¿Qué es la Ley de Protección de Datos y Garantía de Derechos Digitales? Desde nuestra gestoría online queremos explicarte cómo funciona. ¿Es realmente obligatorio aplicar la implantación de la LOPD-GDD a nuestro negocio? Si te queda alguna duda, comenta y GesTron intentará ayudarte al respecto.
Definición de Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales: La Ley de Protección de Datos y Garantía de Derechos Digitales (LOPD-GDD) es la normativa que se encarga de regular el correcto uso de datos de carácter personal de terceros. Pero no es la única ley que afecta a este ámbito tan delicado de tu negocio. Ahora veremos cómo funciona todo este rollo.
Aunque la Ley de Protección de Datos y Garantía de Derechos Digitales no sólo interviene en el ámbito empresarial, prácticamente cualquier negocio se ve afectado por ella. Y es que resulta que toda empresa que trate con datos sensibles está obligada a ajustarse a sus exigencias y a una serie de requisitos ineludibles desde la aplicación de la ley el 7 de diciembre de 2018, así que debemos de tener ojito a ella.
¿Sabes si tu negocio debe plantearse la implantación LOPD-GDD para empresas?
Cuando hablo de tratar con información personal o sensible de terceros, me refiero a que cualquier dato de esta naturaleza se vea implicado en alguno de los procesos, cotidianos o no, de la empresa en cuestión.
Por ejemplo, estaríamos hablando de gestión de datos personales y, por ende, sería necesario acogerse a la normativa de la Ley de Protección de Datos de Empresas y Gestión de Derechos Digitales, si contamos con una base de datos de clientes, si usas datafono (pago telemático con tarjeta electrónica), tienes cámara de videovigilancia, recibes currículos, etc.
Como ves, tratar con datos personales es más común de lo que uno puede plantearse en un principio. Esto nos llevaría al siguiente paso, ¿es obligatorio regularizar este tema?
Implantación LOPD-GDD en mi negocio
El debate sobre la obligatoriedad de la implantación de la LOPD-GDD en una empresa no existe realmente. Cumplir con los requisitos de la normativa de la Ley de Protección de Datos Personales y Garantías de Derechos Digitales es un tema totalmente obligatorio a nivel legal. Siempre. Siempre que trates con datos sensibles de terceros, como te he explicado antes.
La correcta implantación LOPD-GDD en tu negocio va más allá de ser un mero trámite que llevamos a cabo para evitar sanciones. Conlleva una declaración de intenciones para con nuestros públicos –trabajadores, socios, colaboradores, proveedores, clientes actuales o potenciales, personas que hayan solicitado información sobre algún servicio o que hayan accedido a darte acceso a datos de carácter personal, etc.-.
Es decir, los “incentivos” para cumplir con la normativa de la LOPD-GDD existen, ya que una empresa puede ser sancionada duramente de no acogerse de forma adecuada a la regulación vigente. Y, sin embargo, seguir de forma adecuada la Ley de Protección de Datos Personales y Garantía de Derechos Digitales implica no solo esquivar la bala de la multa de turno, sino hacer de tu empresa un ente más competitivo, respetuoso con sus stakeholders y con la confianza que depositan en tu negocio al suministrar información sensible.
La cumplimentación de la Ley de Protección de Datos y Garantía de Derechos Digitales en tu negocio,
se refleja directamente en la forma en la que te perciben tus clientes.
¿Cómo funciona la LOPD-GDD?
No te asustes, ya que esta ley no es más que la adaptación de la ya “difunta” Ley Orgánica de Protección de Datos, actualizada por última vez el 24 de mayo de 2018, al Reglamento General de Protección de Datos de la Unión Europea. Entre las novedades que presenta este nuevo texto se encuentra:
· MARCO DE APLICACIÓN
La LOPD-GDD tendrá vigencia de cara a los siguientes tratamientos:
- Datos de empresarios individuales y de profesionales liberales.
- Sistemas de información crediticia
- Operaciones mercantiles
- Videovigilancia
- Sistemas de exclusión publicitaria
- Canales de comunicación y denuncias
· PROTECCIÓN DE MENORES
El texto hace un mayor hincapié en materia de protección de menores; Sólo será válido el consentimiento cuando la persona sea mayor de catorce años, necesitando autorización del tutor en caso contrario.
· CONTROL DE DATOS PERSONALES
Para evitar acciones como los perfilados del usuario a través de los gustos para un uso comercial sin permisos previos, la LOPD-GDD otorga el pleno control de los datos personales al usuario, exigiendo siempre el consentimiento para su utilización.
· INFORMACIÓN DEL USO DE DATOS
Debido al punto anterior, se exige a las empresas que detallen de manera clara, sencilla y concisa la posible utilización de los datos que les son cedidos. Que no vale hacer el lío en resumidas cuentas. Las multas ascienden hasta los 20 millones de euros.
· CONSERVACIÓN DE DATOS
La información personal cedida a las empresas deberá almacenarse de manera consecuente a la utilización de la misma. Si la persona que cedió los datos quiere acceder a ella mientras está almacenada, siempre tendrá derecho a ello, inclusive a exigir una copia e información adicional relevante.
· PORTABILIDAD
Si una empresa trata datos personales con un previo consentimiento del individuo, este puede pedir que sean transferidos a él o a otra empresa.
En Ayuda T Legal, disponemos del documento pertinente para solicitar a las empresas la portabilidad de datos de manera formal y correcta.
· INTIMIDAD DE LOS TRABAJADORES
De cara a sistemas de videovigilancia o grabación de sonido en el área laboral, la ley protege al trabajador y su derecho a la intimidad, con la prohibición de filmar áreas de descanso y espacios similares designados para el ocio. Del mismo modo sucede con dispositivos facilitados por la empresa a sus trabajadores, como los smartphones y sus sistemas de geolocalización que deberán ser informados a los trabajadores.
· DERECHO AL OLVIDO
No todo lo que se encuentra en la red permanece en ella para siempre… La ley LOPD-GDD tiene como uno de sus puntos clave el derecho al olvido, estableciendo el derecho a la eliminación de datos en redes sociales y servicios equivalentes. En Ayuda T Legal disponemos del documento pertinente para solicitar a las empresas la cancelación de datos de manera formal y correcta.
· DATOS DE PERSONAS FALLECIDAS
En este caso las personas vinculadas al fallecido por cuestiones familiares pueden solicitar el acceso a estos datos compartidos, su rectificación o supresión.
· FICHERO DE MOROSIDAD
Una de las grandes novedades: Se establece como cantidad mínima para la inclusión en estas listas la cifra de 50€. También se regula de manera que se reduce de 6 a 5 años el periodo máximo para la inclusión de deudas.
· BRECHAS DE SEGURIDAD
Ante la pérdida de datos personales dentro del ámbito empresarial, la empresa debe comunicar el incidente en una franja de 72 horas como máximo desde el conocimiento de la situación. Las notificaciones deberán ser realizadas ante la Agencia Española de Protección de Datos (AEPD), siempre y cuando se vean afectados los derechos fundamentales de los usuarios.
· DELEGADO DE PROTECCIÓN DE DATOS
Adicionalmente a lo establecido en el RGPD, el artículo 34 introduce la obligación de designar un responsable en diversas entidades que deberán comunicar esta designación, pudiendo ser persona física o jurídica este responsable. Así que si estás pensando delegar la función, en Ayuda T Legal encontrarás a los profesionales más cualificados para ello.
· CONTABILIDAD
Cada pago a proveedor, cada cobro de cliente, el pago de seguros sociales… Todo lo relacionado con transacciones monetarias, bancarias o creditarias de la empresa debe quedar reflejado, incluyendo todos los movimientos de tesorería.
De la LOPD a la RGPD (Reglamento General Europeo de Protección de Datos), a la LOPD-GDD en 2019
Pero no sé si sabes que la normativa se actualiza. Pues sí, lo hace. La vigente actualmente es la LOPD-GDD.
Te explico qué ha ocurrido y cómo funciona esta movida. Resulta que la LOPD (Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal), era la normativa aplicable en España hasta la actualización del reglamento a nivel europeo.
El 25 de mayo de 2018 pasó a ser de obligado cumplimiento el nuevo Reglamento General de Protección de Datos (RGPD) en toda la unión.
Un cambio que nos hizo ponernos las pilas a todo aquel que contaba con un negocio. Desde la aplicación de la nueva normativa, las pymes, autónomos o cualquier negocio que infrinja la Ley de Protección de Datos, puede enfrentarse a multas de hasta 600.000 de euros, en función de la gravedad de la infracción.
La LOPD-GDD es el resultado de aplicar la actualización
de la normativa europea a nivel nacional
Entre las exigencias del nuevo reglamento de la RGPD se contempló la inclusión de sistemas de cifrados o con doble autenticación, aun tratándose de información sensible de carácter básico. También medidas como la obligación de implantar sistemas de cifrado y de doble factor de autenticación, incluso sobre los datos considerados de nivel básico, si el riesgo así lo exige.
También se nos obligaba a comunicar las posibles taras o fugas de información en los sistemas de seguridad su cupiese la posibilidad.
La LOPD-GDD no es más que la aplicación de las exigencias del RGPD, en la formulación de una nueva ley orgánica aplicable y ajustada al contexto de España.
LOPD-GDD y LSSI: relación y cómo afectan a tu negocio
La Ley del consumidor, la LOPD-GDD (Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales) y la LSSI (Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico), están estrechamente relacionadas. Cada normativa da cobertura legal a distintos ámbitos, aunque todos relacionados con la protección de datos sensibles en el desarrollo de alguna actividad económica y prestación de servicios.
Pero ¿en qué consiste cada una y cómo funciona esa relación? Te explico en qué consiste.
Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias
Regula los derechos básicos de los consumidores y usuarios, las asociaciones de consumidores y usuarios, la potestad sancionadora en materia de consumo, los procedimientos judiciales y extrajudiciales de protección de los consumidores y usuarios, los contratos celebrados por los consumidores y las empresas, las garantías y servicios postventa, la responsabilidad civil por bienes o servicios defectuosos…
LSSI: Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información y del Comercio Electrónico
Establece las reglas necesarias para que la actividad económica generada online, sea una experiencia positiva, segura y confiable. Es decir, si tienes un negocio online, tendrás que plantearte seriamente estar cumpliendo con la LSSI de forma adecuada. Se aplica a los siguientes servicios relacionados con Internet:
- Comercio electrónico.
- Contratación en línea.
- Información y publicidad.
- Servicios de intermediación.
Si recibes ingresos directos por las actividades que lleves a cabo o indirectos (por publicidad, patrocinio o derivados) tendrás que contemplar la LSSI. Es bastante recomendable contar con un experto bien en plantilla o bien a través de la contratación de un servicio, para llevar a cabo una auditoría legal e la web y de su forma de establecer comunicaciones. En concreto, se deben analizar:
- Revisar toda la página web para comprobar que cumple todos los requisitos de la LSSI.
- Cumplimentar la información sobre tu sitio web con el contenido legal que no esté presente.
- Auditar todas sus campañas de marketing y comunicación respecto a la LSSI.
¿Qué trae de nuevo la normativa RGPD?
El principio de responsabilidad proactiva
del nuevo Reglamento General de Protección de Datos a nivel Europeo
El RGPD describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.
En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo.
A partir de este conocimiento, como empresario, debes determinar de forma explícita la forma en que aplicas las medidas que el RGPD prevé, asegurándote de que esas medidas son las adecuadas para cumplir con el mismo y de que puedes demostrarlo ante los interesados y ante las autoridades de supervisión.
En resumen, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.
Las principales cuestiones que habrá que tener en cuenta de cara a la aplicación de la LOPD-GDD son:
- Relación contractual.
- Intereses vitales del interesado o de otras personas.
- Obligación legal para el responsable.
- Intereses vitales del interesado o de otras personas.
- Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.(Cesiones de datos).
El consentimiento.
Debe ser inequívoco, es decir, debe estar súper claro de forma tácita, que este consentimiento se ha prestado a través de una manifestación del interesado o mediante una clara acción afirmativa.
Además, como te mencionaba, debe ser explícito, además de claro, conciso y directo en las siguientes situaciones:
- Tratamiento de datos sensibles.
- Adopción de decisiones automatizadas.
- Transferencias internacionales.
Un responsable de la LOPD-GDD obligatoriamente en cada negocio
No sé si lo sabías, pero desde la aplicación del RGPD y ahora, con la LOPD-GDD, se obliga a las empresas a contar con una persona capaz de gestionar y garantizar el cumplimiento de la normativa, en los distintos procesos que desarrolle la empresa para los que se traten datos personales de cualquier tipo.
Sus funciones son, en resumen:
- Informar y asesorar ante posibles situaciones de incumplimiento de normativa en los distintos procesos y áreas de trabajo, en los que se involucren datos personales de terceros.
- Supervisar su cumplimiento. Realizar auditorías y cerciorarse de que las posibles desviaciones se gestionan de forma correcta.
- Ser la voz de la empresa ante los usuarios propietarios de los datos personales cedidos al negocio.
Esta persona puede ser el gerente y propietario del negocio o un trabajador en plantilla, aunque también puede ponerse en manos de una agencia especializada. Si quieres encargarte de este tema tú mismo, haz clic en el botón que te dejo a continuación:
¿Lo hago o delego?
Pues esto es como siempre. También puedes presentar tú mismo los modelos de Hacienda o defenderte frente a un juez. Si la situación, bajo tu criterio, no lo exige, o si te ves capacitado para gestionar la adecuación de todos los procesos de tu empresa a la implantación LOPD-GDD, genial.
Si prefieres asegurarte o buscas el valor añadido de un servicio profesional, que garantice la adecuación inexorable y segura de tu empresa a la RGPD, entonces quizás debas dejarlo en las manos de un consultor LOPD-GDD experto, que se encargue de todas las vicisitudes legales y la realidad de tu empresa en cuanto a la normativa.
Al final, puedes ver la aplicación de la Ley de Protección de Datos y Garantía de Derechos Digitales como un valor agregado en tu negocio, una oportunidad que mejorará tu posicionamiento como marca respecto a tus clientes, al generar confianza y reflejarse como un ente responsable frente a estos, así como de cara el resto de públicos con los que te relacionas.
¿Qué piensas tú sobre la Ley de Protección de Datos, la adecuación a la nueva RGPD y su obligatoriedad?
he sido despedida improcedentemente ,puedo pedir toda la documentacion de mi despido a la empres ,,se han basado en expedientes que no existen
¡Buenos días Cristina!
Lo siento por tu despido, pero no sé cuál es tu duda exactamente.
¡Un cordial saludo!
Buenos días,
Tengo la empresa cerrada y sin actividad. ¿Me afecta esta norma o solo me afectara cuando vuelva a la actividad?
Gracias
Hola Danem,
Cuando inicies tu actividad tendrás que haber adaptado todos tus procesos desde el momento 0.
Tengo un pequeño comercio, no tengo empleados, sin presencia en la red me afectaría el LOPD??
Hola Ángeles,
Si recibes CV, usas cámara de videovigilancia o recibes pagos con datáfono, sí.
No entiendo por qué se incluye lo del datáfono, en el recibo que se queda el comercio no aparece ningún dato personal del cliente.
Hola Ricardo,
En el datáfono si compartes documentación privada, como por ejemplo el número de tarjeta, y con ella los datos del cliente.
Saludos 😀
Hola!
Tengo una web con mis datos para que los clientes me contacten (email o teléfono) y además un formulario de contacto. Mi servicio es de organización de bodas y no cobro nada online.
Y luego tengo las redes sociales.
Quitando el formulario de contacto ya evitaría todo este lío? Gracias!
Hola Valeria,
Hay una serie de factores que hay que revisar pero, en general, debes asegurarte que cuando vayas a operar con cualquier tipo de información de carácter sensible, la persona que proporciona esos datos debe aceptarlo de forma tácita. Por ejemplo, lo del formulario que comentas, no puede haber un «Acepto términos y condiciones» ya seleccionado por defecto.
Buenos días, soy arquitecto técnico autónomo. Me afectaría la LOPD? De que forma?
Gracias.
Hola SEVE,
Sí, siempre que trates con datos sensibles de tus clientes, tengas página web u otro sitio online, por ejemplo. Si quieres que estudiemos tu caso, pásanos tus datos de contacto a gestron@ayudatpymes.com y te orientaremos un poco.
Creo que esta ley solo es un saca-dineros del monopolio de la destrucción de documentos. No paro de ver artículos como este ofreciendo servicios de eliminación de documentación y tal.
Hola Alfredo,
La cosa pasa más por regular procesos que por destruir información. Eso puede hacerlo uno mismo, no sé… Pero para todo siempre hay alguien dispuesto a sacar tajada.
Gracias por el comentario.
Bueno, también habría que ver como la aplica VODAFONE, BBVA o JAZZTEL. Pese a estar en Lista Robinson y pedir por escrito la baja en varias ocasiones, siguen enviando SPAM y poniendo trabas. No hacen caso de la baja y me cuesta tiempo y dinero. Para los autónomos, otro gasto más difícil de soportar