Coronavirus y protección de datos: respondemos a cuatro preguntas

Coronavirus y proteccion de datos

Con septiembre llegan muchas incertidumbres: cómo será la vuelta al cole, cómo sostendrá el sistema la vuelta a los centros de trabajo y que pasará (de nuevo) con los trabajadores contagiados o contactos directos de ellos.

A continuación, nuestros especialistas resuelven algunas de las dudas más recurrentes en cuanto a coronavirus y nuestras relaciones laborales.

¿Puede el empresario comunicar a la plantilla la identidad de un trabajador infectado con coronavirus?

A pesar de que la normativa de prevención de riesgos laborales y de medicina laboral permiten de forma expcepcional en tratamiento de datos personales relativos a la salud sin el consentimiento del afectado, esta excepción no alcanzaría a una comunciación interna del empleador al resto de la plantilla en la que se comunicara quien es el compañero o compañera afectado.

Sin embargo, la empresa tiene la obligación de tomar las medidas necesarias para proteger la salud de todos los trabajadores, por lo que sí tendría que comunicar la posibilidad de contagio, aunque sin identificar a la persona enferma.

Si me he infectado de coronavirus, ¿tengo que comunicarlo a mi empresa?

Sí, incluso si solo es una sospecha. La normativa de prevención de riesgos laborales impone la obligación de velar tanto por la propia seguridad como la de los compañeros.  Esto quiere decir que cualquier trabajador en riesgo tendrá que informar a su superior directo si se ha contagiado o ha estado en contacto directo con los contagiados.

¿Mi empresa tiene que poner medidas de seguridad adicionales para tratar mis datos sobre el coronavirus?

No, las medidas de seguridad deben ser las mismas que para el tratamiento de los datos de salud de los trabajadores.

La información relativa a la salud de los trabajadores se considera una categoría de especial protección en el ámbito de la protección de datos personales. La empresa deberá adoptar los mismos protocolos que ya debe tener implantados para el tratamiento de datos relativos a la salud de sus trabajadores, en especial, medidas que garanticen la confidencialidad de esta información, así como un tratamiento proporcional de la misma. La empresa no puede tratar esta información para finalidades distintas para las que se recabaron, y tampoco pueden hacerlo las compañías de seguros que puedan entrar en juego.

Si estoy teletrabajando, ¿tengo que hacer algo para garantizar la protección de datos?

La empresa es la encargada de establecer un protocolo que recoja la las particularidades de esta forma de trabajo y que abarque, al menos: políticas de acceso remoto a la información, políticas de protección de contraseñas, medidas para asegurar el entorno del trabajador en remoto, expectativas de privacidad en el uso de medios tecnológicos para labores profesionales y una guía sobre qué puede y qué no puede hacer el empleado don los dispositivos utilizados para el teletrabajo, sean o no de la empresa.

 

¿Puede la policía evitar por protección de datos que grabes su actuación en la calle?

Recientemente ha aparecido un vídeo en el que un policía impide a un periodista que grabe la actuación policial que estaba realizando en la calle. El policía esgrimía la normativa de protección de datos para justificar el impedimento a la grabación del periodista. En este artículo vamos a responder a la pregunta de si puede la policía evitar, invocando la normativa de  protección de datos, que grabes su actuación en la calle.

En estas fechas de situación excepcional que vivimos, son muchos los vídeos difundidos por mensajería instantánea (como Whatsapp) o redes sociales, en los que se recogen imágenes de miembros de los Cuerpos y Fuerzas de Seguridad del Estado en acto de servicio, actuando frente aquellos ciudadanos que no cumplen con las directrices del Estado de Alarma.

Esta misma semana se ha hecho viral un vídeo en el que un ertzaina declara acogerse a su derecho a “no ser grabado” por protección de datos e impide a un periodista que lo grabe mientras realizaba una actuación policial en la calle. Pero, ¿puede un funcionario público impedir, en este caso a un periodista, la captación de su actuación policial y su imagen y su posterior difusión?

La captación y difusión de imágenes de las FFCCSE puede tener apoyo tanto en el RGPD y en la nueva LOPDGDD, en lo que a la catalogación de la imagen y la voz como dato personal se refiere y la legitimación de su tratamiento por el que graba, como en la Ley 1/82 de protección jurídica del derecho al honor, intimidad y propia imagen en lo que respecta a la autorización del funcionario para que se tome su imagen, como en la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana dada la condición de agente del orden del agraviado en este supuesto. No obstante, antes de comenzar, debemos de separar por un lado la captación de la imagen y por otro su distribución.

Captación y difusión de imágenes

En lo que a la captación de imágenes se refiere, la Ley Orgánica 1/1982 establece en el artículo 7.5 la prohibición general de la captación, reproducción o publicación por fotografía, filme, o cualquier otro procedimiento, de la imagen de una persona en lugares o momentos de su vida privada o fuera de ellos, salvo los casos previstos en el artículo 8.2. Pero esta prohibición general no opera frente a agentes policiales, cuya captación de imágenes se ha realizado en el lugar donde ejercen el cargo público que ostenta (en este caso, la vía pública). Este artículo es claro al proclamar que el derecho a la propia imagen no impedirá:

“a) Su captación, reproducción o publicación por cualquier medio cuando se trate de personas que ejerzan un cargo público o una profesión de notoriedad o proyección pública y la imagen se capte durante un acto público o en lugares abiertos al público”.

A este respecto, la Agencia Española de Protección de Datos ya se ha pronunciado en más de una ocasión sobre la captación y distribución de imágenes de agentes en acto de servicio y su encaje jurídico en la protección de datos.  Por ejemplo, en la resolución 0778/2018 la AEPD deja claro que hay que distinguir y separar los dos tratamientos de datos que se producen en los supuestos que estamos debatiendo.

En lo que a la captación se refiere la Agencia, haciéndose eco de un informe jurídico de 2013 afirma que “si las imágenes captadas o grabadas por particulares no se refieren a su esfera más íntima, serán de aplicación las normas sobre protección de datos personales, tanto para la obtención de la imagen como para su difusión o publicación posterior”. Por lo tanto, un particular puede grabar desde su balcón una actuación policial para su uso personal y doméstico, puede hacerlo sin el consentimiento del agente.

En consecuencia, la grabación de imágenes de actuaciones policiales está permitida tanto por la normativa en materia de protección de datos, como por la LO 1/82 siempre que se cumplan las previsiones que hemos advertido: que sea captada en la esfera personal y doméstica del ciudadano, y siempre en el ámbito de actuación del funcionario y en el lugar donde realice dicha actuación.

Pero podemos encontrar una limitación a la captación en la polémica Ley de Seguridad ciudadana que en su artículo 36 advierte que [e]l uso no autorizado de imágenes o datos personales o profesionales de autoridades o miembros de las Fuerzas y Cuerpos de Seguridad que pueda poner en peligro la seguridad personal o familiar de los agentes, de las instalaciones protegidas o en riesgo el éxito de una operación, con respeto al derecho fundamental a la información.  Así, si la grabación de una actuación policial puede suponer un riesgo para el Agente o sus familiares (piénsese en redadas contra el narcotráfico, acciones especiales contra terrorismo) las previsiones establecidas por la normativa de protección de datos  no pueden operar por razones (lógicas) de seguridad de los agentes.

¿Puedo enviar las imágenes que he grabado?

Por último, la distribución y comunicación de esas imágenes no estarían bajo el amparo de la protección de datos tal y como la AEPD ha advertido en el informe jurídico ya referenciado. Y esto se debe a que la antigua LOPD considera  la difusión de ese dato de carácter personal como una comunicación o cesión de datos cuyo consentimiento del interesado se vuelve necesario en supuestos concretos como su difusión por internet que, ya que según la Agencia no “nos encontramos, sin embargo, dentro del ámbito de la vida privada o familiar de los particulares cuando dicha publicación tiene una proyección mayor de aquella que conforma en cada caso dicho ámbito. Así resulta indicativo de que la publicación de las imágenes no queda reducida al marco personal cuando no existe una limitación de acceso a las mismas”.

En definitiva, salvo supuestos muy tasados de situaciones de riesgo o peligro para ellos, los agentes del orden no pueden impedir a los ciudadanos que sean grabados mediante la fotografía o vídeo siempre que sea en el ejercicio de su cargo público y la imagen se capte en lugares abiertos al público (vía pública). Además, el ciudadano debe de realizar la filmación siempre en el ejercicio de su potestad doméstica o particular y, en ningún caso, proceder a su distribución, bien en redes sociales o en servicios de mensajería instantánea. No obstante lo anterior, podría estar justificada incluso la difusión de las imágenes si prevalece el derecho fundamental a la información, como sería el caso de un periodista o un medio de comunicación que está informando sobre un hecho noticioso.

Tipos de copias de seguridad para tus datos. ¿Cómo hacerlas?

tipos de copias de seguridad

Hoy en día la tecnología ocupa cada vez más espacio en nuestras vidas y en nuestros trabajos. Y también lo hace en la gestión de datos. Los ordenadores almacenan toda la información necesaria, y es por ello que es necesario tenerla a buen resguardo. Hay diferentes tipos de copias de seguridad con la que asegurarnos que no perderemos la información en el caso de que haya algún fallo.

A continuación describiremos los tipos de copias de seguridad y detallaremos cómo realizarlas.

Tipos de copias de seguridad

Hay básicamente tres tipos de copias de seguridad: completa, incremental y diferencial. En un modo más avanzado, también podríamos considerar las copias espejo, sintética completa, backup incremental inverso y protección de datos continua, aunque no son las más habituales.

Copia de seguridad completa

Entre los tipos de copias de seguridad, esta es la que más tiempo consume y mayor espacio de almacenamiento necesita. Consiste en copiar todos los datos que se quieren guardar, y es el punto de partida para el resto de copias de seguridad.

Normalmente se recomienda realizar una copia de seguridad completa de forma periódica. Entre estas copias de seguridad (pueden ser semanales o mensuales), se realizaría una de las otras dos copias siguientes.

La mayor ventaja de este tipo de copia de seguridad es que la recuperación de los datos es rápida y fácil, ya que están completos.

Copia de seguridad incremental

Son dos los tipos de copia de seguridad implicados en este caso. Primero se realiza una copia completa y después la copia incremental copia los datos que se han modificado desde esta última. También puede realizarla desde otra copia incremental anterior.

Para recuperar los archivos, necesitaremos restaurar la copia completa y todas las copias incrementales posteriores. Esto supone que, aunque ocupa menos espacio, el proceso de restauración será más lento.

Además, una desventaja de estos tipos de copias de seguridad es que si falta una de las copias, no podrá restaurarse el archivo.

Copia de seguridad diferencial

La copia diferencial se distingue del resto de tipos de copias de seguridad en que solo tiene dependencia de la copia completa. Aquí se copian los datos modificados desde la última copia completa.

Es una manera de hacer copias de seguridad más independientes que las integrales pero sin ser tan lentas como las completas. Sin embargo, cada copia diferencial tendrá datos duplicados. Además, en el caso de que tardemos mucho en hacer otra copia de seguridad completa, el tiempo para realizar la copia diferencial podrá ser similar.

Entre sus ventajas se encuentra también que la velocidad de restauración es mayor que en la integral, ya que necesita restaurar menos archivos.

Tipos de copias de seguridad: ¿Cómo hacerlas?

Podemos realizar copias de seguridad de nuestros archivos de muchas maneras. La más sencilla es utilizando los propios recursos que nos facilita el sistema operativo. Por ejemplo, en Windows tenemos la opción de Copia de Seguridad y restauración. Siguiendo los sencillos pasos del asistente, podremos crear una copia de seguridad y programar las actualizaciones para que el proceso sea automático.

Por otro lado, también podemos buscar un programa que gestione estas copias de seguridad.

¿Cuáles son las sanciones por incumplir el RGPD?

sanciones rgpd

Las sanciones RGPD son una preocupación muy común en la mayoría de las empresas. Según el tipo de infracción que se cometa pueden llegar a suponer una cantidad de 20 millones de euros.  Estas sanciones RGPD están reservadas para aquellas infracciones que violan los derechos y garantías en materia de protección de datos.

El Reglamento General de Protección de Datos no especificaba una tipología de las infracciones, y eran las agencias nacionales quienes debían hacerlo. Sin embargo, la LOPD subsanó esta carencia y las sanciones RGPD se imponen en tres tipos de infracciones

Sanciones RGPD hasta 10 millones de euros

El Reglamento establece sanciones RGPD de 0 a 10 millones de euros (o, si se trata de una empresa, hasta el 2% de su facturación anual. Estas multas administrativas se imponen al responsable y encargados de datos por incumplimiento del Reglamento. También a la autoridad de control o a los organismos de certificación si no cumplen sus obligaciones.

Sanciones RGPD hasta 20 millones de euros

Por su parte, las sanciones RGPD de hasta 20 millones de euros, o hasta el 4% de su facturación si se trata de  una empresa, se imponen si se ha vulnerado los derechos de usuarios. También si no se ha recabado el consentimiento o si se han trasferido los datos personales a una entidad en un tercer país u organización internacional.

Otro de los supuestos en los que imponen sanciones RGPD es el incumplimiento de las resoluciones de la Agencia Española de Protección de Datos.

Infracciones según la LOPD

La ley española de Protección de Datos y Garantía de los Derechos Digitales, matizó el RGPD y estableció una tipificación para las infracciones: leves, graves y muy graves.

Las infracciones leves son, por ejemplo, que un DPO no cumpla sus obligaciones o no informar con la suficiente transparencia. Por su parte, las graves son aquellas que vulneran la protección de datos, como no nombrar un delegado de protección de datos o recopilar datos de menores sin consentimiento. Finalmente, las infracciones muy graves son aquellas que conllevan un incumplimiento sustancial. Por ejemplo, usar los datos para una finalidad distinta a la indicada o transferir datos entre países sin garantía.

Sanciones RGPD: Apercibimiento

El Reglamento contempla la posibilidad de sustituir las sanciones RGPD por un apercibimiento. Esto consiste en una notificación para que el infractor adopte las medidas correctoras que en ella se le indiquen.

La Agencia Española de Protección de Datos es quien debe decidir si impone una sanción económica o un apercibimiento, en función de la naturaleza de los hechos sancionados.

A pesar de que esta medida está considerada de carácter excepcional, la AEPD ha aplicado el apercibimiento en numerosas ocasiones. Sobre todo ocurre cuando pude tratarse de un incumplimiento por desconocimiento. Sin embargo, si los hechos son más graves, no existe esa posibilidad.

Cuando recibimos un apercibimiento, tenemos que acreditar que hemos tomado las medidas solicitadas por la Agencia. Si no lo hacemos, podemos enfrentarnos a una multa de hasta 20 millones de euros según el Reglamento General de Protección de Datos.

¿Qué es el RGPD?

qué es rgpd

El RGPD que es la normativa europea en materia de formación de datos, se aprobó en 2016, aunque no fue de obligada aplicación hasta mayo de 2018. El RGPD fue una revolución a nivel mundial en materia de protección de datos.

A lo largo de este artículo intentaremos dar respuesta a las principales preguntas sobre el RGPD: que es, donde se aplica y cuáles son los puntos más importantes.

RGPD: que es

El RGPD, que es una norma europea traspuesta en España con la LOPDgdd, es el Reglamento General de Protección de Datos. Su objetivo es asegurar que los datos personales de los ciudadanos europeos gocen de la protección adecuada.

El RGPD es una norma general y deja en manos de cada país ajustar la normativa y establecer sanciones. No obstante, es la norma de referencia a nivel internacional, ya que una de las partes más importantes del RGPD es que tiene aplicación mundial, siempre que se traten datos de ciudadanos europeos.

Por ello, cualquier empresa que ofrezca sus servicios en Europa tendrá que cumplir con el Reglamento, independientemente de donde está la sede de la empresa.

RGPD: que es lo que hay que saber

El Reglamento General de Protección de Datos añade nuevos derechos a los famosos Derechos ARCO. Por un lado incluye los derechos de limitación y portabilidad, y por otro lado sustituye el derecho de Cancelación por el Derecho de Supresión. Así, recoge el llamado derecho al olvido e incluye la nueva realidad digital.

Otro de los cambios más importantes del RGPD, que es la obligatoriedad del consentimiento expreso, generó muchos problemas y confusión cuando el Reglamento entró plenamente en vigor. Para la recepción de comunicaciones comerciales, es necesario obtener el consentimiento expreso y positivo de los usuarios, a riesgo de incurrir en una infracción.

Obligaciones

Para cumplir con el Reglamento General de Protección de Datos, es necesario que las entidades cumplan con una serie de requisitos. Entre ellos, la realización de una evaluación de riesgos sobre protección de datos o designar un delegado de protección de datos.

Hay una cosa muy importante en el RGPD, que es la obligación de notificar a la Agencia cualquier brecha de seguridad.  Esta notificación debe hacerse en las 72 horas posteriores desde la incidencia.

Para facilitar la adecuación al Reglamento General de Protección de Datos, podemos adherirnos a un código de conducta RGPD, que es un documento que facilita que las entidades puedan crear códigos de de cumplimiento de acuerdo a sus necesidades.

Adherirse a un código de conducta RGPD es voluntario, pero implica la presunción de cumplimiento. Por ello, es aconsejable adherirse a uno de ellos.

Sanciones

En el caso de que haya alguna vulneración de los derechos, el Reglamento General de Protección de Datos impone sanciones de hasta 20 millones de euros. La mayor sanción está reservada para infracciones graves del RGPD, que es por ejemplo la transferencia de datos internacionales.

Hay que tener en cuenta que estar adherido a un código de conducta RGPD puede reducir la sanción por incumplimiento.

Ejemplos de sanciones por no cumplir la ley de protección de datos

sanciones por no cumplir la ley de protección de datos ejemplos

A la hora de saber cuales son las sanciones por no cumplir la ley de protección de datos los ejemplos son una buena manera de ver cuál es la realidad. La AEPD es la encargada de interpretar la ley, y como tal puede tener diferentes criterios a la hora de multar.

Veremos en estas sanciones por no cumplir la ley de protección de datos ejemplos de cuantiosas multas impuestas a empresas. ¡Comenzamos!

Sanciones por no cumplir la ley de protección de datos: ejemplos

Sanción a una cerrajería de Madrid

Una cerrajería de Madrid tenía, en su página web, un formulario de contacto en el que se recopilaban los datos personales. Sin embargo, la política de privacidad hacía referencia a la antigua LOPD de 1999. Además, aunque se precisaba el ejercicio de los Derechos ARCO, este estaba incompleto, ya que no se recogían los nuevos derechos de Portabilidad y Limitación.

De este modo, tres años después de la publicación del RGPD encontramos ejemplos de sanciones por no cumplir la ley de protección de datos como este. Finalmente, la Agencia impuso una multa de 1.500 euros a esta cerrajería.

Sanción a Más Móvil

Las llamadas de telemarketing se han convertido en una de las acciones más molestas para los consumidores. En este caso, dos usuarios habían ejercido el derecho de oposición y había transcurrido el tiempo para procesar la solicitud. A pesar de eso, siguieron

Aunque las llamadas fueron emitidas desde empresas diferentes, estas trabajaban para MasMóvil, que era el encargado del tratamiento. Por su descuido (al no asegurarse de la recepción ni de la correcta implantación de la oposición), la AEPD le ha impuesto una multa de 12.000 euros.

Podemos ver que en cuanto a sanciones por no cumplir la ley de protección de datos, ejemplos hay de empresas que si bien no son directamente las infractoras, al ser las responsables tienen responder ante las consecuencias.

Multa a Iberdrola

El último de los ejemplos de sanciones por no cumplir la ley de protección de datos es una multa a la compañía eléctrica Iberdrola. En este caso, un cliente denunció que otra persona había cambiado la potencia que tenía contratada.

La Agencia consideró que Iberdrola no había adoptado las medidas técnicas y organizativas necesarias para impedir el acceso no autorizado a los datos de sus clientes. Fue la inquilina del cliente quien accedió al portal web y cambió la potencia. Pero de este modo los datos personales del casero se vieron expuestos.

Es por todo ello que la Agencia instó a adoptar nuevas medidas técnicas para evitar que personas no autorizadas accedan a los datos personales que hay en sus ficheros. Además, impone una multa de 40.001 euros a la compañía eléctrica.

Estos variados ejemplos de sanciones por no cumplir la ley de protección de datos ilustran que son muchos los factores los que inciden a la hora de estimar la multa. Lo mejor es siempre estar preparado y contar con la ayuda de profesionales para que la protección de datos de nuestra empresa sea acorde al RGPD y la nueva LOPD.

Consecuencias de la difusión de imágenes sin consentimiento en 2020

consecuencias de la difusión de imágenes sin consentimiento

Son numerosos los ejemplos en los últimos tiempos que nos han hecho pensar en las consecuencias de la difusión de imágenes sin consentimiento. Según los casos, pueden llegar a ser de hasta 3 años de cárcel.

Las consecuencias de la difusión de imágenes sin consentimiento no son las mismas si las difundimos que si las compartimos. A continuación estudiaremos las diferencias.

Consecuencias de la difusión de imágenes sin consentimiento: compartirlas por primera vez

La primera persona que publica las imágenes de manera no consentida puede enfrentarse a penas de entre 3 meses y un año de prisión, o una multa de seis a doce meses. Esto está recogido en el artículo 197 del Código Penal, que pena a quien “sin autorización de la persona afectada, difunda, revele o ceda a terceros imágenes o grabaciones audiovisuales de aquella que hubiera obtenido con su anuencia en un domicilio o en cualquier otro lugar fuera del alcance de la mirada de terceros”.

En resumen, una imagen tomada de forma privada o que ha sido enviada a una persona concreta, no puede salir de ese ámbito.

Consecuencias de la difusión de imágenes sin consentimiento: reenviar o compartirlas

Sin embargo, ¿qué pasa si sólo comparto una imagen que me ha llegado por Whatsapp, por ejemplo? En este caso, las consecuencias de la difusión de imágenes sin consentimiento se endurecen.

Compartir la imagen de una tercera persona nos convierte en cómplices, y eso puede suponer una pena de entre seis meses y dos años de cárcel. Esto se especifica en el apartado 197 bis del código penal.

Otras consecuencias

Si las imágenes han sido obtenidas sin conocimiento de la persona, las consecuencias de la difusión de imágenes sin consentimiento son mayores. Pueden llegar hasta los cinco años de cárcel. Y aquellos que los reenvíen tendrán que enfrentarse a penas de uno a tres años.

¿Qué puedo hacer si se han difundido mis imágenes sin consentimiento?

Las consecuencias de la difusión de imágenes sin consentimiento no solo las paga quien las difunde, sino que la víctima tienen que enfrentarse también a ellas. Los daños morales  a los que puede enfrentarse son cuantiosos, al ver expuesta la intimidad de una manera tan patente.

Si alguien difunde  una imagen íntima, lo primero que tenemos que hacer es ponernos en contacto con la Policía para denunciarlo. Si además ha sido publicado en algún portal de Internet, podemos acudir al canal prioritario de la Agencia Española de Protección de Datos para solicitar la eliminación preventiva del contenido.

No obstante, también puede ser recomendable eliminar las imágenes directamente desde el origen donde están publicados.

¿Y si me llega una imagen íntima?

Si somos receptores de una imagen íntima, lo aconsejable es eliminarla directamente, tanto del chat como de los archivos de nuestro dispositivo. Si la vemos publicada en una página web, o en los buscadores, podemos denunciarla y avisar a la persona para que pueda tomar las medidas detalladas anteriormente.

Las consecuencias de la difusión de imágenes hoy en día son más amplias, ya que disponemos de más medios de comunicación y de difusión del contenido. Es por ello que hay que hacer un ejercicio de responsabilidad.

Medidas de seguridad mínimas a tener en el RGPD

medidas de seguridad rgpd

Con la entrada en vigor del Reglamento General de Protección de Datos, las empresas tienen que cumplir unas medidas de seguridad RGPD para evitar ser sancionadas. Estas medidas de seguridad no están definidas (como ocurría con la antigua LOPD), sino que se establecen en función del riesgo detectado. Sin embargo,  sí que tenemos que tener en cuenta unas medidas mínimas para proteger nuestros datos: copia de seguridad, cifrado de datos y actualización de dispositivos.

A la hora de establecer las medidas de seguridad RGPD, podemos dividirlas en dos niveles: por un lado las organizativas y por otro lado las medidas técnicas.

Medidas de seguridad RGPD: Medidas organizativas

Las medidas de seguridad RGPD organizativas tienen que comunicarse a los empleados, y son las siguientes:

  • Impedir el acceso a datos personales por parte de personas no autorizadas. Para ello, no hay que dejar ordenadores desbloqueados o papeles con datos en lugares sin supervisión.
  • Guardar los documentos en soportes físicos (ya sea papel o formatos electrónicos) en lugares seguros.
  • Destruir los documentos con datos personales antes de desecharlos.
  • No dar datos personales a terceros, ni durante llamadas telefónicas ni correos electrónicos.
  • Si se produce una violación de la seguridad de datos personales, hay que notificarlo a la Agencia Española de Protección de Datos.

Además, dentro de las medidas de seguridad RGPD organizativas, tenemos que tener en cuenta que la empresa debe facilitar el ejercicio de los derechos ARCO.

Medidas de seguridad RGPD: medidas técnicas

Dentro de las medidas de seguridad RGPD técnicas, distinguimos dos bloques importantes: la identificación de usuarios y el deber de salvaguarda.

En relación a la identificación de usuarios, es muy importante que haya contraseñas para el acceso a los datos personales. Estas contraseñas deberían ser alfanuméricas y con al menos 8 caracteres. Además, si varias personas pueden acceder a los datos, cada una de ellas tendrá que tener su propio usuario y contraseña.

Lo ideal es que los ordenadores tengan un perfil de administrador para la configuración del sistema y el resto de usuarios no tengan ningún privilegio, de modo que en caso de ataque informático no se pueda modificar el sistema.

Además, las contraseñas deben ser confidenciales y no deben compartirse. Tampoco pueden estar anotadas y a la vista, ni ser usadas para que acceda otro usuario.

En cuanto a las medidas para salvaguardar los datos, estos son los puntos a tener en cuenta:

  • Los dispositivos tienen que estar actualizados, tanto ordenadores como teléfonos móviles.
  • A la hora de trasladar los datos, deberá garantizarse su confidencialidad, ya sea por medios de cifrado o por medios físicos.
  • Se deberá crear una copia de seguridad periódicamente. Esta se guardará en un lugar seguro y distinto a donde están guardados los datos de manera habitual.
  • Los dispositivos contarán con un cortafuegos para evitar accesos indebidos o ataques informáticos.
  • También es necesaria la instalación de un programa antivirus para garantizar la protección de los datos personales.

Medidas de seguridad RGPD: Un paso más allá

Estas son solos las medidas de seguridad RGPD mínimas. El Reglamento General de Protección de Datos establece que la seguridad debe establecerse en función de un análisis de riesgos, de forma que sean proporcionales a estos.

Es por ello que, previo a la adaptación de nuestra empresa al RGPD, debemos realizar ese análisis de riesgos de seguridad para obtener las medidas necesarias en función de cómo se clasifiquen nuestros ficheros.

Diferencias entre RGPD y LOPD. Todo lo que necesitas saber

diferencias entre rgpd y lopd

La protección de datos está a la orden del día y la normativa se actualiza para poder seguir el paso a las nuevas tecnologías de la información. Sin embargo, es fácil que nos preguntemos cuáles son las diferencias entre LOPD y RGPD. La primera se refiere a la Ley Orgánica de Protección de Datos, una ley española aprobada en 1999. La segunda se corresponde al Reglamento General de Protección de Datos de la Unión Europea, aprobado en 2016 y de aplicación en todos los estados miembros.

Sin embargo, no son solo esas las diferencias entre LOPD y RGPD. A continuación exploraremos algunas de las más significativas.

Diferencias entre LOPD y RGPD

Las diferencias entre la LOPD y la RGPD son:

Ámbito de aplicación

Una de las principales diferencias entre LOPD y RGPD es su ámbito de aplicación: mientras que la LOPD solo se aplicaba en España, el Reglamento General de Protección de Datos tiene aplicación en todo el mundo, siempre que los datos que se protejan pertenezcan a personas residentes en la Unión Europea.

De este modo, la legislación se actualiza ante la globalización creciente y se adapta a la industria tecnológica.

Derechos ARCO

La Ley Orgánica de Protección de Datos recogía cuatro derechos: Acceso, Rectificación, Cancelación y Oposición, los llamados derechos ARCO. Otra de las principales diferencias entre LOPD y RGPD es que el Reglamento añade a la lista dos: Limitación y Portabilidad.

El derecho de limitación supone que los datos solo pueden tratarse por interés público, para el ejercicio o defensa de reclamaciones y para proteger los derechos de otra persona. Por su parte, el derecho de portabilidad implica que el responsable del tratamiento pude transmitir los datos al usuario o a otro responsable.

Consentimiento

Esta es sin duda la mayor de las diferencias entre LOPD y RGPD: mientras que la Ley Orgánica contemplaba el consentimiento, para el Reglamento General de Protección de Datos el consentimiento debe ser explícito y positivo, es decir, no basta con informar al usuario de que haciendo algo –navegar, introducir sus datos, pedir información- da el consentimiento para la obtención y uso de sus datos personales, sino que el usuario debe aceptarlo explícitamente con una acción propia, ya sea haciendo click en una casilla, firmando o marcando una checkbox.

Sanciones

La última de las diferencias entre LOPD y RGPD que veremos es la relativa a las sanciones que se aplican. El Reglamento General de Protección de Datos endurece las sanciones por la vulneración de la protección de datos personales. El RGPD castiga los casos más graves con multas que pueden llegar a los 20 millones de euros o el 4% de la facturación de la empresa infractora.

Diferencias entre LOPD y RGPD: La nueva LOPDGDD

Meses después de la obligada aplicación del RGPD en toda Europa, España aprobó su nueva Ley Orgánica de Protección de Datos Personales (3/2018). En ella se adapta el Derecho interno español al Reglamento General de Protección de Datos, y deroga la LOPD, excepto para la regulación de ciertas actividades.

¿Cuáles son las funciones del delegado de protección de datos?

delegado de protección de datos

El delegado de protección de datos es el encargado de garantizar que una empresa o entidad cumpla con las obligaciones legales en materia de protección de datos. La figura del delegado de protección de datos ‘nació’ en 2016 junto al RGPD. También denominado DPO o DPD, es obligatorio que las empresas identifiquen a un DPD tan solo en una serie de supuestos. Sin embargo, es una de las figuras más importantes del RGPD.

¿Qué tiene que hacer un delegado de protección de datos?

Las funciones de un delegado de protección de datos son varias dentro de una empresa. En primer lugar, es el enlace entre la empresa –u organización- y la Agencia Española de Protección de Datos. Por ello, debe estar registrado en el listado de delegado de protección de datos disponible online.

Además, el DPD tiene la obligación de informar y asesorar a los responsables y trabajadores de sus obligaciones, así como supervisar el cumplimiento del Reglamento General de Protección de Datos.

Otra de las funciones del delegado de protección de datos es ofrecer el asesoramiento sobre la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.

¿Puede ser el DPD un empleado de la empresa?

El delegado de protección de datos puede ser externo o pertenecer a la empresa u organización, siempre que esté en condiciones de cumplir las funciones mencionadas anteriormente. Sin embargo, el encargado del tratamiento debe garantizar que el DPD no va a recibir ninguna orden en lo relativo a su desempeño, ni tampoco será despedido ni destituido por estos motivos.

Un DPD puede desempeñar otras funciones además de las propias, pero siempre y cuando no generen conflicto de intereses. Además, tendrá que mantener el secreto y la confidencialidad durante el desempeño de sus funciones.

¿Cuándo es necesario un delegado de protección de datos?

A pesar de ser una figura importante, el delegado de protección de datos no es obligatorio para todas las empresas. A continuación, enumeramos los supuestos en los que es necesario contar con un DPD.

-Si el tratamiento lo realiza una autoridad u organismo público –excepto los tribunales de justicia-, es obligatorio designar un DPD.

-Cuando es necesario monotorizar periódica y sistemáticamente a los titulares de datos a gran escala debido a la actividad del responsable.

-Si se incluye el tratamiento de datos de menores o de localización.

–Cuando actividad principal consiste en el tratamiento de categorías especiales de datos a gran escala o de datos relativos a condenas penales y delito.

Además, la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales) incluye categorías más específicas de organizaciones que  necesitan un delegado de protección de datos designado. Entre ellas, se encuentran los centros docentes y sanitarios, las compañías aseguradoras y reaseguradoras, los distribuidores y comercializadores de enertía eléctrica y gas natural o empresas de seguridad privada.