Slide background

El nuevo Reglamento de Protección
de Datos afecta a todas las
empresas y autónomos

CONÓCENOS

DataPro Asesores te facilita cumplir
con la nueva normativa de
Protección de Datos,
asesorándote para minimizar
el riesgo de sanciones

Te llamamos sin compromiso

LLÁMAME

Nuestros Servicios

– Análisis y diagnóstico del grado de cumplimiento del RGPD/LOPD-GDD.

– Adecuación a la nueva normativa de Protección de Datos (RGPD y LOPD-GDD).

– Asesoramiento continuado y/o elaboración de alegaciones ante la AEPD.

 

«Desde 99€* cuota inicial y 8,25€* al mes»

 
 

*IVA no incluido

TU GESTIÓN DE DATOS SEGURA

CONSULTORÍA PROTECCIÓN DATOS

Analizamos tu empresa con el fin de adaptarla a la nueva normativa de Protección de Datos, con independencia de la radicación y/o actividad en España.

INFORMACIÓN CONTINUADA

Cada mes recibirás una Circular con información relevante en materia de Protección de Datos.

DEFENSA JURÍDICA

Defensa jurídica y asesoramiento legal para el caso de reclamaciones o denuncias, ante la AEPD.

COMERCIO ELECTRÓNICO / INTERNET

Tu web y Redes Sociales adaptadas a la nueva legislación de protección de datos: RGPD; LSSICE y Normativa de Cookies.

SEGUIMIENTO CONTINUADO DE LA APLICACIÓN DEL RGPD Y LOPD-GDD EN LA ACTIVIDAD DE TU EMPRESA

Atención de tus consultas en materia de Protección de Datos de manera rápida y eficiente.

AUDITORÍA PROTECCIÓN DATOS

Análisis de Riesgos y evaluación de cumplimiento de la nueva normativa de Protección de Datos.

a

Consúltanos y te ofreceremos un servicio a tu medida para que tu empresa trabaje adaptada a la Normativa de Protección de Datos, vigente en cada momento.

Te llamamos

¿POR QUÉ CONTRATAR NUESTROS SERVICIOS PARA TU EMPRESA?

m
EL NUEVO REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS (RGPD) Y LA NUEVA LOPD-GDD , ESTABLECEN UNA SERIE DE OBLIGACIONES PARA LAS EMPRESAS ¿QUÉ IMPLICA EL NUEVO RGPD Y LA NUEVA LOPD-GDD PARA LA EMPRESA?

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales, establecen una serie de obligaciones para las empresas, los profesionales autónomos y las administraciones públicas que dispongan de datos personales de clientes, proveedores y trabajadores, que pasa por la obligación de controlar los datos y establecer medidas de seguridad adecuadas, para evitar su utilización inadecuada, perdida, alteración o destrucción y garantizar la confidencialidad de los mismos así como el ejercicio de derechos de los interesados incluyendo nuevos derechos en ámbito laboral.

ESPECIALIZADA EN TRATAMIENTO DE LA INFORMACIÓN

DataPro Asesores integra en el equipo profesionales jurídicos y técnicos especializados en legislación sobre Protección de Datos y en la gestión de información con amplia experiencia en la materia.

SERVICIO ALTA CALIDAD

En DataPro Asesores, te guiamos para una adecuación óptima de tu empresa a la nueva normativa de Protección de Datos. Con una atención personalizada para ti y tu empresa.

DESCRIPCIÓN trabajo

Resolvemos tus consultas sobre la Regulación en Protección de Datos

  • Atenderemos tus dudas en la materia; y tu empresa dispondrá de toda la información necesaria para cumplir con el RGPD y la LOPD-GDD.

¿En qué consiste el trabajo de DataPro Asesores?

  • Realizaremos un diagnóstico previo de tu empresa para normalizar la situación de la misma a la legislación vigente, en protección de Datos, incorporando un Informe de Aplicación.

 

  • Colaboraremos con el responsable de seguridad -en la empresa- para que pueda aplicar, en todo momento, las medidas de orden organizativo y/o técnico que permitan un cumplimiento fiable de la normativa de Protección de Datos en tu empresa.

 

  • Revisaremos los procedimientos internos de tu empresa, conjuntamente contigo, desde la perspectiva del tratamiento de los datos personales y su seguridad.

Te informamos de la legislación vigente en cada momento en materia de Protección de Datos

Preguntas frecuentes

¿Cuál es la normativa que las empresas tienen que cumplir en protección de datos y cuando entró en vigor?

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales que entró en vigor el 7 de diciembre de 2018 que adapta el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos que ya había entrado en vigor el 25 de mayo de 2018.

¿Cómo debe enfrentarse una empresa a la obligación de proteger los datos?

Con responsabilidad proactiva. Se debe estructurar y organizar los datos y las operaciones de tratamiento de manera que los interesados puedan ejercer sus derechos y que se puedan implementar medidas técnicas y organizativas que permitan la protección de datos desde el diseño y por defecto, esto es desde el inicio del tratamiento y durante todo el tiempo que dure el mismo.

¿Qué se entiende por tratamiento de datos?

La nueva normativa de Protección de Datos entiende como tratamientocualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, efectuadas o no mediante procedimientos automatizados, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.

¿Cuándo un tratamiento de datos es lícito?

Solo es lícito el tratamiento de datos personales si se cumple al menos una de las siguientes condiciones:

 

  • el interesado ha dado su consentimiento para uno o más fines específicos;
  • es necesario para un contrato en el que interviene, o pronto intervendrá,
  • el interesado debe cumplir una obligación legal,
  • existe una misión realizada en el interés público o en el ejercicio de poderes públicos;
  • es necesario para proteger intereses legítimos (incluso de un tercero), salvo que prevalezcan los intereses, derechos fundamentales y libertades del interesado.

 

Está prohibida la recogida de datos por medios fraudulentos, desleales o ilícitos.

¿Hay datos especialmente protegidos?

Si. Existen una serie de datos a los que se les presta una mayor atención debido a su sensibilidad y su carácter relacionado con el aspecto más íntimo de las personas. Esta clase de datos reciben una protección legal más fuerte a través de toda una serie de medidas expresas. Son datos especialmente protegidos aquellos relativos a:

 

  • origen étnico o racial,
  • las opiniones políticas,
  • las convicciones religiosas o filosóficas,
  • la afiliación sindical,
  • el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física,
  • datos relativos a la salud
  • datos relativos a la vida sexual o a la orientación sexual de una persona física

¿Cómo deben ser recogidos y tratados los datos para cumplir el RGPD?

Los datos de carácter personal sólo podrán ser recogidos para un tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.

¿Quién es el Responsable de los Datos?

Es la persona jurídica y/o física, privada o pública, que decide sobre el tratamiento de los datos, es decir, toma decisiones sobre qué hacer con los mismos, es el responsable desde que el dato entra a formar parte del sistema de información hasta la eliminación del mismo, el que debe activar las correspondientes medidas de seguridad para su protección y garantizar a sus titulares los derechos reconocidos en el RGPD.

¿Quién es el Encargado de Tratamiento?

El encargado del tratamiento es aquella persona física o jurídica, autoridad pública, servicio u otro organismo que presta un servicio al responsable del fichero que conlleva el tratamiento de datos personales por cuenta de éste.

 

Entre otros, por ejemplo: empresas de marketing, gestorías contables, empresas de hosting, empresas de servicios informáticos, delegado de protección de datos externo y, de manera general, a cualquier persona física o jurídica que preste algún tipo de servicio que conlleve el tratamiento de datos de carácter personal por cuenta del responsable del fichero.

¿Cómo debo realizar los contratos con los Encargados de Tratamiento?

Por escrito, incluyendo cláusulas concretas sobre encargo de tratamiento, categoría de datos incluidas y medidas de seguridad que se vayan a emplear, teniendo muy en cuenta si el encargado tiene alguna certificación o esta adscrito a algún Código de Conducta.

 

La nueva LOPD-GDD establece que los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.

¿Cuándo se debe tener un Registro de Actividad de Tratamiento?

Es aplicable a empresas que empleen a más de 250 personas, o a las que empleen a menos, pero en las que el tratamiento probablemente entrañe un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos:

 

  • Que puedan entrañar un riesgo para los derechos y libertades de los interesados y se traten de manera no
  • Sean relativos a condenas e infracciones
  • Incluya categorías especiales de datos personales (indicadas en el artículo 9 del RGPD):
    • origen étnico o racial,
    • opiniones políticas
    • convicciones religiosas o filosóficas,
    • afiliación sindical,
    • tratamiento de datos genéticos,
    • datos biométricos dirigidos a identificar de manera unívoca a una persona física,
    • datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física.

¿Cuándo es necesario disponer de un Delegado de Protección de datos DPD/DPO?

Según el Reglamento General de Protección de Datos están obligados a tener un Delegado de Protección de Datos las entidades que se encuentren dentro de siguientes definiciones:

 

  • Todas las autoridades y organismos públicos (con independencia de los datos que procesen).
  • Empresas o entidades que, como actividad principal, realicen un seguimiento de personas de forma sistemática y a gran escala,
  • Empresas o entidades que procesen categorías especiales de datos personales a gran escala. Esto es datos personales especiales son  aquellos que revelen la afiliación sindical, datos genéticos, datos biométricos y datos relativos a la salud,
  • Los proveedores de servicios que accedan a datos personales (encargados de tratamiento) y que cumplan cualquiera de los puntos.

 

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales ademas, establece en su artículo 34 que:

Los responsables y encargados de tratamiento deberán designar un delegado de protección de datos en todo caso, cuando se trate de las siguientes entidades:

 

  1. Los colegios profesionales y sus consejos generales.
  2. Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
  3. Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
  4. Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
  5. Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
  6. Los establecimientos financieros de crédito.
  7. Las entidades aseguradoras y reaseguradoras.
  8. Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
  9. Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
  10. Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención de fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
  11. Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
  12. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aún estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
  13. Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
  14. Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación de juego.
  15. Las empresas de seguridad privada.
  16. Las federaciones deportivas cuando traten datos de menores de edad.

 

Los responsables o encargados del tratamiento no incluidos en el párrafo anterior podrán designar de manera voluntaria un delegado de protección de datos, que quedará sometido al régimen establecido en el Reglamento (UE) 2016/679 y en la presente ley orgánica.

¿Y si tengo dudas de si estoy o no obligado?

Es recomendable en caso de duda de si una empresa entra dentro de esos supuestos, que elabore un informe que recoja el análisis realizado para determinar la necesidad o no de designar al delegado.

¿Qué es y cuando tengo que hacer un análisis de riesgo?

Es un punto de partida que deben realizar las empresas que puedan tener riesgo en el tratamiento de datos para determinar las medidas de seguridad técnicas y organizativas que deben activar para proteger los datos personales.

 

Un análisis de riesgo consiste en hacer un mapa de los diferentes datos de carácter personal que se gestionan en la organización, ubicarlos dentro de cada departamento y saber qué sistemas de información dan soporte a todo lo anterior. Con todo eso, podremos analizar si un tratamiento de datos tiene un riesgo importante o no.

 

Además, hay que hacer verificaciones periódicas del modelo de seguridad implantado, por lo que es recomendable estar al día tanto en la normativa en concurso como en los avances de la técnica.

 

El análisis y la gestión de riesgos son procedimientos que permiten a las organizaciones hacer un diagnóstico sobre los riesgos para los tratamientos de datos personales y, en ocasiones, aportar información suficiente para decidir si es necesario o no llevar a cabo una Evaluación de Impacto en Protección de Datos.

¿Quién está obligado y cuándo se debe realizar una evaluación de impacto?

Determinadas empresas deberán evaluar el impacto que los tratamientos de datos que realizan tienen sobre la protección de datos personales.

 

En particular, cuando sea probable que un tipo de tratamiento, sobre todo si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas.

 

Las principales empresas que deberán realizar esta evaluación de impacto, generalizando los términos, son:

 

  • Empresas que realicen una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.

 

  • Empresas que realicen un tratamiento a gran escala de las categorías especiales de datos, o de los datos personales relativos a condenas e infracciones penales.

 

  • Empresas que realicen una observación sistemática a gran escala de una zona de acceso público.

 

  • Esta evaluación de impacto también podrán realizarla aquellos responsables que vayan a realizar un tratamiento a gran escala u operaciones de tratamiento que entrañen un alto riesgo para las personas.

¿Se pueden transferir datos a otros países?

La nueva normativa de Protección de Datos mantiene la prohibición general de enviar datos personales fuera del Espacio Económico Europeo a un país que no ofrezca una protección adecuada.

¿Y si las medidas de seguridad fallan?

Se produce una brecha de seguridad. Cuando se produzca una incidencia, una violación de la seguridad, se evaluarán las consecuencias, se tomarán las medidas correctoras pertinentes, y se notificarán en un plazo no superior a 72 horas a la AEPD.

 

Es necesario llevar un registro de incidencias.

¿Incorpora alguna novedad relevante la nueva LOPD en entornos laborales?

Sí, establece nuevos derechos:

 

  • Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral.
  • Derecho a la desconexión digital en el ámbito laboral.
  • Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo.
  • Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral.
  • Derechos digitales en la negociación colectiva.

¿A qué sanciones se exponen las Empresas, Pymes, MicroPymes y Autónomos que no se adapten al RGPD?

Se pueden imponer sanciones de hasta 10.000.000€ o el 2% del volumen de negocio anual global del ejercicio financiero anterior por:

 

  • No aplicar medidas técnicas y organizativas por defecto.
  • No realizar la correspondiente Evaluación de Impacto.
  • No disponer del registro de actividades de tratamiento.
  • No designar un DPO.
  • No notificar las brechas de seguridad.

 

En el peor de los casos sanciones de hasta 20.000.000€ o el 4% del volumen de negocio anual global del ejercicio financiero anterior por:

 

  • No cumplir con los principios y derechos del RGPD.
  • No legalizar las transferencias internacionales de datos.
  • No atender las resoluciones de las Autoridades de Control.

 

En la cuantía de las sanciones se tendrá en cuenta la naturaleza de los derechos personales afectados, así como la cantidad de información tratada, los beneficios obtenidos por dicho trato o el perjuicio ocasionado a los afectados, entre otras características.

El equipo

qodef-team-image
Santiago Vecina - Equipo directivo

Santiago Vecina

Equipo directivo

qodef-team-image
Jesús Martín - Equipo directivo

Jesús Martín

Equipo directivo

qodef-team-image
Beatriz Vecina - Equipo operaciones

Beatriz Vecina

Equipo operaciones

qodef-team-image
Rafael Andrés - Equipo jurídico

Rafael Andrés

Equipo jurídico

qodef-team-image
Luis Serrano de Pablo - Equipo jurídico

Luis Serrano de Pablo

Equipo jurídico

qodef-team-image
Antonio de la Purificación - Equipo jurídico

Antonio de la Purificación

Equipo jurídico

qodef-team-image
Antonio Ángel Avilés - Equipo jurídico

Antonio Ángel Avilés

Equipo jurídico

Noticias

    No posts were found.

¡TE LLAMAMOS SIN COMPROMISO!

Nombre
Email
Teléfono

INFORMACIÓN AL PÚBLICO:

DataPro Asesores, S.L. ha obtenido el apoyo de los Fondos de la Unión Europea (Fondo Social Europeo) y de la Comunidad de Madrid (Consejería de Economía, Empleo y Hacienda) a través del Programa de contratación estable de jóvenes inscritos en el fichero del Sistema de Garantía Juvenil, en el ámbito de la Comunidad de Madrid (Convocatoria 2018, subvención concedida por importe de 6.000 €).