Blog

Entrada en vigor del nuevo reglamento RGPD.

El nuevo  Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo del 2016 y será aplicable a partir de mayo del 2018.

Tenemos hasta esa fecha para ir adaptando nuestras empresas a la nueva normativa, claro está, siempre podremos hacerlo después y llegar como tantas veces tarde a todo.

¿Qué empresas son las que están obligadas a adaptarse?  Muy fácil TODAS, cada una en la medida de las obligaciones que tenga en función de los datos que maneja y los usos que haga  de los mismos.

Ahora en este proceso existen más figuras que intervienen.   Auditor de Protección de Datos, y la Nueva Figura, el DPD Delegado de Protección de Datos.

Deberéis de poneros en las manos de un Experto en Protección de Datos, hacer un análisis de riesgo de los tratamientos de Protección de Datos y determinar si se necesita una Evaluación de Impacto. (Como he mencionado todo en función de los datos y el trato de los mismos).

Esto lleva un proceso de trabajo, por lo tanto de tiempo, comentaros que si existe la necesidad de hacer la Evaluación de Impacto, dentro de la misma existe un proceso que es el realizar una Auditoria.  Hablamos de adaptar una empresa que ya existe, por lo tanto hay que ver si todo funciona acorde a lo que nos indica la ley de Protección de Datos y si existen todos los protocolos necesarios.

Para este trabajo podremos ser tan rápidos como, medios humanos ponga la empresa a nuestra disposición, (un equipo de personas que nos ayuden a tener los datos necesarios y con quienes se puedan trazar las nuevas formas de trabajo), pero realmente estaremos hablado de algún que otro mes.  Como os he indicado la aplicación al 100 % del nuevo reglamento será a partir de mayo del 2018, ir sacando cuentas.

Lo imprescindible, tal y como queda reflejado en la normativa, es contar con un Experto en Protección de Datos, que tenga Experiencia en la Normativa de Protección de Datos, Conocimiento de empresa, (que entienda como funcionan todos los departamentos, comercial, administrativo, informático, Marketing, etc.,), os recuerdo que tiene que auditar y sin conocimiento del funcionamiento de una empresa es difícil. Este Experto de Protección de Datos tiene que tener experiencia laboral en Protección de datos, por lo tanto contactar con profesionales que llevan años realizando Auditorias e Implantaciones. Del mismo modo la ley exige horas de formación y reciclaje en Protección de Datos. Esta cuestión es fácil de encontrar ya que para ser Expertos y tener un Nº de Registro o Certificado se nos exige entre otros puntos el haber realizado todas esas horas de formación, así como la obligación de reciclarnos y nosotros como otros muchos, el tener un seguro de Responsabilidad Civil. Ya que somos responsables de nuestros trabajos y en caso de no hacerlo debidamente seríamos nosotros los que correríamos con los gastos de una posible sanción.

REDACTANDO CLAUSULAS PARA EL CUMPLIMIENTO DEL DEBER INFORMATIVO A TRABAJADORES.

Buenos días, nos encontramos de lleno con la redacción de la nueva documentación exigida en el REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS, habituaros a ver ahora RGPD, este reglamento añade requisitos adicionales a lo que hasta ahora conocíamos.

  • Datos del contacto del Delegado de Protección de Datos, en su caso.
  • La base jurídica o legitimación para el tratamiento.
  • El plazo o los criterios de conservación de la información.
  • La existencia de decisiones automatizadas o elaboración de perfiles.
  • La previsión de transferencias a Terceros Países.
  • El derecho a presentar una reclamación ante las Autoridades de Control.
  • El origen de los datos.
  • Las categorías de los datos.

Llevo un par de horas elaborando un contrato”TIPO”, para trabajadores de una misma empresa, empresa que únicamente cede los datos a la empresa de Prevención de Riesgos Laborales.

Y digo TIPO ya que son la misma empresa, cada empresa tendrá las suyas, o si la empresa tiene delegaciones, tendrá que tener modificaciones y si existen distintos tipos de trabajador y los datos son tratados de distinta manera, deberán de existir otras clausulas distintas.  Debido a que realmente deberemos de hacerlas a la carta, tantas como necesite una empresa, adaptándonos a la realidad de la misma.

Hablamos de 9 páginas, y una vez montado con recuadros y bonito han quedado en 13 páginas. Por cada trabajador.

Y esto es únicamente las Clausulas para el deber de Información. Más las Clausulas de Uso Interno, más los Contratos de Permiso de Acceso a Datos y Justificantes de Formación.

De nuevo mi consejo es que os pongáis en manos de un Experto en Protección de Datos o en Manos de Un Delegado de Protección de Datos, en función de vuestras necesidades.

No dudes en pedir información en antonio.bernabeu@glaher.com

GUIA PARA EL CUMPLIMENTO DEL DEBER DE INFORMACIÓN.

TEXTO PERTENECIENTE A LA «GUÍA PARA EL CUMPLIMIENTO DEL DEBER DE INFORMACIÓN». Que podrá encontrar en la página oficial de la agencia de protección de datos.

 

 

El Reglamento General de Protección de Datos (en adelante, RGPD), publicado en mayo de 2016 y aplicable a partir del 25 de mayo de 2018, es una norma de aplicación directa en toda la Unión Europea, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. El RGPD sustituirá, a partir de mayo de 2018, a la actual Ley Orgánica de Protección de Datos (en adelante, LOPD) y al Reglamento RD-1720/2007, que la desarrolla, e introduce una serie de cambios y novedades a los cuales es necesario adaptar los actuales tratamientos, con anterioridad a la fecha de su plena aplicación

 

 

A partir de ahora, el RGPD añade requisitos adicionales en cuanto a  la necesidad de informar a las personas interesadas, generalizando el concepto de “Tratamiento”, e  incorporando, en líneas generales, los siguientes detalles:

 

  • Los datos de contacto del Delegado de Protección de Datos, en su caso,

 

  • La base jurídica o legitimación para el tratamiento,

 

  • El plazo o los criterios de conservación de la información,

 

  • La existencia de decisiones automatizadas o elaboración de perfiles,

 

  • La previsión de transferencias a Terceros Países

 

  • El derecho a presentar una reclamación ante las Autoridades de Control

 

Y además, en el caso de que los datos no se obtengan del propio interesado:

 

  • El origen de los datos

 

  • Las categorías de los datos

 

 En consecuencia, los procedimientos, modelos o formularios diseñados de conformidad  con la LOPD  deberán ser revisados y adaptados por los Responsables de Tratamientos con anterioridad a la fecha de plena aplicación del RGPD, incorporando los nuevos requisitos de acuerdo con las directrices que se proporcionan en esta guía. Puesto que los nuevos requisitos amplían y no contradicen la obligación de informar establecida en la LOPD, se recomienda revisar y aplicar dicha adaptación cuanto antes.

2.- NOTAS SOBRE ALGUNOS PUNTOS QUE RECOGE EL NUEVO REGLAMENTO DE PROTECCIÓN DE DATOS.

Para los Responsables de Tratamiento.

Responsabilidad Activa y Demostrable.

 

El reglamento prevé que los responsables aplicaran las medidas técnicas y organizativas apropiadas para garantizar y estar en condiciones de demostrar que el tratamiento de los datos personales se lleva a cabo de conformidad con el mismo.

En otros términos. El reglamento considera insuficiente el no incumplir, es más, incluye obligaciones dirigidas a prevenir estos incumplimientos.  Por lo tanto la no aplicación de estas medidas es sancionable.

Tipos de medidas:

  • Registro de Actividades de Tratamiento
  • Medidas de Protección de Datos desde el diseño o supervisión de las ya existentes, modificándose en la medida que se entienda para conseguir el cumplimiento.
  • Medidas de Protección de Datos por Defecto.
  • Medidas de Seguridad Adecuadas.
  • EVALUACIONES DE IMPACTO.
  • Autorización Previa o Consultas previas con la Agencia de Protección de Datos.
  • DELEGADO DE PROTECCIÓN DE DATOS.
  • Notificación de Quiebros de Seguridad.
  • Códigos de Conducta y Esquemas de Certificación.

Para cumplir con estos puntos adecuadamente recomendamos dejarse asesorar por el Delegado de Protección de datos, como experto tiene conocimientos demostrados para logar su correcto desarrollo.

1.- NOTAS SOBRE ALGUNOS PUNTOS QUE RECOGE EL NUEVO REGLAMENTO DE PROTECCIÓN DE DATOS.

Responsable del Fichero = Empresa.

Es sobre quien recae la responsabilidad última, ya que es quien determina la existencia del tratamiento y su finalidad.

Que tenemos que tener en cuenta a la hora de efectuar la elección del Encargado de tratamiento.

Ejemplos de Encargados de tratamiento.

  • Asesor Contable.
  • Asesor laboral.
  • Informático.
  • Empresas de Software
  • Empresas de marketing.

 

Elección del Encargado de Tratamiento.

Antes el reglamento de Desarrollo de la LOPD establecía entre otras la necesidad de diligencia debida en la selección de Encargados.

Ahora, según ley, los responsables deberán de elegir únicamente encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme a los requisitos que establece el Reglamento.

Por lo tanto, no solo deberemos de cumplir nosotros con la LOPD, si no que debemos de exigir que los encargados de tratamiento con quienes trabajemos cumplan con las exigencias establecidas para ellos, pensemos que les damos voluntariamente los datos que nosotros debemos de proteger y de los que somos responsables.

Por desgracia hemos podido constatar durante el desarrollo de nuestra actividad como Expertos en Protección de Datos con Certificado, la existencia de profesionales que ejercen como Encargados de Tratamiento que incumplen con la Ley de Protección de Datos. Y esto solo quiere decir que si ellos no cumplen nosotros podemos ser sancionados ya que hemos facilitado datos Personales a empresas o personas que no pueden garantizarnos su correcto manejo y seguridad.

Obligaciones Específicas para Encargados.

Los Responsables del Fichero tienen obligaciones propias establecidas por la RGPD, responsabilidades no circunscritas al ámbito del contrato que tenemos con los Responsables de Tratamiento.

Estas obligaciones pueden ser objeto de supervisión separadamente por parte de las autoridades de protección de datos.

Como puede Ser:

  • Mantener un registro de Actividades de Tratamiento.
  • Determinar las Medidas de Seguridad Aplicables a los tratamiento que se realizan,
  • Designar un Delegado de protección de Datos en los casos previstos por el Registro General de Protección o Datos o un Experto en protección de datos si el delegado no fuese exigible.

 

Que es un Delegado de Protección de Datos.

Es un Experto en Protección de Datos, con certificado, con conocimientos sobre la Ley, demostrables, Experiencia, conocimientos sobre el funcionamiento de empresas y en materias de Informática y Organización.

NOTA 1 SOBRE EL NUEVO REGLAMENTO.

Cada vez está más cerca el 25 de abril del 2018, fecha donde entrara en plenitud el nuevo reglamento Europeo de Protección de Datos.

Las empresas tienen la obligación de ir adaptándose a este nuevo reglamento, nuestro consejo es no esperar a comenzar en esta fecha, sino tener toda la documentación adaptada y elaborados las Evaluaciones de Impacto pertinentes para su presentación. cuando estas sean necesarias.

Como bien sabréis no todas las empresas precisan de un DPD Delegado de Protección de Datos, pero sí que se aconseja que para las que no precisen de DPD trabajen con Expertos en Protección de Datos. Recordaros que al final las empresas y empresarios seguimos siendo los verdaderos responsables.

Sabemos que deberemos de contar con un DPD:

.- Cuando el tratamiento lo lleve a cabo una autoridad u organismo público.

.- Cuando las actividades principales del responsable o el encargado de tratamiento consistan en operaciones de tratamiento que requieran seguimiento regular y sistemático.

.- Cuando las actividades consistan en tratamientos a gran escala de categorías especiales de datos.

.- Cuando estos datos personales estén relacionados con condenas y delitos penales.

Recordemos que los datos biométricos para la identificación exclusiva de personas físicas es un dato de nivel alto o sensible, como queramos definirlo.

Que sería un dato a gran escala:

.- Un alto número de interesados involucrados.

.- El volumen de datos o el abanico de diferentes conceptos de datos que se procesan.

.- La duración o permanencia, de la actividad de tratamiento de datos.

.- El alcance geográfico de la actividad de tratamiento.

 

En la web de la Agencia Española de Protección de Datos podréis encontrar las directrices sobre delegados de protección de datos, de forma que entendamos como interactuar con ellos y que servicios pueden ofrecernos, así como las obligaciones establecidas para cada una de las partes.

Desarrollo de la herramienta ArchivadorQR por parte de BeCLAUD.es

Esta semana ha terminado uno de los proyectos en los que colabora Glaher, como Asesores en Protección de Datos, y BeCLOUD. No obstante seguimos manteniendo mesas de trabajo para poder ofrecer en breve otros proyectos que sin duda serán de gran interés para nuestros clientes y los clientes de BeCLOUD.

BeCLAUD nos planteo una de las inquietudes de sus clientes y a su vez uno de los problemas que nos encontramos en numerosas empresas, la estructura e identificación de las carpetas de ficheros, los conocidos como A/Z.

Para el desarrollo de esta primera parte del trabajo se ha tenido en cuenta dos aspectos.

  • La falta de espacios habilitados que cumpla los requerimientos de seguridad.
  • La forma de tener una fácil identificación de la información contenida.

En este proyecto nos hemos centrado en el tema de identificación.

Es un hecho que la identificación inmediata de los datos de nuestros clientes/proveedores en los lomos de los archivadores a simple vista va en contra del derecho a la intimidad de estos clientes/proveedores, por lo que es muy recomendable una correcta y efectiva codificación de la información que alberga cada carpeta.

Tal y como se recoge en el articulo 101 en su punto 1 de la Ley Orgánica 1571999, de 13 de diciembre. Donde deja dice que la identificación de los soportes se deberá realizar utilizando sistema de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los y documentos identificar su contenidos, y que a su vez dificulten la identificación para el resto de personas.

Para esta gestión de identificación BeCLOUD.es ha desarrollado una herramienta informática  y que estoy convencido les será de gran utilidad. ArchivadorQR.

El cumplimiento de la Ley de Protección de Datos nos obliga a utilizar sistemas de identificación que solo los trabajadores de la empresa comprendan y esta herramienta será de gran ayuda ya que simplificara el trabajo.

Como les he comentado en breve presentaremos nuevas herramientas informáticas que conseguirán que su empresa cumpla perfectamente con la LOPD.

Aprovechamos para recordarles la importancia de los protocolos de gestión de documentos y de actuación, en caso de filtraciones o perdidas de datos, que las empresas están obligados a incorporar. Glaher desarrolla para su empresa estos protocolos, tanto a la medida, como a la realidad de su empresa, recuerde que su empresa se gestiona acorde a su gusto, por lo que las adaptaciones son personalizadas.

 

CALIFICACIÓN DE NUESTROS FICHEROS.

Como sé si tengo bien calificado en el nivel de seguridad mis ficheros.

Hagamos una pequeña comprobación, cuestiones mínimas entendibles.

Nivel Básico: Nombre, DNI, Dirección, Teléfono, población, e-mail, Nº SS, Firma, Imagen,  Académicos, Profesionales.

Nivel Medio: Comisión de Infracciones Administrativas, Servicios de Solvencia, Patrimoniales, Datos Financieros, Datos Económicos, Hacienda Pública, Mutuas, Enfermedades,

Nivel Alto: Ideología, Afiliación Sindical, Religión, Origen Racial,  Salud, vida Sexual, Violencia de Género. Ficheros de los que sean responsables operadores que presten servicios de comunicación electrónica.

Siguiendo estas notas nos encontramos muy habitualmente con el siguiente caso.

Fichero Nombrado como Fichero Clientes, quien ha realizado el alta del fichero en la AEPD ha utilizado una plantilla que existe como guía, en esta plantilla existen indicados unos campos previos, eso no quiere decir que no hay que ampliarlos o que debemos crear más campos  en caso de ser necesario. Los datos previos creados son fiscales.

Pero no es lo mismo un cliente de una Tienda de Ropa, un cliente de un Medico o un cliente de un Banco.

Todos tienen los datos fiscales, evidentemente hay que identificar a la persona o empresa con la que trabajamos. DATOS DE NIVEL BÁSICO.

Ahora bien.

La tienda de ropa solo llega a este nivel de información, por lo tanto el nivel de creación de su fichero es Nivel Básico.   No deja de ser un fichero de Clientes.

El Banco, aparte de los datos identificativos, tiene como mínimo nuestros datos Económicos  y para todo nos pide un aval, por lo que también tiene nuestros datos Patrimoniales, lo que quiere decir que su fichero de clientes ya tiene más campos, y estos campos hace que su Fichero sea de Nivel Medio. No dejando de ser un fichero de Clientes.

El Médico, aparte de los datos identificativos, tiene como mínimo datos de Salud,  en función de su especialización tendrá datos de informes como Analíticas, Operaciones, Enfermedades, etc., como podemos ver son campos a incluir en su fichero de clientes y estos datos de salud lo convierte un  Fichero de Nivel Alto. No dejando de ser un fichero de Clientes.

Por lo tanto, no es únicamente el tener el fichero dado de alta, lo importante es tener el fichero Calificado de forma correcta y que en este fichero estén indicados los campos que realmente almacenamos en nuestras Carpetas de Clientes y no menos importante el qué hacemos con estos datos.

Cada profesión utiliza un tipo de datos y cada profesional necesita crear los campos que él realmente utiliza.

Como siempre recordar que vosotros sois los únicos responsables de vuestras empresas y que en caso de inspección, debidos a esa mala calificación (ya que almacenáis y manejáis más datos de los indicados), podríais ser sancionados. Y quisiera hacer un especial hincapié en el tema revisiones y Auditorias.

Si deseáis más información o necesitáis que se os solucione alguna cuestión, no dudar en enviarme un e-mail al correo antonio.bernabeu@glaher.com os responderé en el menor tiempo posible.

CÓDIGO DEONTOLÓGICO.

Casi todos los profesionales estamos acogidos a un código deontológico, donde uno de los principales puntos es el de guardar secreto de las confidencialidades, de los datos  e información de nuestros clientes.

 

Hoy día los sistemas informáticos nos facilitan el manejo y archivo de toda la información, de manera que ocupan menos espacio físico, pocos A-Z ya podemos ver por nuestros despachos. Pero no menos cierto es que estos sistemas informáticos son cada vez más vulnerables y están expuestos a piratas informáticos.

 

El manejo de los datos es el verdadero poder de nuestro tiempo, y si encima estos piratas manejan nuestros datos confidenciales podrían hacernos chantaje, perder prestigio e incluso hacernos incurrir en delito, con las consiguientes sanciones económicas, ya que no solo almacenamos nuestros datos, sino los datos de nuestros clientes, todo lo concerniente a nuestra empresa y las relaciones con otras empresas y personas.

 

La nueva oleada de virus, no solo hace que nos quedemos sin información, sino que ademas capitalizan las organizaciones mafiosas, dotándolas cada vez de mas poder. Cuando hablamos con muchos empresarios nos encontramos que creen que son cosas del pasado y que están a salvo, hasta que les pasan a ellos. El ataque con éxito al Ministerio del Interior Español deja claro que nadie esta a salvo sin una prevencion extrema, fuente: El Confidencial 2.106. Una media de 1,3 millones de euros es el coste medio de la empresa española, lejos de los 2,16 millones medios anuales pero preocupante por su rápido crecimiento, fuente: El Confidencial 2.016

 

Por ello desde Glaher desarrollamos los protocolos adaptados a vuestras empresas para evitar cualquier pérdida de datos, asesoramos sobre las medidas a tomar en cada momento y auditamos vuestros sistemas informáticos, de manera que no tenga fisuras, a la vez formamos al personal que tiene acceso a los mismos.

Al contratar los servicios de glaher conseguirás que tu empresa cumpla en lo concerniente a la Ley de Protección de Datos y que todos tus empleados estén debidamente informados y formados sobre los protocolos de seguridad y sobre sus obligaciones frente a la LOPD.

NOTAS SOBRE INSTALACIÓN DE CÁMARAS EN COMUNIDADES.

1.- CONSENTIMIENTO PARA LA INSTALACIÓN

Para la instalación de cámaras en zonas comunes será necesario el acuerdo de la Junta de Propietarios y quedará reflejado en las actas de dicha junta.

Será recomendable el que en dicho acuerdo se reflejen algunas de las características del sistema de videovigilancia a instalar, como son el número de cámaras y el espacio de captación de dichas cámaras.

 

2.- FICHERO.

Siempre que vayan a grabarse imágenes de personas y previa su captura, se procederá a la inscripción del fichero pertinente en el Registro General de Protección de Datos.

 

3.- DEBER DE INFORMACIÓN.

Se instalaran en los distintos accesos a la zona videovigilada y en lugar visible, uno o varios carteles que informen que se accede a una zona videovigilada.

En Dicho cartel debe de informarse de forma clara la identidad del responsable, en este caso la comunidad y a quien o donde debe de dirigirse para ejercer sus derechos.

4.- INSTALACIÓN.

Las cámaras únicamente podrán captar imágenes de las zonas comunes de la comunidad.

No podrán captarse imágenes de la vía pública, excepto de una franja mínima de los acceso a la comunidad.

La contratación de un servicio de videovigilancia externo o la instalación de las cámaras por una empresa externa no exime de la obligatoriedad del cumplimiento de la legislación en lo concerniente a protección de datos.

5.- MONITORES YA VISUALIZACIÓN DE IMÁGENES.

El acceso a las imágenes estará restringido a las personas designadas por la comunidad de propietarios, en mi condición de experto siempre aconsejo la grabación, pero no la visualización, las imágenes serán vistas por  las fuerzas de seguridad en caso de siniestro o reclamación.

En ningún caso estarán accesibles a los vecinos.

6.- SISTEMA DE GRABACIÓN.

El sistema de grabación se ubicará en un lugar vigilado o de acceso restringido. A dichas imágenes accederá únicamente el personal autorizado, el acceso será mediante código y contraseña.

Las imágenes serán conservadas durante un palazo máximo de un mes desde su captación.

Las imágenes que se utilicen para denunciar delitos o infracciones se acompañaran a la denuncia y será posible su conservación para ser entregadas a las Fuerzas y Cuerpos de Seguridad o a los Juzgados y Tribunales que las requieran. Sin poder ser utilizadas con otro fin. Generalmente los cuerpos de seguridad serán quienes custodien esas imágenes.