Todo lo que necesitas saber sobre los códigos de conducta RGPD

códigos de conducta rgpd

A la hora de adaptar los mecanismos de protección de datos al nuevo Reglamento europeo, es posible que nos hayamos topado con los códigos de conducta RGPD. Aunque los códigos de conducta ya estaban recogidos por la antigua ley (LO 15/1999), bajo la denominación de ‘códigos tipo’, el Reglamento General de Protección de Datos acepta una mayor flexibilidad e incluye varios cambios.

¿Qué es un código de conducta RGPD?

El código de conducta se recoge en el RGPD y facilita que las entidades de una organización puedan crear códigos de cumplimiento de acuerdo a sus necesidades es particulares. Se trata de  un mecanismo cuyo objetivo es la correcta aplicación del Reglamento General de Protección de Datos.

La creación y posterior adhesión a un código de conducta RGPD es voluntaria. Sin embargo, implica la presunción de cumplimiento con el Reglamento General de Protección de Datos, por lo que es ventajoso tener uno de ellos adaptado a la empresa o sector.

¿Cómo puedo crear un código de conducta RGPD?

Un código de conducta RGPD es un documento que debe ser aprobado por la autoridad de control, que en el caso de España es la AEPD.

Requisitos de los códigos de conducta RGPD

Los códigos de conducta tienen que especificar la aplicación del Reglamento General de Protección de Datos al respecto de los siguientes aspectos:

  • Tratamientos leales y transparentes
  • Intereses legítimos de los responsables
  • Recogida de datos         
  • Seudonimización de datos personales
  • Información proporcionada al público y a los interesados
  • Ejercicio de los derechos de los interesados
  • Información proporcionada a los niños y la protección de estos
  • Medidas y procedimientos de privacidad por defecto y privacidad por diseño
  • Medidas para garantizar la seguridad del tratamiento
  • Notificación de violaciones de la seguridad de los datos personales
  • Transferencia de datos personales a terceros países y organizaciones internacionales
  • Los procedimientos extrajudiciales

Cómo aprobar tu código de conducta RGPD

Para que se apruebe un código de conducta, hay que presentar el proyecto a la autoridad de control competente. Como ya hemos dicho, en España se trataría de la Agencia Española de Protección de Datos.

Será la AEPD quien determine si el proyecto (o en su caso, la modificación o la ampliación) es conforme a lo que establece el Reglamento General de Protección de Datos. También será quien, en su caso, lo aprobará, registrará y publicará el código.

Además, si el código de conducta RGPD puede aplicarse en varios estados miembros, la AEPD presentará su proyecto al Comité Europeo de Protección de Datos. Una vez se compruebe que es conforme al Reglamento y ofrece las garantías adecuadas, se presentará a la comisión, quien le dará publicidad.

¿Qué ventajas tiene adherirse a un código de conducta RGPD?

Como ya se ha mencionado, la adhesión a un código de conducta RGPD  implica la presunción de cumplimiento con el Reglamento General de Protección de Datos. Además, haciéndolo se asegura un mayor nivel de cumplimiento y una imagen corporativa más segura.

Otra ventaja a tener en cuenta es que estar adherido a un código de conducta RGPD puede hacer que se reduzcan las sanciones impuestas por incumplimiento.

Modelo consentimiento Whatsapp: ¿Cómo puedo crear legalmente un grupo de WhatApp?

protección de datos whatsapp

Es una acción cada vez más habitual: creamos un grupo de whatsapp, agregamos a las personas que nos interesan –o pedimos que lo hagan- y comenzamos a chatear. Sin embargo, lo que surgió como una manera de facilitar la conversación entre amigos, ha terminado sirviendo para para multitud de usos, con grupos de hasta 256 personas. Y aquí es donde la protección de datos y Whatsapp chocan. ¿Es legal que me metan en un grupo de Whatsapp sin mi permiso?

En primer lugar tenemos que diferenciar entre los grupos pertenecientes privados y los grupos públicos. No habría ningún problema de protección de datos si el grupo fuera de los primeros, ya que el RGPD no se aplica en la esfera personal y doméstica. Se trataría de los grupos familiares o de amigos, donde todos los miembros se conocen.

El problema de privacidad viene entonces cuando es un grupo público, en el que no conocemos a todos los participantes.

Whatsapp y la protección de datos

Cuando nos añaden a un grupo de Whatsapp, todos los miembros tienen acceso a nuestro número de teléfono móvil (considerado un dato de carácter personal) y nuestro ‘nickname’ (el nombre que le hemos dado a whatsapp para nuestra cuenta. Dependiendo de nuestra configuración de privacidad, también podrían ver nuestra foto de perfil.

Es por ello que añadir a una persona en un grupo de Whatsapp sin su consentimiento puede ser sancionable con hasta 300.000 euros de multa.

¿Cómo podemos crear un grupo de Whatsapp legal?

Dependerá mucho del tipo de grupo que queramos crear. No es lo mismo añadir miembros al grupo de padres del cole que crear un grupo para la difusión de ofertas comerciales o la organización de un macroevento.

En cualquier caso necesitaremos el consentimiento de la persona a la que vamos a añadir al grupo. Este puede obtenerse tanto de manera informal como de manera formal, dependiendo del contexto. Podemos enviar un mensaje a los otros padres del cole para preguntarles si les parece bien, pero en la organización de un macroevento será necesario un consentimiento firmad donde se especifiquen las condiciones del tratamiento.

En este sentido, WhatsApp ha facilitado la tarea, creando enlaces para unirse a grupos que dejan el poder de decisión en manos del usuario, de modo que cuando se une al grupo en el chat aparece el método mediante el cual se ha unido. En este caso, no es necesario contar con el consentimiento.

Sin embargo, para los casos en los que sí es necesario, os dejamos aquí un resumen de los requisitos que debe tener el consentimiento.

Consentimiento para añadir personas a un grupo de WhatsApp

  1. Debe quedar claro qué datos se van a compartir con los usuarios del grupo.
  2. Debe especificarse la finalidad del grupo.
  3. También tiene que aparecer el día en el que se otorgó el consentimiento.
  4. Es recomendable que se especifiquen datos sobre quién ostenta el papel de administrador y quién es el responsable del grupo.

Cumpliendo esos tres requisitos, tendremos un consentimiento perfectamente válido para añadir a personas a un grupo de WhatsApp cumpliendo con la protección de datos y de forma completamente legal.

Protección de datos usando Mailchimp + GUIA

protección de datos usando mailchimp

Uno de los sistemas más utilizados para la creación de newsletters y soluciones de marketing digital es Mailchimp. Sin embargo, ¿cumple Mailchimp con la ley de protección de datos? Con la obligada aplicación del Reglamento General de Protección de Datos (RGPD), son muchas las preguntas que nos pueden surgir en relación al marketing digital y al buzoneo online.

Tener las herramientas adecuadas es muy importante, y por suerte Mailchimp cumple con la ley de protección de datos, dando facilidades a sus usuarios para que cumplan con los requisitos del RGPD.

Pero empecemos por el principio.

¿Qué es Mailchimp?

Mailchimp es una de las herramientas más famosas para realizar ‘email marketing’. Gracias a Mailchimp, fácilmente se pueden crear formularios de alta en tu web, gestionar listas de correo, personalizar mensajes, enviar campañas de marketing o viralizar contenido, entre otras muchas funciones.

Y, ¿por qué nos interesa utilizar Mailchimp? Porque es una herramienta muy efectiva para vender por Internet y obtener suscriptores, además de ser muy sencilla e intuitiva para trabajar. Gracias a Mailchimp, podemos hacernos con una base de datos con potenciales clientes a los que enviar nuestro contenido publicitario

Mailchimp y la ley de protección de datos

Sin embargo, almacenar los datos de contacto de esos potenciales clientes podría traernos problemas si no se hace de acuerdo con el RGPD. ¿Nos ayuda Mailchimp a cumplir con la ley de protección de datos? La respuesta es sí, pero con reservas.

Para cumplir con el RGPD, Mailchimp pone a disposición de los usuarios formularios de suscripción aptos para el RGPD y una opción de doble consentimiento para recopilar contactos. Sin embargo, es trabajo de cada usuario asegurarse de que en la redacción del formulario se reflejan con exactitud las actividades de marketing que va a llevar a cabo y de incluir el uso de Mailchimp en la Política de Privacidad de la web. A continuación daremos las pautas básicas para asegurar que usamos Mailchimp de acuerdo a la Ley de Protección de Datos.

Guía: Mailchimp y el RGPD

  1. Obtén el consentimiento de los usuarios. Los formularios de suscripción de Mailchimp específicos para el RGPD tienen opciones específicas para cumplir con la normativa europea. Úsalos para asegurarte de que tienes el consentimiento de acuerdo con la ley.
  2. Activa la doble confirmación. Este paso adicional permite verificar cada dirección de correo y hacerte con una base de datos segura.
  3. Exporta tus contactos. Mailchimp guarda la fecha, hora y dirección IP en la que ser rellenó el formulario.
  4. Haz una captura de pantalla de tu formulario de contacto. Esto te ayudará a demostrar que has descrito con exactitud para qué se han recogido los datos.
  5. Puedes hacer que tus suscriptores tengan que marcar obligatoriamente una casilla para que al menos te concedan un permiso de marketing a la hora de suscribirse.
  6. También es posible que importes a Mailchimp contactos que ya te hayan dado su consentimiento fuera de este servicio.
  7. Recuerda que es muy importante que incluyas que usas Mailchimp en la Política de Privacidad de tu web, así como especificar en tu declaración de cookies aquellas que usan tus servicios de Mailchimp.

¿Qué es el Derecho Informático?

qué es el derecho informático

El Derecho Informático es la rama del derecho que recoge las normas que regulan los efectos jurídicos de la relación entre el derecho y la informática. Abarca desde los delitos cometidos a través de la informática hasta las relaciones laborales que se establecen gracias a ella, incluyendo litigios sobre la propiedad o contratación informática.

Además, el Derecho Informático también regula las llamadas TIC (Tecnologías de Información y Comunicación) y estudia las transformaciones del Derecho derivadas del uso de las nuevas tecnologías.

¿En qué ámbitos se aplica el Derecho Informático?

Las nuevas tecnologías están tan integradas en nuestro día a día que el Derecho Informático tiene un ámbito de aplicación muy amplio. Además de lo especificado anteriormente, el Derecho Informático estudia temas como la privacidad, la protección de datos, las compras electrónicas, seguridad informática o la publicidad online. 

Otros campos de estudios serían la defensa el consumidor, el teletrabajo, la firma electrónica, las notificaciones por medios electrónicas y el e-goverment. En resumen, en cualquier hecho vinculado con las nuevas tecnologías y la informática sería de aplicación de Derecho Informático.

¿Cuáles son los delitos informáticos en los que se podría aplicar el Derecho Informático?

Los delitos informáticos son los que lesionan o dañan bienes, intereses o derechos de personas naturales o jurídicas utilizando para ello ordenadores u otros aparatos informáticos.

Algunos de los delitos informáticos son:

  • fraude
  • accesos no autorizados
  • destrucción de datos o programas
  • reproducción y uso no autorizado

Sin embargo, el escenario de la informática se mueve rápidamente y los criminales siempre encuentran nuevos modos de cometer delitos. Uno de los ejemplos es el phising, muy conocido entre los internautas debido que es de los delitos informáticos más frecuentes y en los que es más difícil ‘picar’. El phising es un modo de recopilar datos personales de Internet en el que los criminales suplantan una identidad digital de confianza (como puede ser la de nuestro banco, compañías de telefonía o tiendas online) con las que nos solicitan contraseñas, números de cuenta y otros datos suficientes para sustraer el dinero disponible o usar tarjetas de forma fraudulenta.  

¿Por qué es importante acudir a un especialista en Derecho Informático?

Como se ha indicado previamente, en la actualidad la tecnología se implica cada vez más en nuestras vidas. Esto supone que delitos comunes como suplantación de identidad, robos o estafas adquieran una nueva dimensión, a la vez que se generan nuevas infracciones que pueden atentar contra los intereses particulares. Es por ello que la figura del especialista en Derecho Informático es tan importante hoy en día, si queremos proteger nuestros derechos de la forma más eficaz.

Por ejemplo, no es lo mismo recibir un comentario injurioso en la calle durante una discusión con un vecino que esas mismas palabras se reproduzcan en los comentarios de un post del grupo de Facebook de tu ciudad. Un especialista en Derecho Informático podrá identificar al autor del delito, recopilar las pruebas necesarias para sostener el caso y conocerá la jurisprudencia aplicable en el caso concreto de comentarios en redes sociales.

¿Qué es el consentimiento explícito en materia de protección de datos?

qué es el consentimiento explicito

Una de las nociones que nos trajo el Reglamento General de Protección de Datos es el consentimiento explícito, necesario para recoger los datos personales de los usuarios. Pero ¿qué significa consentimiento explícito y en qué se diferencia del consentimiento común?

Esta diferencia fue uno de los grandes quebraderos de cabeza en 2018 (cuando el RGPD se volvió de obligada aplicación) para muchas empresas. ¿Cómo podían obtener el consentimiento explícito de sus usuarios, si ya contaban con su consentimiento?

El Reglamento General de Protección de datos recoge que el consentimiento informado debe ser recogido de manera clara y precisa, y que no debe dejarse a la libre interpretación los datos que se recogerán ni con qué finalidad.

La manera más simple de obtener el consentimiento explícito sería en una declaración escrita. Sin embargo, en los entornos digitales podría valer el cumplimentar un formulario, enviar un correo electrónico, escanear un documento firmado o usando la firma electrónica.

En teoría, también podríamos obtener el consentimiento explícito de forma verbal, como en una llamada telefónica, aunque podría ser difícil probar que se han cumplido todas las condiciones necesarias para el consentimiento explícito.

¿Hace falta obtener siempre el consentimiento explícito?

De acuerdo con el RGPD, el consentimiento tendrá que ser explícito cuando se traten categorías especiales de datos personales, cuando los datos sean susceptibles de transferirse a terceros países sin una garantía de protección de datos adecuada, en el caso de que se vayan a adoptar decisiones individuales automatizadas, incluyendo la elaboración de perfiles y cuando vayan a ser utilizados para marketing directo.

No obstante, no será necesario obtener el consentimiento explícito en casos como un contrato individual, el cumplimiento de obligaciones legales, intereses legítimos o en tareas públicas.

¿Qué características tiene que tener el consentimiento explícito?

Además de ser recogido de forma clara y precisa, y sin dar lugar a libre interpretación, el consentimiento explícito debe cumplir las características del consentimiento general.

En primer lugar, debe ser único: separado de otros términos y condiciones. Además, no debe ser condicionante previo a la hora de firmar un servicio (a no ser que sea necesario para el mismo). El consentimiento explícito también tiene que ser definido y nominativo, esto es, debe quedar claro para qué se necesitan los datos personales y cuál será su tratamiento, identificando a la organización responsable y los terceros cesionarios de los datos.

La empresa, además, tendrá que conservar la documentación necesaria para demostrar que el usuario consintió en el tratamiento de sus datos, incluyendo los datos de qué dijo, cuándo y sobre qué se le informó. Por otra parte, el usuario debe poder revocar su consentimiento con la misma facilidad con la que lo otorgó.

Finalmente, el consentimiento explícito debe ser equilibrado, de modo que no se produzcan desequilibrios entre individuo y controlador.

¿Qué dice del consentimiento explícito la LOPDGDD?

La ley española en materia de protección de datos (Ley Orgánica 3/2018 de 5 de diciembre) afirma que el tratamiento de datos, de categorías especiales de datos y de datos de naturaleza penal solo podrán recogerse con el consentimiento explícito del usuario cuando su finalidad searealizar estadísticas públicas.

Además, para acceder a datos sensibles también se deberá contar con el consentimiento explícito, a no ser que sean datos públicos o el acceso esté amparado por la ley. Asimismo, las Administraciones no requerirá la presentación de documentación original o datos no exigidos por la normativa.

Para el resto de consideraciones respecto al consentimiento explícito, la LOPDGDD nos remite al Reglamento General de Protección de Datos, expuesto anteriormente.

¿Qué es el Sistema de Información Schengen?

Sistema de Información Schengen

Los países de Europa (miembros o no de la Unión Europea) tienen diferentes convenios y tratados para facilitar la convivencia y el intercambio entre ellos. Uno de ellos es el Sistema de Información Schengen (SIS), que facilita que la información sobre personas y cosas se comparta entre ellos.

El SIS es un sistema informatizado que permite disponer de descripciones de personas y de objetos. A este sistema pueden acceder todos los países firmantes del Tratado de Schengen. El Sistema de Información Schengen permite que las autoridades policiales, aduaneras y de control fronterizo nacionales encargadas de realizar los controles pertinentes dentro del espacio Schengen o en la frontera exterior hagan circular alertas sobre personas buscadas o desaparecidas y objetos como documentos y vehículos robados.

¿Qué datos almacena el Sistema de Información Schengen?

Entre la información que recopila el Sistema de Información Schengen se encuentra si la persona tiene alguna enfermedad mental, si es menor de edad, si ha sido declarado persona non grata en algún país, si tiene un requerimiento de extradición o judicial, si necesita protección o está considerada como persona desaparecida o es sospechoso de un crimen.

Además, el Sistema de Información Schengen también tiene información sobre armas, documentos de identidad, vehículos y cheques bancarios que consten como perdidos o robados.

Actualmente el Sistema de Información Schengen cuenta con una segunda versión lanzada en 2013, el SIS II, más avanzada tecnológicamente y que cuenta con más categorías de datos que la original.  

¿Qué implicaciones tiene el Sistema de Información Schengen?

Uno de los principales problemas que tiene el Sistema de Información Schengen es que es un sistema de recolección de información controlado por los gobiernos de los países firmantes. Algunos críticos consideran que el SIS podría suponer invasión de la privacidad y vulnerar los Derechos Humanos, así como no respetar los principios de igualdad y no discriminación.

Los países firmantes son responsables de la seguridad de los datos que se almacenan en sus sistemas nacionales, que deben sincronizarse a tiempo real con el sistema central.

¿Puedo saber qué datos almacena sobre mí el Sistema de Información Schengen?

Todos los países que utilizan el Sistema de Información Schengen II están obligados a controlar la calidad de la información que introducen y a cumplir estrictos requisitos en materia de protección de datos. Además, todas las personas pueden solicitar el acceso a los datos que se almacenan sobre ellas e, incluso, pedir que se corrijan o eliminen en el caso de que no sean exactos o su integración en el sistema no sea lícita.

La autoridad responsable del Sistema de Información Schengen puede negarse a dar acceso a los datos de una persona en el caso de que facilitarlo sea perjudicial para el trascurso de una operación legal.  

¿Qué es el Tratado de Schengen?

El Tratado de Schengen es un acuerdo internacional firmado por países europeos por el que se suprimían las fronteras para permitir la libre circulación entre ellos. Este acuerdo fue integrado en los tratados de la Unión Europea.

Esta libre circulación dentro del llamado Espacio Schengen está acompañada por medidas de cooperación y coordinación entre los servicios de policía y las autoridades judiciales, entre las que se encuentra el Sistema de Información Schengen.

En este sentido, el SIS tiene el objetivo  de compensar la abolición de los controles fronterizos internos y facilitar la libre circulación de personas.

¿Qué países forman  parte del Espacio Schengen?

Un total de 26 países pertenecen al Acuerdo de Schengen:  Alemania, Austria, Bélgica, Dinamarca, Eslovaquia, Eslovenia, España, Estonia, Finlandia, Francia, Grecia, Hungría, Islandia, Italia, Letonia, Liechtenstein, Lituania, Luxemburgo, Malta, Noruega, Países Bajos, Polonia, Portugal, República Checa, Suecia y Suiza. Aunque no todos estos estados permiten la libre circulación de personas, todos ellos participan en la cooperación policial, por lo que tienen acceso al Sistema de Información Schengen.

¿Qué es el Comité Europeo de Protección de Datos (CEPD)?

comité europeo de protección de datos

Uno de los organismos creados a nivel europeo para ayudar en la aplicación del RGPD es el Comité Europeo de Protección de Datos, un organismo independiente. Uno de sus objetivos principales es mantener la coherencia sobre cómo los estados miembros de la Unión Europea aplican las normas de protección de datos en sus territorios, de manera que, por ejemplo, en España y en Polonia se sigan los mismos criterios. El CEPD tiene su sede en Bruselas.Comité Europeo de Protección de Datos

EL Comité Europeo de Protección de Datos trabaja para que las autoridades de protección de datos –como la AEPD en España- de los países miembros de la Unión Europea apliquen los mismos criterios en la aplicación del Reglamento General de Protección de Datos y facilita la cooperación entre todas ellas.

Comité Europeo de Protección de Datos

¿Quiénes forman el Comité Europeo de Protección de Datos?

El Comité Europeo de Protección de Datos está compuesto por los directores de las autoridades de protección de datos de los veintiocho países miembros de la Unión Europea. Además, también forma parte el Supervisor Europeo de Protección, quien ostenta el puesto de la Secretaría. Estos son los únicos miembros que tienen derecho a voto.

La Comisión Europea también participa en las reuniones del Comité Europeo de Protección de Datos, pero no tienen derecho a voto, al igual que las autoridades de control de los estados de la  Asociación Europea de Libre Comercio (AELC) . Estas autoridades tampoco tendrían posibilidad de ser elegidas para los cargos de presidente o vicepresidente.  Tanto la Comisión Europea como el Órgano de Vigilancia de la AELC (en los asuntos que están relacionados con el Reglamento General de Protección de Datos) pueden participar en las actividades y las sesiones del Consejo.

Actualmente, la presidenta del Comité Europeo de Protección de datos es Andrea Jelinek, y las dos vicepresidencias están ocupadas por Ventsislav Karadjov y por Aleid Wolfsen.

¿Cuáles son las funciones del Comité Europeo de Protección de Datos?

Ya hemos adelantado que la función principal del Comité Europeo de Protección de Datos es la de mantener la coherencia en la aplicación del Reglamento General de Protección de Datos.  Sin embargo, el CEPD tiene otras muchas funciones. Por ejemplo, emite directrices sobre cómo deben interpretarse los principales conceptos del RGPD, así como decisiones vinculantes sobre diferencias relativas al tratamiento transfronterizo.

Además, el Comité Europeo de Protección de Datos asesora a la Comisión Europea sobre aspectos relacionados con la protección de datos personales y la nueva legislación que se proponga en la Unión Europea.  Además, si hay alguna duda en la aplicación del Reglamento o de las leyes de protección de datos de los países miembros, el CEPD proporciona la conveniente orientación para clarificarla.

El CEPD también debe garantizar la aplicación coherente de la Directiva europea sobre protección de datos en el ámbito policial.

El Comité Europeo de Protección de Datos fue creado mediante el RGPD, y los principios que lo rigen son similares a otros organismos europeos, como pueden ser la independencia e imparcialidad, buena gobernanza,  integridad y buena conducta administrativa, responsabilidad colegial, cooperación, transparencia, eficiencia y modernización y proactividad.