RGPD-LOPDGDD y LSSICE

15 May RGPD-LOPDGDD y LSSICE

Posted at 10:22h en RGPD - LOPDGDD by CIC

¿Qué es el RGPD?

El nuevo Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2016 y es aplicable a partir del 25 de mayo del 2018.

Los responsables deben ante todo asumir que la norma de referencia es el RGPD y no las normas nacionales, como venía sucediendo hasta ahora con la Directiva 95/46. No obstante, la ley que sustituirá a la actual Ley Orgánica de Protección de Datos de Carácter Personal 15/1999 de 13 de diciembre (LOPD), sí podrá incluir algunas precisiones o desarrollos en materias en las que el RGPD lo permite.

Las organizaciones que en la actualidad cumplen adecuadamente con la LOPD española tienen una buena base de partida para evolucionar hacia una correcta aplicación del nuevo reglamento.

Sin embargo, el RGPD modifica algunos aspectos del régimen actual y contiene nuevas obligaciones que deben ser analizadas y aplicadas por cada organización teniendo en cuenta sus propias circunstancias.

Diferencias básicas entre LOPD y el RGPD

Las diferencias entre la anterior normativa (LOPD) y la nueva (RGPD) a grandes rasgos son:

Actitud proactiva frente a la pasiva actual
Se añade el principio de responsabilidad proactiva (accountability): documentar de forma constante y sistemática los distintos tratamientos de datos personales para justificar que se actúa conforme al RGPD.
Desaparece la notificación de ficheros, que se sustituye por una obligación de comunicar los datos de contacto del delegado de protección de datos.

A partir de ahora se llamarán tratamientos y habrá que tener un registro de los mismos.

Obligación de documentar más extensa que incluye:
- Los fines del tratamiento
- La categoría de datos y afectados
- Las transferencias internacionales
- Las medidas de seguridad
- Desaparece el consentimiento implícito y todos los contactos obtenidos con este procedimiento se considerarán nulos si no se renuevan de forma explícita
Se mantienen los derechos de acceso, rectificación, cancelación y oposición (ARCO) y se añaden:
- Derecho al olvido
- Derecho de portabilidad
En determinados casos las empresas deberán elaborar una evaluación de impacto sobre la protección de datos que reflejará los riesgos y amenazas a los que se enfrenta un servicio o producto desde que se pone en marcha.
Se van a modificar los consentimientos legales / clausulas
- El consentimiento tácito, desaparece. Ahora el consentimiento debe de ser expreso.
- Van a aparecer más datos
- Aparecen nuevos derechos y deberes
Los contratos con encargados del tratamiento de los datos:
- Se va a solicitar más información y los contratos van a ser más complejos
- De las más importantes, cabe destacar, que hay que demostrar que se cumple con la normativa (Responsabilidad Proactiva)
Responsabilidad Proactiva: El responsable del tratamiento deberá aplicar las medidas técnicas y organizativas apropiadas a fin de garantizar y demostrar que el tratamiento es conforme con el Reglamento
Delegado de Protección de Datos (DPO / DPD): Esta nueva figura afecta únicamente a las empresas que cumplan alguno de los siguientes requisitos:
Autoridades y Organismos Públicos
Empresas cuyas actividades principales traten datos a gran escala
Empresas cuyas actividades principales traten datos sensibles
Empresas que realicen perfiles

Medidas de Seguridad RGPD

En el RGPD, los responsables y encargados establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo.

Las medidas técnicas y organizativas deberán establecerse teniendo en cuenta:
- El coste de la técnica
- Los costes de aplicación
- La naturaleza, el alcance, el contexto y los fines del tratamiento
- Los riesgos para los derechos y libertades.
El esquema de medidas de seguridad previsto en el Reglamento de Desarrollo de la LOPD no seguirá siendo válido de forma automática.
En algunos casos los responsables podrán seguir aplicando las mismas medidas que establece la LOPD si los resultados del análisis de riesgos previo concluyen que las medidas son realmente las más adecuadas para ofrecer un nivel de seguridad adecuado. En ocasiones será necesario completarlas con medidas adicionales o prescindir de alguna de las medidas.

Novedades de la nueva LOPDGDD

El pasado 23 de noviembre fue aprobado por el Senado el Proyecto de Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, tras la aprobación por parte del Congreso.

La nueva LOPDGDD trae consigo novedades entre las cuales se encuentran las siguientes:

Se fija en 14 años la edad mínima a partir de la cual se puede prestar consentimiento.
Poder retirar datos de menores durante la minoría de edad, facilitados a servicios de la sociedad de la información.
Se modifica, entre otras, la Ley Orgánica 2/2006, de 3 de mayo, de Educación para incluir en el sistema educativo la asignatura de libre configuración sobre la materia de competencia digital. Esta adaptación por parte de las administraciones educativas será de un periodo de un año a contar desde la entrada en vigor de la Ley.
Poder ejercitar el derecho de acceso, rectificación o supresión sobre datos de una persona fallecida por parte de las personas que tengan vinculación ésta.
Modificación del Texto Refundido de la Ley del Estatuto de los Trabajadores, añadiendo un nuevo artículo 20 bis al Texto Refundido de la Ley del Estatuto de los Trabajadores, que recoge la desconexión laboral: Especificar los usos autorizados de los dispositivos digitales en el ámbito laboral, para preservar la intimidad de los trabajadores, estableciendo periodos en los que estos dispositivos puedan ser usados para fines probados.
Modificación del texto refundido de la Ley del Estatuto Básico del Empleado Público. Se añade una nueva letra j bis) en el artículo 14 que recoge la intimidad en el uso de dispositivos digitales y frente al uso de dispositivos de videovigilancia y geolocalización, así como a la desconexión digital.
Cambio del periodo máximo para mantener en los sistemas de información crediticia los datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito, pasando de 6 años a 5.
Sobre este tema también se añade la necesidad de que la deuda publicada, no sea inferior a 50 euros.
Modificación de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General, añadiendo un nuevo artículo cincuenta y ocho bis, en el que se permite el envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes, pudiendo obtener los datos personales en páginas web u otras fuentes a acceso público, para hacer actividades políticas durante el periodo electoral, sin tener la consideración de actividad comercial.

Este último punto, ha suscitado revuelo sobre todo en lo relacionado al uso de datos personales relativos a una opinión política que estará amparado por el interés público cuando se ofrezcan garantías adecuadas; y porque los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.

Ante este revuelo, la AEPD intenta establecer Criterio sobre las cuestiones electorales en el proyecto de la nueva LOPD manifestando que el Texto del Proyecto la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales no permite la elaboración de perfiles basados en opiniones públicas, no permite el envío de información personalizada basada en perfiles ideológicos o políticos, y sí permite recopilar, no tratar, datos personales relativos a opiniones políticas, siempre cumpliendo con las garantías que establece el Reglamento General de Protección de datos (RGPD).

A pesar de ello, existe una inseguridad jurídica, ya que recordemos que el tratamiento de datos que revelen opiniones políticas supone un tratamiento de categoría especial de datos y ello conlleva la necesidad de unas garantías adecuadas.

Todo ello deja al descubierto otros temas, como por ejemplo, que el acceso a dichos datos puede conllevar consigo tener información sobre, no solo quien es simpatizante de un partido, si no sobre quien no lo es o cuánto tiempo deben conservar los datos.
Como medio de protección y en cumplimiento de las garantías introducidas por el RGPD, el ciudadano puede ejercitar el derecho de oposición que debe facilitarse en un modo sencillo y gratuito

Sanciones

MENOS GRAVES:
- No atender la solicitud de rectificación o cancelación por motivos formales.
- No proporcionar información a la APD.
- No solicitar inscripción de fichero en el RGPD (puede ser infracción grave).
- Recoger datos sin proporcionar información a los afectados.
- Incumplir el deber de secreto (puede ser infracción grave).
- Se sancionan con multas de hasta 10 millones de € o un 2% de la facturación global

MAS GRAVES:
- Recoger datos personales sin consentimiento expreso de los afectados.
- Tratar de usar datos de carácter personal incumpliendo la legislación (puede ser infracción muy grave).
- Mantener datos inexactos, sin rectificar o cancelar.
- Mantener ficheros, locales, programas o equipos con datos personales sin las debidas medidas de seguridad.
- Vulnerar el deber de secreto de ficheros de nivel medio.
- Se sancionan con multas de hasta 20 millones de € o un 4% de la facturación global

Servicios RGPD-LOPDGDD y LSSICE ONLINE que ofrece CIC COMUNICACIONES

La adaptación LOPDGDD-RGPD incluye los siguientes servicios:

Notificación de los ficheros correspondientes a la AEPD (LOPDGDD).
Redacción del registro de actividades de tratamiento (RGPD).
Redacción del Documento de Seguridad.
Entrega de todas las cláusulas para cumplir con el deber de información y consentimiento.
Redacción de todos los textos legales para la página web (LSSICE).
Elaboración de los contratos de confidencialidad con terceros con acceso a datos (encargados de tratamiento – ET) y con los trabajadores.
Entrega de la documentación para cumplir con los protocolos y derechos ARCO.
Informe de recomendaciones técnicas.
Manual para los usuarios con acceso a datos.
Análisis de riesgos y evaluaciones de impacto.

Dentro del mantenimiento anual de RGPD se realizan las siguientes acciones:

Atención telefónica para consultas y asistencia técnica.
Atención telefónica de consultas de las normativas del RGPD.
Mantenimiento y actualización del Documento de Seguridad.
Envío automático a lo largo del año de formularios de seguimiento para ayudar en tareas pendientes.
Información periódica de novedades relativas a la protección de datos y seguridad.
Revisión anual del Documento de Seguridad.

A continuación, le adjuntamos un pequeño cuestionario que le permitirá detectar rápidamente si está cumpliendo con la normativa en su negocio:

¿Tiene los ficheros obligatorios (clientes, proveedores, trabajadores, etc.) debidamente notificados a la Agencia Española de Protección de Datos?
¿Dispone de un ‘documento de seguridad’ actualizado?
¿Tiene un acuerdo de confidencialidad firmado con los terceros que le prestan un servicio y acceden a datos (asesoría, informáticos, limpieza,…)?
¿Sus trabajadores están informados respecto a la normativa y han firmado un compromiso de confidencialidad?
¿Cumplen con el deber de información y consentimiento que establece la LOPD cuando recopila datos de sus clientes?
¿Su página web incluye los avisos legales correspondientes en materia de LOPD-LSSICE?
¿Cuándo envía comunicaciones comerciales por correo electrónico, tiene presente las prescripciones derivadas de la LSSICE?

Si ante alguna de estas preguntas ha respondido de forma negativa o ha dudado sobre si lo están gestionando correctamente, contacte con nosotros y le ofreceremos un servicio a medida de implantación y/o auditoría de Protección de Datos y LSSICE adaptado a sus necesidades.

¡ME INTERESA!

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	11 months	La cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy	11 months	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.

15 May RGPD-LOPDGDD y LSSICE

¿Qué es el RGPD?

Diferencias básicas entre LOPD y el RGPD

Medidas de Seguridad RGPD

Novedades de la nueva LOPDGDD

Sanciones

Servicios RGPD-LOPDGDD y LSSICE ONLINE que ofrece CIC COMUNICACIONES

7 consejos para cifrar la información

Cómo elegir un móvil nuevo

Control horario y protección de datos

La fibra de Movistar llegará al 100% de los españoles en 2024

Las 12 amenazas más dañinas para la seguridad en la nube

Las centralitas virtuales de telefonía revolucionan la nube

Por qué es importante tener un antivirus

Qué es un hotspot y cómo funciona

RGPD-LOPDGDD y LSSICE

Se duplica el número de usuarios afectados por programas de limpieza.

Contacto

Ayudas digitalización