciones dentro del texto

[2]Cuando hablamos de las otras razones por las que no es recomendable usar whatsapp, y mencionamos el contrato de protección de datos, ahí, dábamos en la diana de lo se menciona en muchos de los artículos que han estado saliendo estos días. Whatsapp no cumple con la normativa de protección de datos, no se reconoce como prestador de servicio, y no sigue instrucciones de ningún responsable de fichero. Y, aunque firmara el contrato lo estaría incumpliendo al dar los datos a Facebook, sin consentimiento de la empresa, ni de los usuarios.

[3] Ah sí, al usar whatsapp estamos haciendo una transferencia internacional de datos… otra cosa es que no se transmitan datos personales… depende de cómo y para qué se use.

Conclusiones

Usar las herramientas que trae la evolución de la tecnología está muy bien, pero debe hacerse con precaución. Con la actual LOPD parece que la AEPD, no está siendo especialmente exigente en cuanto al uso de whatsapp, pero, ¿será igual cuando inicie la aplicación del RGPD, Reglamento General de Protección de Datos? No lo sabemos.

La recomendación principal es que siempre, siempre, siempre, se cumpla con los principios de la normativa de protección de datos. Que se proteja el derecho del usuario, y se prime este por encima de todo. A partir de ahí, se debe crear una política de uso de estas herramientas, darlas a conocer al personal, y poner medios para su cumplimiento.

[Act 22/03/18] Esto puede ser un cambio claro de línea por parte de la AEPD. Así que si ha decidido usar whatsapp en su negocio/empresa, pregúntese la razón que le lleva a ello y  si realmente es tan necesario; incluso puede buscar otras opciones menos «comprometidas»

Programa de radio asociado a este tema

El 16/10/2017, en el espacio «Internet en Familia» del Hoy por Hoy Tenerife, de Radio Club ser Tenerife, tratamos este tema. Os dejamos el audio, ya que ha algunas pinceladas que mencionamos durante el programa, y para no extener este post, aquí no las hemos tocado. Por ejemplo las implicaciones en protección de datos, del uso de whatsapp por parte de particulares… hay dato curioso, ¡avisamos!

La frase “El 25/05/2018, empieza a aplicarse el Reglamento General de Protección de Datos” últimamente se repite con cierto apuro. Quizá, nos falte explicar qué significa la frasesita, y porqué le debe importar a nuestros actuales y futuros clientes, y a todo aquel al que le afecte.

Empecemos por el principio. La normativa de protección de datos ha cambiado, así como suena. Ahora bien, ¡a Dios gracias’!, tenemos hasta el 25/05/2018, un plazo “prudente”, para cumplir con la novedad, el Reglamento General de Protección de Datos – 679/2016 UE, en adelante el RGPD.

Lo que conocemos hasta ahora, la Ley Orgánica, 15/1999, de protección de datos de carácter personal, y su reglamento de desarrollo el RD. 1720/2007, vienen de la una Directiva derogada por el RGPD, la 95/46/CE. Por tanto, el marco legal aplicable será el del RGPD. Todo de ahora en adelante, deberá modificarse para no contravenirlo. Es así como en este momento en España, estamos en medio del proceso de modificación de nuestra querida LOPD. En un post anterior, os comentamos las claves del anteproyecto de modificación.

Ok, todo cambia pero, ¿Qué es el Reglamento General de Protección de Datos?

El RGPD es una norma nacida en el seno de la Unión Europea, con el más alto rango normativo que puede tener una legislación comunitaria. El documento en que se publicó el contenido del RGPD se titula de la siguiente manera «Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE» Ya con esto está todo dicho. O no.

El crear una nueva norma con forma de reglamento, no es casualidad. En primer lugar, se le quiso dotar de la superioridad normativa necesaria para ir por encima de las normas nacionales -que para aprobarlo todos estuvieron de acuerdo-. En segundo lugar, homogeneizar la normativa. Es decir todos los estados tenemos la misma legislación, o casi. En tercer y último lugar, se pretendía que la norma en su momento de en vigor, y en el inicio de su aplicación fuera directamente aplicable para todos, gobiernos y particulares.

El RGPD tiene como finalidad garantizar el derecho a la protección de datos de todos los ciudadanos.

¿A quién aplica el RGPD?

Como dijimos en el anterior párrafo, a todos. Ahora bien, a unos nos reconoce derechos, y a otros les impone obligaciones de hacer, o de no hacer. Por un lado, a los particulares, nos reconoce una serie de derechos, unos ya los teníamos, otros son casi nuevos. Por contra, a las empresas, profesionales y organismos públicos o privados, les impone una serie de obligaciones. Las obligaciones impuestas por el RGPD, pretenden proteger a las personas de las cuales las empresas tratan datos personales, garantizando sus derechos, y limitando sus usos y tratamientos.

Diferencias entre las obligaciones de la actual LOPD y el RGPD

Este post no pretende hacer un examen minuciosos de las reglas que cambian. Ya lo haremos luego, no os preocupéis. Así que a grandes rasgos, las diferencias entre lo que tenemos ahora, y lo que nos llega con el RGPD, son las siguientes:

Cumplimiento limitado a la Ley, vs. Cumplimiento activo.

Hasta ahora, para las empresas, cumplir la LOPD ha sido cosa de inscribir unos ficheros en el Registro General de Protección de Datos; poner las medidas de seguridad del RD 1720/2007 que nos apliquen; poner cláusulas, y firmar documentos. Y luego, que demuestren que he fallado.

Con el RGPD, se introduce el termino Acountability, o cumplimiento activo.  Se plantea el reto de la privacidad por defecto y por diseño. Son las empresas las que tienen que actuar proactivamente protegiendo los derechos de las personas de las cuales tratan, o podrían tratar datos personales. El cumplimiento del RGPD no se basa en una lista concreta de cosas para hacer, sino, de cosas para prever de forma activa. Ahora, se deberá demostrar el cumplimiento, si o si.

Medidas de Seguridad. Ahora, según evaluación de riesgos

Las medidas de seguridad que conocemos de nuestra LOPD y su reglamento de desarrollo, el RD 1720/2007, ya no estarán incluidas como tal en el RGPD. No habrá una lista concreta de medidas a aplicar, sino, que debemos llevar una gestión de riesgos de los datos personales que manejamos.  En este sentido se recomienda el uso, de los controles de seguridad de la familia ISO 27001.

Encargados de tratamiento. De menos a más responsabilidad.

Hasta ahora con la LOPD, se había establecido la obligación de firmar el contrato que exige el artículo 12, y alguna poca cosa más. Pero con el RGPD, las empresas deberán evaluar de forma activa el cumplimiento de sus proveedores. Deberán implementar un protocolo de contratación en el que el cumplimiento de la norma sea un requisito básico para contratarlos;  también el seguimiento de dicho cumplimiento, un requisito para el manteniendo del contrato. El contrato deberá ser más detallado a la relación concreta, los datos tratados, las finalidades y los tipos de tratamientos.  Por lo anterior, se trasladará una mayor parte de la carga del cumplimiento al prestador.

Registros de tratamiento en lugar de inscripción de ficheros. 

Ya no se notificarán ficheros a la AEPD. Ese tan conocido Registro General de Protección de Datos, al que las empresas notificaban los ficheros ; muchas veces era un mero tramite administrativo, vació de cumplimiento activo, ahora ya no existirá. La AEPD ha informado por activa y por pasiva, que pese a que tenemos que cumplir con esta obligación hasta el 24/05/2018, a partir de la entrada en vigor del Reglamento General de Protección de Datos, el 25/05/2018, ya no se deberá, ni se podrá seguir inscribiendo ficheros. 

Hay muchas más novedades, pero estas son las principales, y además, la idea era hacer corto este artículo. Así que seguimos

¿Cuando tenemos que empezar a cumplir?

Pues cuanto antes, en función de la actividad de la empresa, o de los datos que trate, o de las finalidades o cantidades de datos que tratemos. El caso es que el 25 de mayo de 2018, cuando el Reglamento General de Protección de Datos inicie su plena aplicación, todos los obligados deberán estár cumpliendo. En ese momento el RGPD será directamente aplicable y exigible a todos.

El día de inicio de aplicación del RGPD, o GDPR como son la siglas en inglés, todos los ciudadanos veremos alargada nuestra lista de derechos y herramientas para ejercitarlos, así que las empresas deberán estár listas para garantizar su respeto y ejercicio.

En resumen

El RGPD es el cambio más grande que hemos tenído en los últimos años, en matería de protección de datos. Estos dos daños que nos dierón desde su entrada en vigor, hasta el inicio de su aplicación ya se están agotando y hay que ponerse en marcha si ya no se ha hecho.

Esta norma se ha de afrontar en muchos casos como si de una norma ISO se tratara, o algo similar. Con mucho rigor, compromiso de la dirección y trazabilidad de todos los actos de cumplimiento. Ahora tenemos que demostrar que cumplimos; cumpliendo y registrando ese cumplimiento es como se consigue.

 

 

Los titulares de páginas web deben realizar una adecuación legal web. La finalidad es cumplir aquellas leyes que se han erigido como garantes de los derechos de las
personas en internet.

Con la expansión de internet, cada vez somos más propensos a realizar transacciones a través de la red. Necesitamos seguridad jurídica, y estas leyes bien aplicadas nos ayudan a conseguirla.

Hay que recordar que en su momento parecía que internet era el Salvaje Oeste. Nada más lejos de la realidad. Pero, para evitar confusiones, y aclarar algunas
líneas muy delgadas, se creó la regulación especifica de los servicios de la sociedad de la información.

Nota: artículo actualizado el 04/11/2018 para incluir lo relativo a la adecuación web al RGPD – Reglamento General de Protección de Datos UE 679/2016.

¿Qué leyes se tienen en cuenta en una adecuación legal web?

El ecosistema jurídico aplicable a los negocios en interner, es el mismo que es de aplicación en su parte física. Tenemos al Código Civil, Código de Comercio, Código Penal, entre otros. Luego, las leyes especiales que imponen obligaciones concretas a aquellas empresas y profesionales que gestionan y explotan una página web.

Específicas de negocios en internet
Relativas al producto/servicio y actividad económica

Las anteriores para empezar. A partir de ellas hay que sumar la legislación específica relativa a la actividad que se realice. Así como la de los productos o servicios ofrezca. Esto para transacciones B2C (negocio a persona física)

Para transacciones B2B (negocio con negocio)  pues oye, que venga el Código Civil y la legislación mercantil y repartan cuantas reglas hagan falta.

En nuestros post hablaremos del caso que más se presta para generalizar. El B2C, y las leyes básicas aplicables a casi toda la generalidad de páginas web de negocios o profesionales.

Pero, ¿cuáles son las leyes que debo cumplir en MI web?

Sabiendo de antemano que existe una regulación de los servicios prestados u ofrecidos a través de internet, así como que es de aplicación todo el ordenamiento jurídico básico de nuestro país, le dejamos una pequeña tabla que le permitirá identificar fácilmente las leyes que debe cumplir.

Lista indicativa, una opción no excluye la otra. Lo más probable es que salga, LSSI y el RGPD, casi siempre.

 

Y, ¿De esas Leyes qué tengo que hacer?

Bueno, nuestro propósito inicial fue escribir un solo artículo que resumiera todas las obligaciones. Como iba a quedar tipo testamento -de lo largo- haremos, otros 3 artículos que cumplimenten este. Serán sobre la LSSI-CE, el RGPD y la LGDCU.

Para resumir, os ponemos lo que a nuestro juicio son los dos pilares de estas tres leyes. El principio de información y transparencia, y el de consentimiento. Los demás son completamente transversales en asociación con estos.

Principio de información y transparencia.

En nuestras transacciones online, sean gratiutas u onerosas nos interesa tener seguridad jurídica. Saber que nuestros derechos serán respetados y que quien está del otro lado, va a cumplir su parte del trato.

  1. En la LSSI, artículo 10, encontramos la obligación publicar toda la información del titular de la web. Datos identificativos, fiscales, de contacto, de localización y registro. En caso de profesiones reguladas también se piden información específica. Si en la web se ofrecen productos o servicios deben aparecer claramente los precios, impuestos aplicables y gastos de envío. Entre otras.
  2. El RGPD por su parte dispone en el artículo 5.1 en su apartado a) el principio de transparencia en relación al tratamiento de datos del interesado, y en su artículo 13 relativo al derecho de información, establece que se facilitará toda la información siguiente al interesado: la identidad y los datos de contacto del responsable, los fines a los que se destinan los datos personales, los destinatarios o las categorías de destinatarios de los datos personales, el plazo durante el cual se conservarán los datos personales, así como la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento.
    NOTA: En este apartado el artículo original hacía mención a las obligaciones de información de la LO. 15/1999 de Protección de Datos de Carácter Personal.
    Hace dos semanas la AEPD publicó su informe sobre ‘Políticas de privacidad en Internet. Adaptación al RGPD’. No quedó títere con cabeza, y definitivamente
    ese informe hecho de oficio por la Agencia deja claro que no se van a andar con chiquitas a la hora de evaluar el cumplimiento de los responsables. Puede ver el informe aquí https://www.aepd.es/media/estudios/informe-politicas-de-privacidad-adaptacion-RGPD.pdf
  3. La LGDCU, va más allá que la LSSI en lo relativo a los derechos de los consumidores y usuarios. Exige que todo tipo de información relativa a la venta o contratación, sea fácilmente accesible siempre para los consumidores. Así mismo que estos siempre tengan claro: cuál es el proceso de compra, los precios de los productos, del envío, la posibilidad del ejercicio del derecho de desistimiento, cancelación de la transacción, entre otros.
Principio del consentimiento.

Os podéis imaginar que, si estas leyes pretenden garantizar los derechos de los usuarios, uno de los puntos clave es priorizar la necesidad del consentimiento bien para recabar datos, para el envío de publicidad, o para la formalización de una transacción o cualquier otra finalidad que así lo requiera, así como la normativa aplicable: casos y leyes:

  • El Reglamento General de Protección de datos dispone que el consentimiento ha de ser inequívoco, es decir, se ha de prestar mediante una manifestación o una clara acción afirmativa del interesado.
  • Por otro lado la LSSI, en sus artículos 20, 21 y 22 exigen, no solo información, sino, la autorización expresa. Ojo, expresa, para el envío de publicidad. Claro, también hay alguna excepción, la más importante, y asociada a la pronto inicio de aplicación del RGPD, será la del interés legítimo.
  • En la LGDCU -por recordar, Ley General Para la Defensa de Consumidores y Usuarios- solo se podrán entender como realizadas aquellas transacciones que sean realizadas con el consentimiento y aceptación plena e informada del consumidor. Aquellas se realicen de forma engañosa, no tendrán validez.

Conclusiones

Tener una página web requiere de una visión de amplio espectro. Que no solo se vea por la consecución del fin de su puesta en marcha, sino también, de la defensa y garantía de los derechos de nuestros destinatarios del servicio o consumidores.

El cumplimiento de estas normas, no solo protege los derechos de los usuarios o consumidores, sino también de los del titular de la web. Con el cumplimiento de las normas en muchos casos limita su responsabilidad, así como evita incidencias mayores al poner en claro las reglas del juego. Las leyes están para cumplirlas, pero si además las cumplimos como valor añadido podremos conseguir que nuestro sitio web sea reconocido por su fiabilidad y cumplimiento.

Si necesitáis ayuda con la adecuación legal de vuestra web, ecommerce, palataforma Saas, o cualquier otro servicio de la sociedad de la información, no dudéis en contactarnos. Nuestro nuestro servicio de adecuación legal web, software y app, ha sido diseñado para eso.

PS/ Pronto publicaremos el siguiente artículo. Adecuación Legal Web (II). La LSSI.