Comercio Electrónico

¿Qué es LOPD-GDD? Ley de Protección de Datos y Garantía de Derechos Digitales

Por Andrea Fabián Abad
¿Qué es LOPD-GDD? Ley de Protección de Datos y Garantía de Derechos Digitales

Parece que las obligaciones fiscales y legales de una empresa nunca tengan fin, pero es realmente importante conocer la existencia de las leyes que abarcan tu actividad. Pues como siempre se ha dicho, “Ignorantia juris non excusat” el desconocimiento de la ley no exime su cumplimiento.

Todos hemos oído hablar de la Protección de Datos, como consumidores tenemos derechos que nos ayudan a proteger nuestra información personal, pero, sí tenemos derechos... ¿Quien tiene obligaciones?

En este artículo te contaremos el estado actual de la legislación en materia de protección de datos, ya tengas una tienda online, una web o simplemente un blog online.


Marco jurídico de una tienda online

En el aspecto legal ha habido cambios y adaptaciones que se han realizado como respuesta a una sociedad hiperconectada. Tras la entrada en vigor del RGPD (Reglamento general de protección de datos) a nivel europeo el 25 de mayo de 2016 y con la aplicación el 25 de mayo de 2018, la antigua LOPD ha dejado de tener vigencia para pasar a adaptarse a la nueva normativa en el marco Español, considerada como LOPDGDD, correspondiente a la Ley de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) 2018, la cual entró en vigor el pasado 5 de diciembre de 2018.

Esta ley afecta a toda persona, empresa u organismo (tanto privados como públicos), que desarrollen una actividad y manejen datos personales. Es decir, si tienes una web, seas particular o empresa debes de cumplir con la ley actual de la protección de datos.

Si eres una entidad de las que mencionamos a continuación, este post está pensado para ti:

  • Autónomos
  • Sociedades mercantiles
  • Administraciones y organismos públicos
  • Asociaciones
  • Comunidades de propietarios o de bienes
  • Entidades sin ánimos de lucro

Esta ley preserva la intimidad y privacidad de un individuo tal y como dice la la Constitución Española en el artículo 18.4. Además, regulariza las obligaciones que se contraen en el tratamiento y gestión de datos personales. Para entender esto correctamente hay que saber lo que es un dato personal y los rangos de seguridad que requieren.

¿Qué es un dato personal?

datos personales en protección de datos

Los datos personales son cualquier tipo de información que nos identifica. Y por lo tanto estos datos, pueden ser en texto, vídeo, audio, etc.

Además, este tipo de información puede ser clasificada en rangos de riesgo, en cuanto a la sensibilidad de dichos datos, para lograr identificar a un individuo.

Hay diferentes tipos de datos, dependiendo de cada una tendrán una clasificación de riesgo (básico, medio y alto):

  • Identificativos: Como el nombre de una persona, su DNI, nº de afiliación a la SS, teléfono, domicilio o la IP de su dispositivo, por ejemplo
  • Circunstancias sociales: estilos de vida, propiedades, aficiones, asociaciones, foros, etc.
  • Personales: como la edad, el lugar de nacimiento o el estado civil
  • Académicos y de formación: información del nivel de estudios, el expediente o las titulaciones
  • Económico-financieros: ingresos, prestamos, renta, etc.
  • Médicos o de salud: Datos sobre dolencias, historial médico, resultados de analíticas.
  • Profesionales y de empleo: expedientes laborales, experiencia, categoría del puesto laboral, etc.
  • Sindical: datos de afiliación, comités de empresas, asociaciones.
  • Administrativos: concesiones, sanciones, todos los procedimientos administrativos.
  • Judicial: expediente judicial, e histórico.

Como hemos dicho, algunos de estos datos están altamente protegidos, como la afiliación sindical, la orientación sexual, la salud, ideología, religión... en general todos aquellos datos que son más sensibles por su nivel de seguridad. Para hacer uso de ellos se debe de tener explícitamente el consentimiento de uso y tratamiento.

Esta ley ha sido modificada con la aparición del Reglamento General Europeo de Protección de Datos. A continuación os dejamos el un vídeo resumen sobre lo es la RGPD y los cambios que se aplican en la ley orgánica de protección de datos 2018.

RGPD: Reglamento General de protección de datos

Este reglamento de protección de datos surge como respuesta a un mundo globalizado, donde los datos no pueden estar únicamente regulados por cada país, si no que se necesitan unas leyes que puedan crear una marco normativo global, o al menos en este caso, un marco normativo europeo.

El Reglamento General de Protección de Datos entró en vigor el 25 de mayo de 2016, pero no fué hasta el 25 de mayo de 2018 cuando comienza a aplicarse y regularse.

Durante esos 2 años, la Unión europea y todas las instituciones debieron de adaptar sus procedimientos de trabajo para cumplir con esta nueva normativa de protección de datos, así como las empresas y organismos privados. Para ayudar a estas gestiones, la AEPD (Agencia Española de Protección de Datos), incluye varias secciones de ayuda en materia legal y adaptación a la RGPD.

Si tu empresa lleva a cabo la venta de bienes y servicios en países de la Unión Europea o si almacenas los siguientes datos:

  • Datos personales de clientes relativos de las transacciones (nombre, dirección, teléfono...)
  • Datos personales de potenciales clientes (emails, comportamiento durante la navegación...)
  • Datos personales de empleados (currículum, nóminas,...)
  • Datos personales de candidatos (currículums, pruebas de selección...)
  • Datos personales de proveedores (derivados de los pedidos realizados)
  • Datos personales derivados de las imágenes obtenidas por una cámara de videovigilancia.

La entrada en vigor de este reglamento, ha supuesto cambios en la antigua LOPD convirtiéndola en la nueva LOPDGDD, os contamos los cambios más significativos, y cómo afecta esto a los negocios digitales.

¿Qué cambia con la nueva ley de protección de datos en la web?

nueva ley LOPD - GDD

A continuación te presentamos un resumen de las nuevas consideraciones en LOPD -GDD motivadas por la RGPD.

Facilitar el acceso a los derechos

Un gran cambio en la normativa se produce aquí, facilitando el acceso, la modificación y el borrado de datos según los derechos del ciudadano. Estos son los 5 derechos que han sido modificados y tienen unas claras indicaciones de tratamiento.

  1. Derecho al acceso de datos: Se cumplimenta con la opción de realizar una solicitud de copias sobre los datos personales tratados.
  2. Derecho al olvido: El borrado de datos personales tras la manifestación del derecho de cancelación u oposición en el entorno online.
  3. Limitación al tratamiento: A partir de ahora se puede limitar el tratamiento de los datos si así se especifica, y correspondiendo a cada caso.
  4. Portabilidad: Amplía el derecho de acceso a los datos, aportando la posibilidad de extraer en una copia de datos de forma estructurada al interesado.
  5. Medidas de responsabilidad activa: Responsabilidad proactiva.

La RGPD añade varios derechos nuevos que veremos a continuación, incluido el concepto de Accountability, lo cual significa "responsabilidad proactiva". Esto es básicamente la forma de notificar que la empresa será la responsable ante todas las reclamaciones, y para evitar estas reclamaciones, debe de anticiparse y tomar las medidas necesarias para proteger su negocio y a sus clientes. Fijándose así, unas medidas necesarias que aseguren el tratamiento de datos personales, y que cumplan con los requisitos de seguridad siendo demostrables.

Delegado de protección de datos (Nueva figura DPO)

Motivado por la medida anterior, la responsabilidad proactiva, nace la figura de un Delegado de protección de datos dentro de la empresa, el DPO “Data Protection Officer”. Este perfil de especialista en protección de datos se responsabiliza de hacer los análisis de riesgo y de adoptar las medidas necesarias para cumplir con la seguridad de los datos almacenados, y revisar a lo largo del tiempo que todo esto se está cumpliendo.

¿Pero qué pasa en las PYMES o con los autónomos? ¿están obligados a disponer de un DPO en exclusiva? - No, solamente es obligatorio para las empresas grandes, es decir, en una empresa pequeña, este cargo lo puede asumir uno de los trabajadores, o el propietario. Pero sí es necesario que haya un perfil que actúe dentro de la empresa como DPO, compartiendo estas obligaciones con sus tareas habituales.

La agencia española de protección de datos proporciona un listado de los tipos de organizaciones que se ven obligadas a contratar un delegado de protección de datos.

  • Centros de salud
  • Colegios profesionales y de enseñanza
  • Distribuidores energéticos
  • Entidades financiaras y de créditos
  • Centros de investigación de mercados, y publicitaria
  • Aseguradoras
  • Entidades de juego online
  • Federaciones deportivas que traten menores.

El perfil de este técnico especialista en materia normativa de protección de datos, se caracteriza por tener un amplio conocimiento en el Reglamento general de protección de datos, así como en materia normativa a nivel europeo. Pero será de vital importancia que también este especializado en un ámbito las tecnologías de la información y en seguridad de datos, y por último es importante tener conocimientos empresariales y organizacionales, para fomentar la cultura de la protección de datos.

Sanciones más elevadas

Es tras la llegada de este nuevo reglamento, las autoridades están actuando en consecuencia, y han aumentados las medidas coercitivas en caso de incumplir la LOPR-GDD.

Las infracciones estarán más penalizadas, ya que con motivo del cambio de normativa nace la posibilidad de mejorar toda la protección de datos de nuestra sociedad, de esta forma las entidades sancionadoras, como consumo, están imponiendo multas de de entre 10 y 20 millones de euros, o en otras ocasiones entre el 2 y el 4% del volumen de negocio anual global de la compañía.

Registro de actividades del tratamiento

Antiguamente estábamos obligados a registrar el uso de datos en la AEPD, Agencia Española de Protección de Datos. Pero con el cambio de normativa, esta obligación se elimina y solo las empresas de más de 250 empleados se ven obligadas a presentar una registro interno de todos los tratamientos de datos personales, y presentarlo de forma puntual a su uso.

Consentimiento libre, específico, e inequívoco.

En materia de aceptación del tratamiento de datos, es decir, que el usuario te de el consentimiento para hacer uso de sus datos, se ha ampliado la información que las empresas deben de darle al usuario.

Las prácticas del consentimiento tácico han dejado de tener validez, por lo que se necesita tener el consentimiento de forma incuestionable. La aceptación del uso de datos nunca puede obtenerse del silencio o la inacción del usuario, el cliente tiene que indicar claramente que cede sus datos de forma consciente.

Por ello, los encargados deben de tener almacenados estos consentimientos por si hubiera que demostrar su aceptación. Además, estas reglas se rigen para datos personales, pero cuando hacemos uso de datos con un mayor nivel de seguridad será necesario realizar análisis de riesgos de empresas.

Análisis riesgos de empresas

Se hace una evaluación del impacto que tiene el tratamiento de datos de una empresa, el objetivo es calcular cada cuánto se produce situaciones no deseadas y de gravedad en el tratamiento de datos. Se revisarán todas las medidas adoptadas para evitarlo además de los datos según los niveles de riesgos (básico, medio y alto) derivados de la finalidad con la que se están utilizando los datos recopilados y las medidas se seguridad tomadas para minimizarlos.

Esta evaluación es obligatoria en casos concretos, como tener datos de alto riesgo, evaluaciones sistemáticas de grandes empresas o uso de nuevas tecnologías.

Nuevos derechos digitales aprobados por el Congreso tras RGPD

Nuevos derechos digitales protección

  • Desconexión digital de los trabajadores
  • Acceso por la empresa a contenidos del trabajador
  • Videovigilancia
  • Derecho al olvido
  • Menores y educación digital
  • Ayudas para acceder a Internet
  • Derecho a la neutralidad de Internet
  • Derecho al testamento digital
  • Acceso a ficheros públicos y eclesiásticos

Obligaciones para la protección de datos

Estas obligaciones están creadas para regular la protección de los datos de los usuarios, todas deben de ser asumidas por la entidad que trata los datos:

  • Rendición de cuentas
  • Notificación de brechas de seguridad
  • Registro de las actividades de tratamiento
  • Consentimiento
  • Responsabilidad proactiva
  • Datos de personas fallecidas
  • Consentimiento de menores
  • Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos
  • Categorías especiales de datos
  • Datos de contacto y de empresarios individuales
  • Archivo público
  • Tratamiento de infracciones penales y administrativas
  • Bloqueo de datos
  • Delegado de Protección de Datos
  • Modificación de la normativa electoral

LSSI-CE: qué es, requisitos, sanciones, etc.

Muchas veces hemos escuchado términos en materia legal, pero ¿sabías que estas siglas proceden de Ley 34/2002 Servicios de la Sociedad de la Información y del Comercio Electrónico?

Pues bien, esta normativa regula los protocolos de comunicación en la venta de servicios o productos y cuales quieran que sean las comunicaciones a través de internet. Normalizando las obligaciones a las que están sometidos los propietarios de negocio online e intermediarios digitales.

La finalidad de esta normativa es construir entornos web más seguros y rápidos, fomentando el desarrollo de nuevos negocios digitales y así la competencia del mercado digital.

En este sentido esta ley se divide en dos partes fundamentales. Por un lado, la ley de cookies, denominada así, porque nos obliga a darle al usuario toda la información que almacenan nuestros navegadores sobre su comportamiento cuando navega por nuestra web, y para ello debemos de obtener su consentimiento previo. Por otro lado, la denominada ley de comercio online, la cual que se basa en informar de las condiciones de compra o la política de devoluciones, entre otras.

Por otro lado, sanciones que aplica el Gobierno tras el incumplimiento de esta normativa, según el tipo de infracción.

  • Muy grave, aplican multas de 150.001 a 600.000 euros
  • Grave, sancionando con multas de 30.001 a 150.000 euros
  • Leve, de hasta 30.000 euros.

En este caso la normativa nombra organismo responsable de la supervisión y del cumplimiento al Ministerio de Energía, Turismo y Agenda Digital.

Servicio de Adaptación LOPD y RGPD para empresas online.

adaptación lopd

Esperamos que estés al tanto de todas tus obligaciones como empresa digital, pero si todavía tienes dudas y necesitas ayuda, lo mejor es contactar con nuestro equipo legal y que te asesoren y puedas cumplir con todas estas las obligaciones.

Puedes contratar nuestros servicios legales para dejarlo en manos de profesionales de forma que tu empresa, no solo tu web, cumpla con los requisito es legales para cumplir con la Ley de protección de datos y garantía de los derechos digitales.

¿Eres cliente de Palbin? En ese caso estás de suerte, toda la tecnología de tu tienda online ya está preparada para cumplir con esta ley, pero ¿lo está tu empresa? Porque recuerda es tu empresa la que debe de adaptarse, no solo el canal de venta online. Puedes contratarlo desde aquí: https://admin.palbin.com/service/legalRgpdContract.

¿Qué incluye el servicio de adaptación a la Ley de protección de datos RGPD?

  • Auditoría LOPD. Evaluamos tu negocio para saber necesita para cumplir la ley en función de tu sector.
  • Asesoramiento y elaboración de la documentación necesaria para que cumplas con las leyes obligatorias para una tienda online.
  • Implementación de textos legales en el sitio web adaptados a las características únicas de tu negocio. Estos textos son los correspondientes a Política de Privacidad, Aviso Legal y las Condiciones de Compra.
  • Completamos toda la información legal referente a las Políticas de Cookies y LSSI-CE que utiliza tu tienda online.
  • Te redactamos un Manual de adaptación al RGPD y LSSI-CE con una serie de indicaciones para que tu y tus empleados podáis seguir las recomendaciones de nuestros expertos. En este manual también se incluye un modelo de correo electrónico a enviar a proveedores para suscripción del DPA y la plantilla del Contrato de confidencialidad (NDA).
  • Te darémos un sello distintivo de certificación RGPD, para garantizar la confianza online de tus clientes, este podrá ser incluido dentro de tu tienda online.
Importante: Todas las tiendas de Palbin deberían cumplir con el Reglamento General de Protección de Datos, pero hay que destacar que la responsabilidad de que se atiendan nuestras recomendaciones y se cumpla la legislación es exclusivamente del contratante del servicio. Palbin se excluye de la responsabilidad acerca del tratamiento de los datos que realizan nuestros clientes. Es decir, Palbin es el encargado del tratamiento de los datos y nuestros clientes son los responsables de dichos datos y su gestión.

Además para su correcta adecuación rgpd en tu tienda online, se deberá de contar con un certificado de seguridad SSL, obligatorio tras la aparición del RGPD.

Este servicio está diseñado para las empresas que cumplen los siguientes requisitos, pues de no ser así, habría que aplicarle una adaptación legal muy diferente, ya que como habéis visto esta ley de protección de datos cuenta con varios niveles de seguridad, y dependiendo de ello al empresa está obligada a unas cuestiones u otras.

  • Empresas que trabajan con un nivel de datos personales de riesgo bajo. Y con esto nos referimos a que no trates datos de tus clientes relacionados con la orientación sexual o política, raza, religión afiliación sindical, datos médicos… Es decir, todo dato personal que sea sensible.
  • No tratar los datos de manera masiva para explotar, ya sean elaborando o analizando perfiles, publicidad o prospección comercial.
  • No ser un proveedor o servicio de comunicación electrónica. O lo que es lo mismo, no ser un proveedor que explote redes públicas y servicios de comunicación electrónicas como son las empresas de mailing, chats…
  • No ser una empresa grande, es decir no tener más de 200 trabajadores en la empresa.

Si tu empresa no posee ninguno de los factores anteriormente comentados, estás listo para contratar el servicio de adaptación legal y evitar sanciones. Este servicio se da durante todo un mes, en varias fases, por lo que hazlo cuanto antes y tendrás menos riesgo de ser una empresa sancionada por la ley de protección de datos.




¿Quiéres mejorar tu e-commerce?
x
Academia digital ecommerce

Únete a nuestra Academia Digital y recibe los mejores trucos y consejos sobre Comercio Electrónico y Marketing Digital diréctamente en tu correo.

Recibirás un email para confirmar tu suscripción.

Comentarios


No se encontraron resultados.

Deja un Comentario

Tu email no será publicado


©2024 Siokia SL | Palbin.com: Crea tu tienda en dos pasos, 1 y 2. Condiciones de uso y Política de privacidad