Regulación RGPD

Adecuación empresas y autónomos

Redprodat se dedica principalmente a regularizar empresas y autónomos en materia de protección de datos.

Redprodat se dedica principalmente a regularizar empresas y autónomos en materia de protección de datos.

Para conseguir dicha adecuación, se tiene en cuanta la actual normativa europea, Reglamento Europeo de Protección de Datos del 2016 (RGPD) y la Ley Orgánica de Protección de Datos 3/2018. (LOPD) y por otra parte la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSIIce)

Hoy tenemos una legislación que ha variado la mentalidad respecto a la protección de datos en el sentido de que las políticas empresariales deben de ser pro-activas, lo que supone implementar todas las medidas tanto técnicas como organizativas que garanticen la seguridad de los tratamientos y la información confidencial que custodia una empresa.

¿Con qué medidas se traduce y qué obligaciones supone?

La adecuación de una empresa mercantil supone obligatoriamente las siguientes acciones:

– Política respecto a los derechos Arco.

Protocolos implementados para garantizar que personas afectadas por los tratamientos que su empresa realiza, puedan ejercer sus derechos y estos sean atendidos correctamente. Vienen a ser las hojas de reclamación en materia de protección de datos que cualquier afectado les podría solicitar, ya sea porque le han remitido publicidad y este no la desea o porque quiere extinguir la relación con Ustedes, u otros, etc.

– Protocolo de Seguridad.

Antiguamente se denominaba Documento de Seguridad, y es un documento interno de la empresa donde se establecen los distintos protocolos de seguridad, como la política de contraseñas, de perfiles de acceso, de copias de seguridad, entre otros. Es un documento que debe ser accesible al personal autorizado de la mercantil y de obligado cumplimiento.

Este Documento es un documento interno –de cumplimiento obligatorio para todos los usuarios del sistema-, vivo en el sentido que concibe los cambios de la empresa que afecten a sus datos – ya sean altas y bajas de usuarios, equipos informáticos, modificación de protocolos de seguridad, distintas incidencias acaecidas, entre otros, y únicamente accesible a los colaboradores o empleados que traten la información en las instalaciones de la mercantil.

La existencia del Documento se deriva de una exigencia legal, y solo será exigible su exhibición en dos casos: Para eventuales inspecciones por parte de personal de la Agencia de Protección de Datos y parcialmente para los usuarios afectados de la mercantil.

En este se relacionarán todos los procedimientos de seguridad concretos de la mercantil y se describirán las funciones, obligaciones y responsabilidades de cada una de las figuras jurídicas.

En este punto se añaden los protocolos que acreditan la política pro-activa de la entidad. Especialmente el protocolo de comunicación de violaciones a la Autoridad, entre otros.

– Registro de Actividades de los tratamientos (Novedad RGPD)

La obligación de llevar un Registro de Actividades afecta a las entidades donde en el tratamiento de datos concurra alguna de las siguientes condiciones:

-Se emplee a un mínimo de 250 personas

-Pueda suponer un riesgo para los derechos y libertades del interesado y no tenga carácter ocasional

-Se traten categorías especiales de datos

-Se traten datos relativos a condenas y delitos Penales

Este documento se puede integrar en el Protocolo de Seguridad de la empresa, y viene a sustituir a la inscripción de Ficheros que se realizaban frente a la Agencia Española de Protección de Datos.

Por cada tratamiento, se deberá registrar una serie de datos como los fines del tratamiento, la descripción de las categorías de interesados y de datos, datos de contacto del Responsable, plazos de supresión, entre otros aspectos.

– Contratos con terceros.

Estos contratos pretenden regular cualquier transmisión o cesión de datos existentes entre el Responsable del Tratamiento y los Encargados de Tratamiento, que son entidades que prestan distintos servicios externos como puede ser la gestión laboral, prevención de riegos, control de presencia laboral, contable, jurídica, etc, que supone el acceso a bases de datos personales del Responsable. También se deben confeccionar contratos con entidades que su personal accede a las instalaciones del Responsable como la empresa de saneamiento e higiene.

Los contenidos de los contratos estipulan que datos se ceden, objeto del servicio, el motivo de la referida cesión, y sobre todo se delegan responsabilidades a la entidad cesionaria que manifestara su compromiso de adecuación a la Ley, además de limitarse el tratamiento contratado a la finalidad descrita.

Los Encargados deben garantizar el cumplimiento de la normativa y los Responsables deben realizar controles de idoneidad sobre estos.

– Clausulas y documentos específicos según el caso.

Según la normativa del RDGP, las empresas tienen el deber de informar sobre la base jurídica del tratamiento, la finalidad, la dirección del responsable donde dirigirse en caso de querer ejercer los derechos que le corresponden que son concretamente los derechos de acceso, rectificación, cancelación, limitación, portabilidad y oposición.

En consecuencia, y para garantizar el derecho a la información, se debe analizar con que documentos trabaja la empresa y se relaciona con terceros con el fin de prever los textos legales necesarios, como por ejemplo las cláusulas a incluir en el correo electrónico, facturas, albaranes, cláusulas en el correo postal, cláusulas en la recepción de Datos en soporte papel, así como otros relacionados.

También se confeccionan los textos legales correspondientes y necesarios para adquirir el consentimiento del tercero afectado, teniendo en cuenta los tratamientos que se realizan.

– Protocolo del Personal Autorizado (Cuando existen empleados o colaboradores con acceso a la información).

Este documento tiene dos finalidades concretas:

 

– Que el personal autorizado asuma su responsabilidad en relación a la información que está tratando, y derivado de ello firme un documento facilitado por la empresa donde manifiesta que esta le ha comunicado y entiende la normativa de seguridad que ha de cumplir, y como puede acceder y consultar el protocolo de seguridad.

– Que al trabajador o colaborador se le informe y consienta los tratamientos y las cesiones que se realicen de sus datos por motivos laborales, prevención, derechos de imagen, contables o legales.

 

Este documento tiene un efecto preventivo que supone la concienciación del usuario en la manipulación que realiza a diario, dado que asume la normativa de seguridad de la empresa y que podrían derivarse sanciones disciplinarias a nivel laboral, civil o penal, si no respeta estas.

– Evaluación de Impacto sobre Riesgos (Novedad del RGPD).

El Responsable deberá realizar una evaluación de Impacto de las operaciones de tratamiento previstas en la protección de datos personales, cuando sea probable que exista un alto riesgo para los derechos y libertades de los interesados.

El Responsable realizara una evaluación de Impacto cuando:

– Se utilicen nuevas tecnologías y su naturaleza, alcance, contexto o fines del tratamiento prevean un alto riesgo

– Se base en una elaboración de perfiles que puedan afectar significativamente a los interesados con efectos jurídicos o de algún otro modo

– Exista un tratamiento a gran escala

– Se traten datos relativos a condenas y delitos penales.

En síntesis, la evaluación de impacto consiste en un análisis previo al funcionamiento de la entidad, donde se diagnostica la situación de la mercantil y se detectan los riesgos que conllevan los tratamientos, el nivel de peligrosidad, y sobre todo las medidas para mitigar estos. Finalmente se propone un plan de acción para implementar las medidas de seguridad.

La adecuación puede requerir otras acciones según el caso:

– Regularización de la Web.

Este apartado supone la realización de las obligaciones legales existentes en la Ley de Servicios de la Sociedad de la Información (LSSI) íntimamente unida a la normativa de Protección de Datos. Esta exige que cualquier Web posea un Aviso legal, Política de Cookies y una Política de Privacidad adecuada a la finalidad de la WEB, además de otros requisitos de identificación que deben constar obligatoriamente.

Cada web se debe plantear de manera específica según incluya o no los siguientes factores:

– Disponga de cookies publicitarias o analíticas

– Exista una área de clientes con contraseñas

– Pretenda el envió de publicidad propia o de terceros

– Política de check in, si existe un apartado de contacto u otros

– Video Vigilancia.

Este punto supone aplicar la normativa de protección de datos en base a las imágenes que se traten de los trabajadores, clientes y proveedores, aplicación que se materializa con carteles en los accesos principales, comunicación a los usuarios afectados y declaración del tratamiento en el Registro de Actividades.

Este tratamiento necesita de un asesoramiento al cliente respecto a lo que puede o no hacer con la información captada, y las posibles cesiones permitidas.

– Tratamientos Publicitarios –Newletter-

Cualquier acción publicitaria que realice o pretenda realizar una empresa, debe tener como premisa principal la obtención del consentimiento del afectado, y de un consentimiento especifico.

Dependiendo de si la información se obtiene a través de una web o bien de la cumplimentación de una cuartilla en un encuentro de negocios, el proceso de recogida y tratamiento se realizara de una manera u otra.

Si no se aplica un protocolo de información y obtención del consentimiento correctamente, podemos incurrir en Spam.

“El objetivo de las políticas de seguridad y medidas preventivas es minimizar el riesgo de brechas de seguridad de su empresa y exportar una imagen de confianza”

CONTACTO

Teléfono

931 933 321

Email

administracio@redprodat.com

Dirección

08912 Dos de Mayo, 26-A Badalona - Barcelona