Comercio Electr贸nico

驴Qu茅 es LOPD-GDD? Ley de Protecci贸n de Datos y Garant铆a de Derechos Digitales

Por Andrea Fabi谩n Abad
驴Qu茅 es LOPD-GDD? Ley de Protecci贸n de Datos y Garant铆a de Derechos Digitales

Prece que las obligaciones fiscales y legales de una empresa nunca tengan fin, pero es realmente importante conocer la existencia de las leyes que abarcan tu actividad. Pues como siempre se ha dicho, 鈥淚gnorantia juris non excusat鈥 el desconocimiento de la ley no exime su cumplimiento.

Todos hemos o铆do hablar de la Protecci贸n de Datos, como consumidores tenemos derechos que nos ayudan a proteger nuestra informaci贸n personal, pero, s铆 tenemos derechos... 驴Quien tiene obligaciones?

En este art铆culo te contaremos el estado actual de la legislaci贸n en materia de protecci贸n de datos, ya tengas una tienda online, una web o simplemente un blog online.


Marco jur铆dico de una tienda online

En el aspecto legal ha habido cambios y adaptaciones que se han realizado como respuesta a una sociedad hiperconectada. Tras la entrada en vigor del RGPD (Reglamento general de protecci贸n de datos) a nivel europeo el 25 de mayo de 2016 y con la aplicaci贸n el 25 de mayo de 2018, la antigua LOPD ha dejado de tener vigencia para pasar a adaptarse a la nueva normativa en el marco Espa帽ol, considerada como LOPDGDD, correspondiente a la Ley de Protecci贸n de Datos y Garant铆a de Derechos Digitales (LOPDGDD) 2018, la cual entr贸 en vigor el pasado 5 de diciembre de 2018.

Esta ley afecta a toda persona, empresa u organismo (tanto privados como p煤blicos), que desarrollen una actividad y manejen datos personales. Es decir, si tienes una web, seas particular o empresa debes de cumplir con la ley actual de la protecci贸n de datos.

Si eres una entidad de las que mencionamos a continuaci贸n, este post est谩 pensado para ti:

  • Aut贸nomos
  • Sociedades mercantiles
  • Administraciones y organismos p煤blicos
  • Asociaciones
  • Comunidades de propietarios o de bienes
  • Entidades sin 谩nimos de lucro

Esta ley preserva la intimidad y privacidad de un individuo tal y como dice la la Constituci贸n Espa帽ola en el art铆culo 18.4. Adem谩s, regulariza las obligaciones que se contraen en el tratamiento y gesti贸n de datos personales. Para entender esto correctamente hay que saber lo que es un dato personal y los rangos de seguridad que requieren.

驴Qu茅 es un dato personal?

datos personales en protecci贸n de datos

Los datos personales son cualquier tipo de informaci贸n que nos identifica. Y por lo tanto estos datos, pueden ser en texto, v铆deo, audio, etc.

Adem谩s, este tipo de informaci贸n puede ser clasificada en rangos de riesgo, en cuanto a la sensibilidad de dichos datos, para lograr identificar a un individuo.

Hay diferentes tipos de datos, dependiendo de cada una tendr谩n una clasificaci贸n de riesgo (b谩sico, medio y alto):

  • Identificativos: Como el nombre de una persona, su DNI, n潞 de afiliaci贸n a la SS, tel茅fono, domicilio o la IP de su dispositivo, por ejemplo
  • Circunstancias sociales: estilos de vida, propiedades, aficiones, asociaciones, foros, etc.
  • Personales: como la edad, el lugar de nacimiento o el estado civil
  • Acad茅micos y de formaci贸n: informaci贸n del nivel de estudios, el expediente o las titulaciones
  • Econ贸mico-financieros: ingresos, prestamos, renta, etc.
  • M茅dicos o de salud: Datos sobre dolencias, historial m茅dico, resultados de anal铆ticas.
  • Profesionales y de empleo: expedientes laborales, experiencia, categor铆a del puesto laboral, etc.
  • Sindical: datos de afiliaci贸n, comit茅s de empresas, asociaciones.
  • Administrativos: concesiones, sanciones, todos los procedimientos administrativos.
  • Judicial: expediente judicial, e hist贸rico.

Como hemos dicho, algunos de estos datos est谩n altamente protegidos, como la afiliaci贸n sindical, la orientaci贸n sexual, la salud, ideolog铆a, religi贸n... en general todos aquellos datos que son m谩s sensibles por su nivel de seguridad. Para hacer uso de ellos se debe de tener expl铆citamente el consentimiento de uso y tratamiento.

Esta ley ha sido modificada con la aparici贸n del Reglamento General Europeo de Protecci贸n de Datos. A continuaci贸n os dejamos el un v铆deo resumen sobre lo es la RGPD y los cambios que se aplican en la ley org谩nica de protecci贸n de datos 2018.

RGPD: Reglamento General de protecci贸n de datos

Este reglamento de protecci贸n de datos surge como respuesta a un mundo globalizado, donde los datos no pueden estar 煤nicamente regulados por cada pa铆s, si no que se necesitan unas leyes que puedan crear una marco normativo global, o al menos en este caso, un marco normativo europeo.

El Reglamento General de Protecci贸n de Datos entr贸 en vigor el 25 de mayo de 2016, pero no fu茅 hasta el 25 de mayo de 2018 cuando comienza a aplicarse y regularse.

Durante esos 2 a帽os, la Uni贸n europea y todas las instituciones debieron de adaptar sus procedimientos de trabajo para cumplir con esta nueva normativa de protecci贸n de datos, as铆 como las empresas y organismos privados. Para ayudar a estas gestiones, la AEPD (Agencia Espa帽ola de Protecci贸n de Datos), incluye varias secciones de ayuda en materia legal y adaptaci贸n a la RGPD.

Si tu empresa lleva a cabo la venta de bienes y servicios en pa铆ses de la Uni贸n Europea o si almacenas los siguientes datos:

  • Datos personales de clientes relativos de las transacciones (nombre, direcci贸n, tel茅fono...)
  • Datos personales de potenciales clientes (emails, comportamiento durante la navegaci贸n...)
  • Datos personales de empleados (curr铆culum, n贸minas,...)
  • Datos personales de candidatos (curr铆culums, pruebas de selecci贸n...)
  • Datos personales de proveedores (derivados de los pedidos realizados)
  • Datos personales derivados de las im谩genes obtenidas por una c谩mara de videovigilancia.

La entrada en vigor de este reglamento, ha supuesto cambios en la antigua LOPD convirti茅ndola en la nueva LOPDGDD, os contamos los cambios m谩s significativos, y c贸mo afecta esto a los negocios digitales.

驴Qu茅 cambia con la nueva ley de protecci贸n de datos en la web?

nueva ley de protecci贸n de datos

A continuaci贸n te presentamos un resumen de las nuevas consideraciones en LOPD -GDD motivadas por la RGPD.

Facilitar el acceso a los derechos

Un gran cambio en la normativa se produce aqu铆, facilitando el acceso, la modificaci贸n y el borrado de datos seg煤n los derechos del ciudadano. Estos son los 5 derechos que han sido modificados y tienen unas claras indicaciones de tratamiento.

  1. Derecho al acceso de datos: Se cumplimenta con la opci贸n de realizar una solicitud de copias sobre los datos personales tratados.
  2. Derecho al olvido: El borrado de datos personales tras la manifestaci贸n del derecho de cancelaci贸n u oposici贸n en el entorno online.
  3. Limitaci贸n al tratamiento: A partir de ahora se puede limitar el tratamiento de los datos si as铆 se especifica, y correspondiendo a cada caso.
  4. Portabilidad: Ampl铆a el derecho de acceso a los datos, aportando la posibilidad de extraer en una copia de datos de forma estructurada al interesado.
  5. Medidas de responsabilidad activa: Responsabilidad proactiva.

La RGPD a帽ade varios derechos nuevos que veremos a continuaci贸n, incluido el concepto de Accountability, lo cual significa "responsabilidad proactiva". Esto es b谩sicamente la forma de notificar que la empresa ser谩 la responsable ante todas las reclamaciones, y para evitar estas reclamaciones, debe de anticiparse y tomar las medidas necesarias para proteger su negocio y a sus clientes. Fij谩ndose as铆, unas medidas necesarias que aseguren el tratamiento de datos personales, y que cumplan con los requisitos de seguridad siendo demostrables.

Delegado de protecci贸n de datos (Nueva figura DPO)

Motivado por la medida anterior, la responsabilidad proactiva, nace la figura de un Delegado de protecci贸n de datos dentro de la empresa, el DPO 鈥淒ata Protection Officer鈥. Este perfil de especialista en protecci贸n de datos se responsabiliza de hacer los an谩lisis de riesgo y de adoptar las medidas necesarias para cumplir con la seguridad de los datos almacenados, y revisar a lo largo del tiempo que todo esto se est谩 cumpliendo.

驴Pero qu茅 pasa en las PYMES o con los aut贸nomos? 驴est谩n obligados a disponer de un DPO en exclusiva? - No, solamente es obligatorio para las empresas grandes, es decir, en una empresa peque帽a, este cargo lo puede asumir uno de los trabajadores, o el propietario. Pero s铆 es necesario que haya un perfil que act煤e dentro de la empresa como DPO, compartiendo estas obligaciones con sus tareas habituales.

La agencia espa帽ola de protecci贸n de datos proporciona un listado de los tipos de organizaciones que se ven obligadas a contratar un delegado de protecci贸n de datos.

  • Centros de salud
  • Colegios profesionales y de ense帽anza
  • Distribuidores energ茅ticos
  • Entidades financiaras y de cr茅ditos
  • Centros de investigaci贸n de mercados, y publicitaria
  • Aseguradoras
  • Entidades de juego online
  • Federaciones deportivas que traten menores.

El perfil de este t茅cnico especialista en materia normativa de protecci贸n de datos, se caracteriza por tener un amplio conocimiento en el Reglamento general de protecci贸n de datos, as铆 como en materia normativa a nivel europeo. Pero ser谩 de vital importancia que tambi茅n este especializado en un 谩mbito las tecnolog铆as de la informaci贸n y en seguridad de datos, y por 煤ltimo es importante tener conocimientos empresariales y organizacionales, para fomentar la cultura de la protecci贸n de datos.

Sanciones m谩s elevadas

Es tras la llegada de este nuevo reglamento, las autoridades est谩n actuando en consecuencia, y han aumentados las medidas coercitivas en caso de incumplir la LOPR-GDD.

Las infracciones estar谩n m谩s penalizadas, ya que con motivo del cambio de normativa nace la posibilidad de mejorar toda la protecci贸n de datos de nuestra sociedad, de esta forma las entidades sancionadoras, como consumo, est谩n imponiendo multas de de entre 10 y 20 millones de euros, o en otras ocasiones entre el 2 y el 4% del volumen de negocio anual global de la compa帽铆a.

Registro de actividades del tratamiento

Antiguamente est谩bamos obligados a registrar el uso de datos en la AEPD, Agencia Espa帽ola de Protecci贸n de Datos. Pero con el cambio de normativa, esta obligaci贸n se elimina y solo las empresas de m谩s de 250 empleados se ven obligadas a presentar una registro interno de todos los tratamientos de datos personales, y presentarlo de forma puntual a su uso.

Consentimiento libre, espec铆fico, e inequ铆voco.

En materia de aceptaci贸n del tratamiento de datos, es decir, que el usuario te de el consentimiento para hacer uso de sus datos, se ha ampliado la informaci贸n que las empresas deben de darle al usuario.

Las pr谩cticas del consentimiento t谩cico han dejado de tener validez, por lo que se necesita tener el consentimiento de forma incuestionable. La aceptaci贸n del uso de datos nunca puede obtenerse del silencio o la inacci贸n del usuario, el cliente tiene que indicar claramente que cede sus datos de forma consciente.

Por ello, los encargados deben de tener almacenados estos consentimientos por si hubiera que demostrar su aceptaci贸n. Adem谩s, estas reglas se rigen para datos personales, pero cuando hacemos uso de datos con un mayor nivel de seguridad ser谩 necesario realizar an谩lisis de riesgos de empresas.

An谩lisis riesgos de empresas

Se hace una evaluaci贸n del impacto que tiene el tratamiento de datos de una empresa, el objetivo es calcular cada cu谩nto se produce situaciones no deseadas y de gravedad en el tratamiento de datos. Se revisar谩n todas las medidas adoptadas para evitarlo adem谩s de los datos seg煤n los niveles de riesgos (b谩sico, medio y alto) derivados de la finalidad con la que se est谩n utilizando los datos recopilados y las medidas se seguridad tomadas para minimizarlos.

Esta evaluaci贸n es obligatoria en casos concretos, como tener datos de alto riesgo, evaluaciones sistem谩ticas de grandes empresas o uso de nuevas tecnolog铆as.

Nuevos derechos digitales aprobados por el Congreso tras RGPD

Nuevos derechos digitales protecci贸n

  • Desconexi贸n digital de los trabajadores
  • Acceso por la empresa a contenidos del trabajador
  • Videovigilancia
  • Derecho al olvido
  • Menores y educaci贸n digital
  • Ayudas para acceder a Internet
  • Derecho a la neutralidad de Internet
  • Derecho al testamento digital
  • Acceso a ficheros p煤blicos y eclesi谩sticos

Obligaciones para la protecci贸n de datos

Estas obligaciones est谩n creadas para regular la protecci贸n de los datos de los usuarios, todas deben de ser asumidas por la entidad que trata los datos:

  • Rendici贸n de cuentas
  • Notificaci贸n de brechas de seguridad
  • Registro de las actividades de tratamiento
  • Consentimiento
  • Responsabilidad proactiva
  • Datos de personas fallecidas
  • Consentimiento de menores
  • Tratamiento de datos por obligaci贸n legal, inter茅s p煤blico o ejercicio de poderes p煤blicos
  • Categor铆as especiales de datos
  • Datos de contacto y de empresarios individuales
  • Archivo p煤blico
  • Tratamiento de infracciones penales y administrativas
  • Bloqueo de datos
  • Delegado de Protecci贸n de Datos
  • Modificaci贸n de la normativa electoral

LSSI-CE: qu茅 es, requisitos, sanciones, etc.

Muchas veces hemos escuchado t茅rminos en materia legal, pero 驴sab铆as que estas siglas proceden de Ley 34/2002 Servicios de la Sociedad de la Informaci贸n y del Comercio Electr贸nico?

Pues bien, esta normativa regula los protocolos de comunicaci贸n en la venta de servicios o productos y cuales quieran que sean las comunicaciones a trav茅s de internet. Normalizando las obligaciones a las que est谩n sometidos los propietarios de negocio online e intermediarios digitales.

La finalidad de esta normativa es construir entornos web m谩s seguros y r谩pidos, fomentando el desarrollo de nuevos negocios digitales y as铆 la competencia del mercado digital.

En este sentido esta ley se divide en dos partes fundamentales. Por un lado, la ley de cookies, denominada as铆, porque nos obliga a darle al usuario toda la informaci贸n que almacenan nuestros navegadores sobre su comportamiento cuando navega por nuestra web, y para ello debemos de obtener su consentimiento previo. Por otro lado, la denominada ley de comercio online, la cual que se basa en informar de las condiciones de compra o la pol铆tica de devoluciones, entre otras.

Por otro lado, sanciones que aplica el Gobierno tras el incumplimiento de esta normativa, seg煤n el tipo de infracci贸n.

  • Muy grave, aplican multas de 150.001 a 600.000 euros
  • Grave, sancionando con multas de 30.001 a 150.000 euros
  • Leve, de hasta 30.000 euros.

En este caso la normativa nombra organismo responsable de la supervisi贸n y del cumplimiento al Ministerio de Energ铆a, Turismo y Agenda Digital.

Servicio de Adaptaci贸n LOPD y RGPD para empresas online.

adaptaci贸n lopd

Esperamos que est茅s al tanto de todas tus obligaciones como empresa digital, pero si todav铆a tienes dudas y necesitas ayuda, lo mejor es contactar con nuestro equipo legal y que te asesoren y puedas cumplir con todas estas las obligaciones.

Puedes contratar nuestros servicios legales para dejarlo en manos de profesionales de forma que tu empresa, no solo tu web, cumpla con los requisito es legales para cumplir con la Ley de protecci贸n de datos y garant铆a de los derechos digitales.

驴Eres cliente de Palbin? En ese caso est谩s de suerte, toda la tecnolog铆a de tu tienda online ya est谩 preparada para cumplir con esta ley, pero 驴lo est谩 tu empresa? Porque recuerda es tu empresa la que debe de adaptarse, no solo el canal de venta online. Puedes contratarlo desde aqu铆: https://admin.palbin.com/service/legalRgpdContract.

No eres cliente y necesitas ayuda, no te preocupes, nuestros expertos podr谩n atenderte a trav茅s de esta web: https://www.webrgpd.es/ donde dan servicio a miles de profesionales del comercio online.

驴Qu茅 incluye el servicio de adaptaci贸n a la Ley de protecci贸n de datos RGPD?

  • Auditor铆a LOPD. Evaluamos tu negocio para saber necesita para cumplir la ley en funci贸n de tu sector.
  • Asesoramiento y elaboraci贸n de la documentaci贸n necesaria para que cumplas con las leyes obligatorias para una tienda online.
  • Implementaci贸n de textos legales en el sitio web adaptados a las caracter铆sticas 煤nicas de tu negocio. Estos textos son los correspondientes a Pol铆tica de Privacidad, Aviso Legal y las Condiciones de Compra.
  • Completamos toda la informaci贸n legal referente a las Pol铆ticas de Cookies y LSSI-CE que utiliza tu tienda online.
  • Te redactamos un Manual de adaptaci贸n al RGPD y LSSI-CE con una serie de indicaciones para que tu y tus empleados pod谩is seguir las recomendaciones de nuestros expertos. En este manual tambi茅n se incluye un modelo de correo electr贸nico a enviar a proveedores para suscripci贸n del DPA y la plantilla del Contrato de confidencialidad (NDA).
  • Te dar茅mos un sello distintivo de certificaci贸n RGPD, para garantizar la confianza online de tus clientes, este podr谩 ser incluido dentro de tu tienda online.
Importante: Todas las tiendas de Palbin deber铆an cumplir con el Reglamento General de Protecci贸n de Datos, pero hay que destacar que la responsabilidad de que se atiendan nuestras recomendaciones y se cumpla la legislaci贸n es exclusivamente del contratante del servicio. Palbin se excluye de la responsabilidad acerca del tratamiento de los datos que realizan nuestros clientes. Es decir, Palbin es el encargado del tratamiento de los datos y nuestros clientes son los responsables de dichos datos y su gesti贸n.

Adem谩s para su correcta adecuaci贸n rgpd en tu tienda online, se deber谩 de contar con un certificado de seguridad SSL, obligatorio tras la aparici贸n del RGPD.

Este servicio est谩 dise帽ado para las empresas que cumplen los siguientes requisitos, pues de no ser as铆, habr铆a que aplicarle una adaptaci贸n legal muy diferente, ya que como hab茅is visto esta ley de protecci贸n de datos cuenta con varios niveles de seguridad, y dependiendo de ello al empresa est谩 obligada a unas cuestiones u otras.

  • Empresas que trabajan con un nivel de datos personales de riesgo bajo. Y con esto nos referimos a que no trates datos de tus clientes relacionados con la orientaci贸n sexual o pol铆tica, raza, religi贸n afiliaci贸n sindical, datos m茅dicos鈥 Es decir, todo dato personal que sea sensible.
  • No tratar los datos de manera masiva para explotar, ya sean elaborando o analizando perfiles, publicidad o prospecci贸n comercial.
  • No ser un proveedor o servicio de comunicaci贸n electr贸nica. O lo que es lo mismo, no ser un proveedor que explote redes p煤blicas y servicios de comunicaci贸n electr贸nicas como son las empresas de mailing, chats鈥
  • No ser una empresa grande, es decir no tener m谩s de 200 trabajadores en la empresa.

Si tu empresa no posee ninguno de los factores anteriormente comentados, est谩s listo para contratar el servicio de adaptaci贸n legal y evitar sanciones. Este servicio se da durante todo un mes, en varias fases, por lo que hazlo cuanto antes y tendr谩s menos riesgo de ser una empresa sancionada por la ley de protecci贸n de datos.




驴Qui茅res mejorar tu e-commerce?
x
Academia digital

脷nete a nuestra Academia Digital y recibe los mejores trucos y consejos sobre Comercio Electr贸nico y Marketing Digital dir茅ctamente en tu correo.

Recibir谩s un email para confirmar tu suscripci贸n.

Comentarios


No se encontraron resultados.

Deja un Comentario

Tu email no ser谩 publicado


漏2020 Siokia SL | Palbin.com: Crea tu tienda en dos pasos, 1 y 2. Condiciones de uso y Pol铆tica de privacidad