Ley de Protección de Datos, un hueso duro para las empresas (fuente: LA RAZÓN – ÓSCAR REYES 21 DE MAYO DE 2018)

ARTÍCULO DE LA RAZÓN (ÓSCAR REYES 21 DE MAYO DE 2018)

El mundo empresarial se ha convertido en un enjambre de datos. La información personal de los clientes, sus hábitos de consumo o sus intereses, se van acumulando en los ordenadores de las compañías al ritmo que aumenta la preocupación por la seguridad de estos datos. Las filtraciones masivas de los últimos meses; como la protagonizada por Facebook y Cambridge Analytica, la de las contraseñas de Twitter, o la de Alteryx, que afectó a más de 120 millones de personas; son un avisos de lo expuesta que está la información.

Bruselas no le quita ojo a este problema y ha extendido un nuevo Reglamento General de Protección de Datos (RGPD) que entrará en vigor el próximo viernes

La normativa será más exigente con las empresas, que no están preparadas para asumir la directiva continental. El estudio «Cómo acelerar el cumplimiento del RGPD», de la consultora IDC y Microsoft, indica que sólo el 10% de las compañías ya cumple la regulación, y el 25% tiene un plan sólido para cumplirla desde su entrada en vigor. El resto, antes de aplicarla, mantiene dudas por resolver.

PINCHA AQUÍ SI QUIERES SOLICITAR UN PRESUPUESTO PARA LA ADAPTACIÓN DE TU ACTIVIDAD PROFESIONAL A LA NORMATIVA

¿Qué se debe hacer?

Para adaptarse a la normativa, hay que empezar informando sobre la recogida de datos que se realiza. La legislación impide su acumulación sin sentido, por lo que se debe justificar por qué se han reunido los datos, y cuál es su fin en la actividad que ejerce la empresa. Además, si se pide consentimiento para que los datos sean tratados (es decir, utilizados o cedidos), la compañía tiene que solicitar una autorización que certifique que el permiso se reclama inequívocamente. El RGPD, por otra parte, requiere la firma de un contrato con los proveedores que acceden a los datos; notificar las violaciones de la protección; efectuar Evaluaciones de Impacto en casos de peligro concreto; la realización de un informe de riesgos con medidas de seguridad; y la elaboración de un registro de actividades de tratamiento (qué se hace con ellos).

Este último documento sustituirá a los habituales ficheros que las empresas debían presentar en la Agencia Española de Protección de Datos (AEPD), y que incluían datos de carácter personales. A partir de ahora, mantendrán esta obligación las compañías con más de 250 trabajadores o las que pertenezcan a sectores especiales como el sanitario o el ideológico. Otra de las medidas de aplicación ineludible sólo para determinadas empresas es la figura del DELEGADO DE PROTECCIÓN DE DATOS.

El DELEGADO DE PROTECCIÓN DE DATOS será el encargado de coordinar la política de protección de datos dentro de la compañía (aunque podrá contratarse mediante un servicio externo) y de relacionarse con la AEPD

PINCHA AQUÍ SI QUIERES SOLICITAR UN PRESUPUESTO PARA LA CONTRATACIÓN DE UN DELEGADO DE PROTECCIÓN DE DATOS

La norma exige que cuenten con un DPD – DPO las entidades públicas; las privadas destinadas a actividades con información sensible como la sexual o los antecedentes penales; o las que establezcan perfiles, modelos de comportamiento, o a fidelicen consumidores a través del seguimiento de los usuarios en internet a gran escala.

La directora de Marketing de Teamleader, María Abad, sostiene que el DPD – DPO contribuye al «respeto el cumplimiento con lo establecido en la RGPD», por lo que resulta recomendable disponer de uno a pesar de que no sea obligatorio. Abad, para adaptarse a la legislación, también considera aconsejable llevar a cabo «una actualización de los documentos legales y realizar auditorías internas; solicitar el certificado para procesar datos; mantener una reunión informativa con los clientes; formar a tu equipo, eliminar datos de los que no se tiene autorización; establecer un plan de gestión de crisis; gestionar los canales de acceso de datos adecuadamente; proteger los datos de los menores de 16 años y mostrar de forma explícita que se satisface la regulación».

¿Qué ocurre con el crm?

El nuevo siglo trajo consigo una digitalización que se está terminando de consolidar, y en lo referente a los datos nació una herramienta electrónico, el Customer Relationship Management (CRM). A medida que se expandía el uso del correo electrónico y de los buscadores, las empresas iban acumulando información de sus clientes para emprender campañas de marketing en la red, lanzar promociones… Algunas han recurrido al famoso spam, pero ahora el RGPD viene a censurar el uso indiscriminado del CRM y exige que el cliente de el consentimiento expreso de que sus datos tendrán esa finalidad.

Esto conllevará que las empresas tengan que revisar las cláusulas que el usuario acepta, para que no pueda haber ninguna confusión. Daniel Santos, abogado especialista en Protección de Datos y RGPD en Santos Abogados Asociados añade que lo necesario sería «incluirlo en el registro de actividades, examinar el riesgo en el tratamiento y desarrollar medidas de seguridad adecuadas que garanticen la integridad y la confidencialidad».

¿Y si soy pyme?

Ninguna compañía está exenta de aplicar el RGPD, sea cual sea su capacidad. Según el Ministerio de Empleo y Seguridad social, en España existen 1.317.015 pequeñas y medianas empresas (pymes), que deberán cumplirlo a pesar de olvidarse de presentar los ficheros y de no estar obligadas a contratar un delegado. Sin embargo, Abad manifiesta que para que cada pyme adapte el reglamento a su negocio, lo mejor es ponerse en manos de un buen profesional abogado que estudie bien cada caso y pueda asesorar y preparar los documentos legales pertinentes a medida.

PINCHA AQUÍ SI QUIERES SOLICITAR UN PRESUPUESTO PARA LA ADAPTACIÓN DE TU ACTIVIDAD PROFESIONAL A LA NORMATIVA

Proveedores

Las empresas que presten servicios a terceros y manejen datos personales cedidos por sus clientes, tienen las mismas obligaciones que las compañías que generan la información. Life Abogados subraya la importancia de ejecutar adecuadamente la directiva en los proveedores porque, al elegirlos, «las empresas buscan marcas de confianza que cumplan con la ley porque de lo contrario se enfrentan a sanciones millonarias. Por eso, deberán estar en condiciones de acreditar y garantizar ante tus clientes que se han adaptado y cumplen con esta norma».

Empleados

Los empleados serán de los primeros afectados por la normativa, tendrán que conocerla para no cometer infracciones. Abad comenta que «a nivel interno, las compañías también deben controlar el tratamiento y respeto de los datos personales de terceros. Los departamentos de ventas, marketing, recursos humanos, atención al cliente y el financiero suelen gestionar datos en su día a día de forma habitual y la empresa deberá informar y formar a sus empleados para que hagan un uso correcto de los datos y no cometan infracciones por desconocimiento».

PINCHA AQUÍ SI QUIERES INFORMACIÓN PARA FORMAR A TU PLANTILLA EN PROTECCIÓN DE DATOS Y LA NUEVA NORMATIVA

Con el extranjero

Los negocios de las empresas con el extranjero, a veces, demandan la comunicación de datos. La regulación, explica la AEPD, reduce la posibilidad de tratar información en internacional a las naciones sobre las que la Comisión reconozca un óptimo nivel de protección; cuando se garantice la seguridad en su destino, o en ciertas excepciones por razones relacionadas con el interés general o con el del propio titular.

Fuera de la UE

Una de las novedades más destacadas se refiere a las empresas cuya sede se sitúe fuera de la Unión Europea. A partir del próximo viernes, si poseen datos de ciudadanos que pertenezcan a ella, tendrán que obedecer la normativa continental.

Menores de edad

Los datos de los menores de edad son material especialmente sensible y, por lo tanto, a las empresas se les exigirá más cuidado con ellos. Sólo se permitirá pedir el consentimiento de una persona cuando supere los 16 años, y por debajo de esas edad se requerirá una autorización del padre, madre o tutor. No obstante, también se otorga la posibilidad de reducir la edad del consentimiento, mientras no sea inferior a los 13 años. De hecho, la AEPD indica que en España, «el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos (LOPD) fija la edad a partir de la que el consentimiento de los menores es válido en los 14 años con carácter general. Por ello es razonable suponer que la norma que reemplace a la LOPD contenga también una regulación específica en esta materia».

¿Qué ocurre con la LOPD?

No se puede olvidar que en España (donde la protección de datos es un derecho fundamental protegido por el artículo 18.4 de la Constitución) ya existe una normativa a este respecto, la Ley Orgánica de Protección de Datos (LOPD). La entrada en vigor del RGPD no supondrá la extinción de la anterior legislación, del 13 de diciembre de 1999. Convivirán y, mientras, la LOPD deberá adaptar su contenido al de la directiva europea. Las modificaciones ya están en marcha, pues el Parlamento está discutiendo el proyecto de la nueva ley.

A esperas de que se presenten las observaciones a los cambios, entre los que se proponen destaca la rebaja de la edad de consentimiento hasta los 13 años. Respecto a las personas fallecidas, se contempla la posibilidad de que los herederos puedan rectificar o suprimir los datos del muerto en su nombre.

La nueva LOPD que apuntillará algunos principios del RGPD. El más relevante, sin duda, está relacionado con el tratamiento y el interés legítimo sobre los datos. Desde la Asociación Española de la Publicidad, el Marketing y la Comunicación Digital (Iab) afirman que «algunos de los tratamientos parece que podrán contar con la base legal del interés legítimo, como es el caso del tratamiento de datos de contacto y de empresarios individuales, sistemas de información crediticia, tratamientos con fines de videovigilancia, sistemas de exclusión publicitaria o sistemas de información de denuncias internas en el sector privado. En otros escenarios que recogía el RGPD no parece tan claro que se pueda utilizar, como es el caso de marketing directo».

El proyecto, además, amplía los casos en los que las empresas deberán contratar de forma obligada un delegado de protección de datos. Se extiende, dicen en Iab, «a las entidades que exploten redes y presten servicios de comunicaciones electrónicas, prestadores de servicios de la sociedad de la información que recaben información de los usuarios de sus servicios, entidades que desarrollen actividades de publicidad y prospección comercial, operadores que desarrollen la actividad del juego a través de canales electrónicos, informáticos o interactivos».

Comercio en la red

Cuando uno se dispone a comprar un producto o contratar un servicio por internet, y se le piden sus datos, normalmente desconfía en el para qué se necesita tanta información. Tanto es así que el presidente de la Comisión Europea declaró que el 72% de los usuarios de internet sienten preocupación ante la demanda de sus datos personales. En este sentido, añadió que sólo el 22% de los europeos confían del todo en las empresas que ofrecen motores de búsqueda, redes sociales o correos electrónicos.

La RGPD intentará que estos porcentajes mejoren con medidas que dotarán de protección la información personales de los usuarios. Desde Life Abogados, comentan que «se acabará con las tarifas de itinerancia, con el bloqueo geográfico en comercio electrónico o con la portabilidad de los servicios digitales». El reglamento, de esta manera, generará mayor confianza en el comercio electrónico y servirá de marco regulatorio homogéneno para el conjunto de la UE. Ésto forma parte de la estrategia de la institución para desarrollar un mercado único digital en el continente, que impulse aún más la compra venta por internet hasta llegar a aportar alrededor de 415.000 millones de euros a la economía de la Unión.

Responsabilidad proactiva

El RGPD se basa en una serie de principios, entre los que destaca la responsabilidad proactiva. La AEPD define el concepto como «la necesidad de que el responsable del tratamiento aplique las medidas técnicas y organizativas apropiadas con el fin de garantizar y demostrar la conformidad con el Reglamento». Es decir, la legislación parte de que la propia empresa sea la que muestre la iniciativa en cuanto a su aplicación y, así, reconocer su compromiso con la protección de los datos de los clientes, consumidores o usuarios.

Sanciones

La AEPD podrá denunciar si ve signos de que alguna empresa se está saltando la normativa a partir del 25 de mayo. Desde Life Abogados recuerdan que esta directiva realmente ya entró en vigor en la misma fecha de 2016, pero Europa dio a sus países miembros un plazo de dos años para ejecutarla, con el objetivo de que sus compañías la fuesen estudiando. No cabrán excusas si toca enfrentar las sanciones, que son bastante elevadas. Santos sostiene que «se establece la posibilidad de presentar en los juzgados demandas de indemnización por el incumplimiento del reglamento frente a responsables o encargados del tratamiento. Por otro lado, las multas administrativas pueden ser hasta del 4% de la facturación del año anterior al de la infracción o de 20 millones de euros».

Europa no para de actualizar la ley: la directiva ePrivacy, siguiente paso

La Comisión Europea (CE) dará un paso importante el próximo viernes para proteger los datos de sus ciudadanos al aprobarse el RGPD. Sin embargo, como se suele decir, hecha la ley, hecha la trampa. Y desde la institución son conscientes de que ninguna regulación va a eliminar los riesgos, aunque los intentará mitigar con más trabas normativas. Están trabajando en la actualización de la directiva e Privacy, de 2002. En enero del año pasado, la CE ya publicó el borrador con las nuevas medidas, entre las que el Real Instituto Elcano destaca las siguientes: «adoptar una regulación única y armonizada en la UE de implantación inmediata tras su publicación (no necesita transposición); incorporar y equiparar las obligaciones de los proveedores de Internet y proveedores de servicios del Internet de las Cosas (IoT) a los operadores de telecomunicaciones (únicos sujetos obligados en la Directiva ePrivacy de 2002 en vigencia); exigir el consentimiento del usuario para el tratamiento de los metadatos asociados a la comunicación (incluyendo geolocalización); simplificar las disposiciones actuales sobre cookies, y fortalecer la protección del usuario frente a los distintos tipos de spam (telefónico, sms y correo electrónico)». Por otra parte, la CE también ha emitido el borrador de una nueva directiva para regular el libre flujo de datos no personales en la Unión Europea.

Los sectores más implicados

La obligación, vigente hasta el próximo 25 de mayo, de presentar los ficheros ante la Asociación Española de Protección de Datos (AEPD), ha dejado unas cifras que demuestran los sectores que más trabajan con datos y, por lo tanto, más exigencias legales tienen en este sentido. Aunque no se trate de una actividad profesional, las comunidades de propietarios son las que más ficheros han entregado, más de 682.000. Tras ellas, el primer sector económico que aparece en la lista es el comercio con más de medio millón de ficheros, bastante alejado de sus perseguidores. Los más próximos son la sanidad (con 356.916), el turismo y la hostelería (con 257.201), y la contabilidad, la auditoría y asesoría fiscal (con 181.093). Evidentemente, ninguno de estos sectores podría sobrevivir sin disponer de los datos de sus clientes. Los empresarios de la construcción, del inmobiliario, de la educación o de las actividades jurídicas, son otros de los que más necesitan rendir cuentas con la AEPD.

QUIERO CONTACTAR CON CLYDESA

AVISO DE LA AGENCIA DE PROTECCIÓN DE DATOS SOBRE LA NOTIFICACIÓN DE LOS FICHEROS

AVISO A RESPONSABLES

NOTIFICACIÓN DE FICHEROS

Con motivo de la próxima aplicación del Reglamento General de Protección de Datos, que suprime la obligación de notificar ficheros a la Agencia Española de Protección de Datos para su inscripción en el Registro General de Protección de Datos, el día 14 de mayo de 2018 dejan de estar operativos los sistemas de notificación de ficheros tanto a través del formulario NOTA como a través del envío de notificaciones en formato XML.

La obligación de notificar ficheros se sustituye a partir del 25 de mayo de 2018 por elaborar un registro de actividades de tratamiento que deberá contener la información señalada en el artículo 30 del citado Reglamento.

3.000.-€ de sanción a un colegio por no eliminar las imágenes de un menor en Youtube (fuente noticias.jurídicas.com)

FUENTE: noticias.jurídicas.com

 

Administración, empresas y ciudadanos están cada vez más concienciados con lo que llamamos “privacidad“, aquél ámbito de nuestras vidas que se desarrolla en un espacio reservado, y debe mantenerse confidencial.

La nueva sociedad de la información, internet y redes sociales suponen al día de hoy una amenaza, que debe ser afrontada desde diversos puntos de vista.

El nuevo Reglamento Europeo de Protección de Datos (GDPR), que comenzará a aplicarse el próximo 25 de mayo, introduce importantes novedades en el tratamiento y en la gestión de los datos de carácter personal que tratan las organizaciones, empresas, Administraciones…

 

Estas novedades van a obligar a los operadores a realizar cambios a diferentes niveles: organizativos, tecnológicos, de procesos e incluso de contratos

 

Una de las novedades más importantes que trae consigo la regulación que pronto se aplicará, es el régimen de sanciones, que se endurece de manera significativa, para proteger de manera efectiva el derecho fundamental a la protección de datos personales.

En este sentido es fundamental, contar con herramientas que nos permitan cumplir con las obligaciones derivadas del GDPR , de las directrices de la AEPD y de las autoridades europeas en esta materia.

Esta resolución, dictada por la Agencia Española de Protección de Datos el pasado 15 de marzo de 2018, sanciona a un colegio que fue denunciado por los padres de un alumno, quienes habían solicitado del centro la eliminación de todas las imágenes de sus hijos que tuvieran en sus ordenadores o servidores. Se trata de una sanción impuesta al amparo de la normativa anterior, pero no por ello es irrelevante, pues nos advierte de las carencias de prevención en este sentido y de la necesidad de garantizar el cumplimiento en un futuro.

Pese a la solicitud del padre, e incluso a la confirmación por parte del Centro de la eliminación de las imágenes, en la página web del colegio seguía alojado un vídeo de Youtube en el que aparecía el menor. El acceso a las imágenes de dicho vídeo se efectuó sin utilizar usuario y contraseña.

 

Vulneración de la normativa

Señala al respecto la AEPD que la imagen de una persona constituye un dato de carácter personal, dado que la información que se capta concierne a personas que las hacen identificables, suministrando información sobre el lugar y actividad desarrollada por el individuo.

La imagen obtenida a través del enlace a la web del colegio permite identificar sin duda al menor entre un grupo de niños, produciéndose un tratamiento de datos de carácter personal del hijo del denunciante al que resultan aplicables los principios y garantías de la normativa de protección de datos. Resulta indiferente el hecho de que el niño no fuera con el uniforme del colegio, y sí disfrazado, pues ello no impide su plena identificación como alumno de ese centro escolar, por otros de alumnos por los padres de sus compañeros de clase o incluso de cualquier tercero ajeno a ese específico ámbito escolar.

Señala la resolución sancionadora que la conducta del Colegio denunciado se incardina en el artículo 44.3.d) de la LOPD que tipifica como infracción grave: “La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley.”

 

Responsabilidad del Centro

El Centro escolar gestiona la página web, decidiendo la finalidad, el contenido y el uso de los datos de carácter personal que se tratan en el portal de su propiedad, por lo que, a juicio de la Agencia, el tratamiento de datos de los menores, al publicar en su web en abierto, cae bajo la órbita del régimen sancionador de la LOPD .

Para el uso y publicación de la imagen del niño a través de la página web era necesaria la autorización expresa e inequívoca de sus representantes legales –de los padres o tutores- , y en este caso, a pesar de contar con la solicitud de cancelación, el Centro no mostró la diligencia debida para eliminar la imagen que aparecía en el vídeo accesible a través de la página.

Determina la Agencia que la conducta del colegio se ajusta a lo tipificado en el artículo 44.3 d) LOPD, siendo responsable el Colegio a título de culpa. Y todo porque no se cercioró de que habían sido canceladas todas las imágenes donde el menor aparecía.

La resolución considera irrelevante el hecho de que el colegio dispusiera de consentimiento de los padres para usar las imágenes del niño, pues posteriormente el padre solicitó la cancelación de las mismas. Esta solicitud debe presumirse válida, pues actuaba en el ejercicio de la patria potestad con el consentimiento de la madre.

 

Sanción impuesta

La AEPD puntualiza que en el caso se ha producido una vulneración del principio del consentimiento para el tratamiento de los datos, calificada como grave por el artículo 44.3.b) de la LOPD , y también un incumplimiento del deber de guardar secreto, calificado como grave en el artículo 44.3.d) de la misma norma, por lo que únicamente procede imponer la sanción correspondiente a la infracción del artículo 6.1 de la LOPD , por constituir la infracción originaria que ha dado lugar a la comisión de la infracción del artículo 10 de dicha norma.

A este respecto, la Agencia rechaza la alegación de buena fe a efectos de rebaja de la sanción, pues existe un deber del infractor de vigilancia y diligencia derivados de su condición de profesional, que en este caso no se cumplió debidamente.

No obstante, no observa actuación dolosa o intencionada por parte del Colegio, pues tan pronto como recibió la solicitud de cancelación de las imágenes procedió a la eliminación de las mismas, a excepción de la imagen que aparecía en el video alojado en Youtube.

También se valora el hecho de que el Colegio tenía implantados procedimientos de actuación a los efectos de obtener el consentimiento de tutores y padres.

En definitiva, y teniendo en cuenta todas las circunstancias concurrentes, la Agencia impone al Colegio una multa de 3.000 euros.

 

Sobre la importancia de disponer de herramientas de cumplimiento

Como lo ocurrido en este caso, el tratamiento de datos sin consentimiento previo del afectado en aquellos supuestos no exceptuados legalmente, puede ser motivo de infracción grave de acuerdo con lo dispuesto en el artículo 44.3.b) de la Ley Orgánica 15/1999 , pero también con la nueva normativa.

Efectivamente, el nuevo Reglamento Europeo de Protección de Datos (GDPR ) introduce importantes novedades en el tratamientoy en la gestión de los datos de carácter personal que tratan las organizaciones. Estas novedades van a obligar a los operadores a realizar cambios a diferentes niveles: organizativos, tecnológicos, de procesos e incluso de contratos.

Existen sin embargo herramientas que ayudan a abordar con garantía los cambios que se avecinan, para poder adaptar plenamente a las organizaciones a esta nueva realidad, evitando con ello la comisión de posibles infracciones.

NECESITO ASESORAMIENTO EN PROTECCIÓN DE DATOS

Descárgate nuestro catálogo de servicios 2018-19

Haciendo honor a nuestro nombre, queremos ayudar a nuestros Clientes a potenciar su actividad y su Desarrollo en el mercado.

¿Aún no sabes en qué podemos ayudar a tu organización?

¡Descárgate ahora nuestro catálogo de servicios y prepárate bien este 2018!

 

QUIERO DESCARGARME EL CATÁLOGO DE SERVICIOS DE 

CLYDESA, CLIENTE Y DESARROLLO

DOSSIER 2018-19

NUEVAS CONVOCATORIAS FORMACIÓN BONIFICADA 2018

Abiertas las nuevas convocatorias para formación 100% bonificable.

 

Forma a tu plantilla recuperando el 100% del coste, sin desplazamientos y al ritmo que quieran

QUERRÁS TENER SIEMPRE PROFESIONALES PREPARADOS CONTIGO, ¿VERDAD? 😉

 

Con los cursos online tus empleados podrán formarse y mejorar sus aptitudes profesionales. Mejorarán su Currículum Vitae y su productividad en el puesto de trabajo, comprometiéndose con tu empresa y haciendo así que su productividad aumente.

 

CATÁLOGO 2018 BONIFICABLE

 

¿QUÉ SON LOS CURSOS BONIFICABLES?

El crédito formativo es un importe anual que las empresas con al menos un empleado en Régimen General pueden utilizar para formar a su plantilla con cursos de formación bonificables, es decir: el importe total del coste de la formación se puede recuperar en los Seguros Sociales de los meses posteriores a la finalización del curso.

Como ejemplo, en una empresa de 1 a 5 empleados en Régimen General dispone de 420.- euros como mínimo para formación de la plantilla. Ese importe se puede utilizar desde Enero hasta Diciembre de cada año. En caso de que no se utilice, esos 420.- euros van a parar a otros cometidos, pero la empresa ya no podrá utilizarlos para su mejora interna, así que… ¿a qué esperas?

 

Solicita nuestros catálogos de formación

Tenemos disponible desde cursos de 10 horas de duración, hasta Másteres Universitarios

PINCHA AQUÍ PARA SOLICITAR EL CATÁLOGO DISPONIBLE

 

Clydesa Cliente y Desarrollo continúa siendo empresa colaboradora de Educo.org, y aporta un porcentaje de sus ingresos al proyecto “Becas Comedor” para garantizar al menos una comida diaria a niños en edad escolar. En 2017 Clydesa ha conseguido financiar 1 año de Beca Comedor de tres niños en Galicia.

 

 

¡¡Nos hemos propuesto conseguir un poquito más en 2018!!

¿Nos ayudas? 🙂

 

 

Mentalizar a nuestros hijos sobre la importancia de la privacidad

En esta ocasión, os dejamos 4 vídeos de la Agencia Española de Protección de Datos que podeis  enviar a vuestros hijos o visualizarlos con ellos.

Los vídeos nos ubican en situaciones cotidianas con las que ellos se encuentran cada día, y les enseñan cómo deben proteger su privacidad, y sobretodo, cómo actuar ante situaciones que para ellos pueden resultar incontrolables. Así sabrán cómo actuar y a quién dirigirse.

Concienciación también a través de los centros escolares, por favor 🙂

 

  • UN VIDEO MUY ESPECIAL

Las cosas que envías por internet dejan huella y tu huella digital te va a acompañar durante mucho tiempo y puede tener consecuencias, buenas o malas, depende de tí.

No permitas que nadie te obligue a hacer cosas que no quieres.

No te calles. Pide ayuda.

VER “UN VÍDEO MUY ESPECIAL”

 

  • EN ESTE PARTIDO NOS LA JUGAMOS

No utilices Internet para hacer daño, nunca participes en un acoso. Y no te calles. Tanto si te pasa a tí, como si le pasa a un compañero, debes contárselo a tus padres o tus profesores. No es ser un chivato, es ser un buen compañero.

VER “EN ESTE PARTIDO NOS LA JUGAMOS”

 

  • PLANAZO DE FIN DE SEMANA

Protege tu identidad, tus datos personales no son sólo tu dirección, tu teléfono o tu fecha de nacimiento. Pequeños detalles sin importancia, el sitio donde estás, o el aspecto que tienes en un cierto momento, también dan información sobre tí, y pueden llegar a ser usados maliciosamente. No compartas datos personales con gente que no conoces en persona.

VER “PLANAZO DE FIN DE SEMANA”

 

  • UN CRACK DEL BMX

Internet y las redes sociales son geniales. Pero hay más cosas geniales en la vida, y algunas de ellas sólo se pueden disfrutar cuando estás desconectado de Internet.

VER “UN CRACK DEL BMX”

¿A qué sanciones me arriesgo si incumplo la nueva normativa en Protección de Datos?

En el nuevo Reglamento General de Protección de Datos (RGPD), aplicable en su totalidad a partir de Mayo de este 2018, nos encontramos que las sanciones se endurecen de forma considerable.

 

¡¡ OJO !!

El nuevo RGPD incluye también la posibilidad de que los Estados miembros de la Unión Europea asocien las infracciones y sanciones administrativas con sanciones penales

 

Si con la LOPD se venían dividiendo en tres niveles (leve, grave y muy grave), con sanciones económicas desde 900.-€ hasta 600.000.-€, con el RGPD se separan únicamente en dos rangos:

  • hasta 10,000.000.-€ o el 2% del volumen de negocio total anual del ejercicio financiero anterior: 
    • falta de obtención del consentimiento paterno cuando se ofrecen servicios de la sociedad de la información a menores sin capacidad de consentir (la edad mínima del consentimiento baja de 14 a 13 años)
    • falta de implementación de medidas de seguridad apropiadas (medidas técnicas y organizativas que garanticen la protección de los datos en ficheros automatizados y no automatizados)
    • no realización de una Evaluación de Impacto sobre Protección de Datos (EIPD) en una actividad que entrañe elevado riesgo, o en su caso, no realizar la consulta previa a la Autoridad de Control. (pincha aquí si quieres que te hagamos presupuesto para la realización de una EIPD)
    • falta de cooperación con la autoridad de control
    • incumplimiento de las obligaciones por parte del encargado de tratamiento
    • no designar un Delegado de Protección de Datos cuando se requiere. (pincha aquí si quieres que te hagamos presupuesto para contratar nuestro servicio de Delegado de Protección de Datos)
    • incumplimiento de las obligaciones como corresponsables (principio de “responsabilidad proactiva”)
    • no notificar las violaciones o quiebras de seguridad. Deberán comunicarse a la Autoridad de Control y a los titulares de los datos en un plazo máximo de 72 horas desde la detección del incidente. Si ello requiere esfuerzos desproporcionados, deberá realizarse una comunicación pública de la brecha de seguridad
      • ¿Cuáles son estas quiebras?
      • Las que supongan un riesgo para los derechos y libertades del afectado (titular de esos datos)
      • Incidente que ocasione la pérdida, destrucción o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos (pérdida de un ordenador portátil, accesos no autorizados a bases de datos de una organización (incluso por su propio personal), borrado accidental de algunos registros, etc.)

 

  • hasta 20,000.000.-€ o el 4% del volumen de negocio total anual del ejercicio financiero anterior: 
    • falta de cumplimiento en los principios básicos de tratamiento: licitud, fines explícitos y legítimos, apropiados, pertinentes y proporcionados
    • no atender o no facilitar a los afectados el ejercicio de los derechos ARCO: acceso, rectificación, cancelación, oposición, supresión, limitación, derecho al olvido, …
    • incumplimiento de las normas del Estado Miembro
    • no permitir el acceso a la Autoridad de Control a datos necesarios para la investigación de un hecho
    • no cumplir una orden de la Autoridad de Control en el ejercicio de sus poderes correctivos
    • incumplimiento de los requisitos para Transferencias Internacionales
    • no informar a los afectados en el momento en el que se obtengan sus datos
    • no contar con el consentimiento explícito del interesado (prohibidas las casillas premarcadas)
    • incumplimiento del deber de secreto
    • cesión, comunicación o divulgación de datos sin el consentimiento previo del afectado
    • Transferencia Internacional de Datos a un tercer país u organización que no ofrezca las garantías adecuadas

 

PONTE EN CONTACTO CON NOSOTROS EN INFO@CLYDESA.ES E INFÓRMATE DE NUESTROS SERVICIOS Y TARIFAS PARA ADAPTAR TU ACTIVIDAD A LA NUEVA NORMATIVA

¿Qué dice el RGPD sobre el Delegado de Protección de Datos? (art. 37, 38 y 39 del RGPD)

A continuación podeis leer algunas de las cosas que nos indica el RGPD en cuanto a funciones y cometido del Delegado de Protección de Datos (artículos 37, 38 y 39 del Reglamento General de Protección de Datos)

 

Designación del delegado de protección de datos

  1.      El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
  • a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
  • b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
  • c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

2.     Un grupo empresarial podrá nombrar un único delegado de protección de datos siempre que sea fácilmente accesible desde cada establecimiento.

3.     Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.

4.       En casos distintos de los contemplados en el apartado 1, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados podrán designar un delegado de protección de datos o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El delegado de protección de datos podrá actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados.

5.       El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.

6.        El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.

7.        El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.

 

Posición del delegado de protección de datos

1.        El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
2.        El responsable y el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de las funciones mencionadas en el artículo 39, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.

3.       El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.

4.       Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento.

5.       El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.

6.       El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.

 

Funciones del delegado de protección de datos

1.   El delegado de protección de datos tendrá como mínimo las siguientes funciones:

  • a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
  • b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
  • c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
  • d) cooperar con la autoridad de control;
  • e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

2.   El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

 

NO TE ARRIESGUES Y CONTACTA CON NOSOTROS SI NECESITAS UN DELEGADO DE PROTECCIÓN DE DATOS ESPECIALIZADO PARA TU ACTIVIDAD PROFESIONAL

PINCHA AQUÍ Y TE INFORMAREMOS DE NUESTROS SERVICIOS Y TARIFAS MENSUALES

La AEPD, INCIBE, AECOSAN y la Policía Nacional presentan una guía conjunta para comprar con seguridad en internet (fuente www.agpd.es)

fuente www.agpd.es

La iniciativa es el resultado de un trabajo conjunto para fomentar entre los usuarios la prevención y la concienciación antes, durante y después de realizar una compra online.

 

La ‘Guía práctica de compra segura en internet’, que está acompañada de siete fichas, recoge los derechos que asisten a los ciudadanos, así como recomendaciones

La privacidad, la seguridad, el consumo y la detección de prácticas delictivas o fraudulentas son algunos de los temas abordados
(Madrid, 18 de diciembre de 2017). La Agencia Española de Protección de Datos (AEPD), el Instituto Nacional de Ciberseguridad (INCIBE), la Agencia Española de Consumo, Seguridad Alimentaria y Nutrición (AECOSAN) y la Policía Nacional han presentado la Guía práctica de compra segura en internet, una publicación que adquiere especial relevancia con motivo de las compras navideñas.

La iniciativa es el resultado de un trabajo conjunto para ofrecer a los ciudadanos en una única publicación los consejos prácticos más relevantes a tener en cuenta antes, durante y después de realizar una compra online. La guía, disponible en las respectivas webs de estos organismos, está acompañada además de siete fichas que recogen de forma concisa recomendaciones de utilidad.

 

DESCÁRGATE AQUÍ LAS FICHAS

 

El sector del comercio electrónico facturó en España 24.185 millones de euros en 2016 y superó los 6.700 millones de euros en el primer trimestre de 2017. No obstante, según datos de INE, la mitad de los usuarios de internet que no han comprado online en el último año alega para ello una preocupación por la privacidad o la seguridad en el pago.

La Guía práctica de compra segura en internet recoge los derechos que asisten a los usuarios en los procesos de compra o contratación online, ofreciendo recomendaciones desde diversos enfoques: la privacidad, la seguridad, el consumo y la detección de prácticas delictivas o fraudulentas. El objetivo es que resulte de utilidad no sólo a los ciudadanos, como consumidores y usuarios de los servicios de comercio electrónico, sino también a las empresas que desarrollan su actividad en este ámbito, contribuyendo a fomentar un clima de confianza digital.

 

DESCÁRGATE AQUÍ LA GUÍA COMPLETA

 

La guía presentada hoy agrupa sus contenidos en cuatro bloques: qué aspectos se deben tener en cuenta antes de comprar o contratar un producto o servicio online; recomendaciones en caso de que el ciudadano decida comprar; qué derechos y garantías le asisten después de completar la compra, y cómo reclamar en caso de que sea necesario. Estos apartados se complementan con un decálogo de consejos básicos que recogen algunos de los aspectos más relevantes.

Cómo proteger el dispositivo desde el que se realiza la compra; identificar tiendas de confianza; detectar posibles fraudes; medios de pago recomendados; cómo configurar las cuentas de usuario; qué hacer ante la recepción de un producto defectuoso o qué derechos tiene el ciudadano sobre sus datos personales son algunos de los aspectos tratados tanto en la guía como en las fichas prácticas. Además, los temas planteados se complementan con enlaces a contenidos que amplían la información ofrecida en cada uno de los apartados.

Cómo utilizar el correo electrónico de forma segura (fuente: Centro Criptológico Nacional)

Actualmente el correo electrónico sigue siendo una de las herramientas más utilizadas por cualquier entorno corporativo para el intercambio de información a pesar de que en los últimos años han surgido multitud de tecnologías y herramientas colaborativas para facilitar la comunicación y el intercambio de ficheros.

El incremento y efectividad de la ingeniería social para engañar a los usuarios por medio de correos electrónicos ha modificado el paradigma de la seguridad corporativa.

Actualmente los cortafuegos perimetrales y la securización de los servicios expuestos a Internet no son contramedidas suficientes para proteger una organización de ataques externos. Algunas recomendaciones para utilizar el correo electrónico de forma segura:

• No abrir ningún enlace ni descargar ningún fichero adjunto procedente de un correo electrónico que presente cualquier indicio o patrón fuera de lo habitual.
• No confiar únicamente en el nombre del remitente. El usuario deberá comprobar que el propio dominio del correo recibido es de confianza. Si un correo procedente de un contacto conocido solicita información inusual contacte con el mismo por teléfono u otra vía de comunicación para corroborar la legitimidad del mismo.
• Antes de abrir cualquier fichero descargado desde el correo, hay que asegurarse de la extensión y no fiarse del icono asociado al mismo.
• No habilitar las macros de los documentos ofimáticos incluso si el propio fichero así lo solicita.
• No hacer clic en ningún enlace que solicite datos personales o bancarios.
• Tener siempre actualizado el sistema operativo, las aplicaciones ofimáticas y el
navegador (incluyendo los plugins/extensiones instaladas).
• Utilizar herramientas de seguridad para mitigar exploits de manera complementaria al software antivirus.
• Evitar hacer clic directamente en cualquier enlace desde el propio cliente de correo. Si el enlace es desconocido, es recomendable buscar información del mismo en motores de búsqueda como Google o Bing.
• Utilizar contraseñas robustas para el acceso al correo electrónico. Las contraseñas deberán ser periódicamente renovadas y si es posible utilizar doble autenticación.
• Cifrar los mensajes de correo que contengan información sensible.