Seleccionar página

Preguntas frecuentes

No dude en contactar con nosotros si tuviese alguna duda al respecto.

 

¿Quién está obligado a cumplir con el Reglamento General de Protección de Datos (RGPD)?

Cualquier empresa que trate con datos de carácter personal (clientes, proveedores, empleados, etc.) tiene la obligación de cumplir con el RGPD y con la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD).

Obligaciones según el RGPD 2016/679

  • Responsabilidad proactiva del Responsable de Tratamiento.
  • Informe situación de las Medidas de seguridad obligatorias.
  • Formalización de las medidas: Registro de actividades de tratamiento, antes denominado Documento de Seguridad.
  • Evaluación de impacto del riesgo en la protección de datos.
  • Transferencias Internacionales de datos.
  • Avisos Legales (firma email) y cláusulas a añadir en los contratos.
  • Notificación de violaciones de seguridad de datos en 72 horas.
  • Limitaciones en la elaboración de perfiles.
  • Derecho al olvido y Derecho de Portabilidad.
  • Tratamientos de datos personales con fines publicitarios: ads, push, email marketing.

¿Qué es el Real Decreto Ley 5/2018, de 27 de julio?

El pasado 27 de julio se publicó el Real Decreto-ley 5/2018 de medidas urgentes para la adaptación del Derecho español a la normativa de la UE en materia de protección de datos.

El texto pretende adecuar el marco normativo español a las novedades introducidas por el RGPD, de plena aplicación desde el pasado 25 de mayo, en las cuestiones cuya inmediata incorporación al derecho interno resulta imprescindible.

El Real Decreto Ley 5/2018, incorpora 3 Capítulos:

  • Capítulo I. La identificación de las competencias para el ejercicio de los poderes de investigación.
  • Capítulo II. El régimen sancionador.
  • Capítulo III. La regulación del procedimiento sancionador. 

Real Decreto-ley 5/2018. NOVEDADES

RÉGIMEN DE LAS INFRACCIONES

El nuevo Real Decreto-ley declara como infracciones las vulneraciones del artículo 83, apartados 4 a 6 del RGPD, el cual tipifica las infracciones en graves y muy graves.

RÉGIMEN DE LAS SANCIONES

Respecto a las sanciones no hay ninguna concreción respecto a lo establecido en el Reglamento Europeo.

PRESCRIPCIÓN

El Reglamento Europeo no regula régimen aplicable a la prescripción. Por su parte, el Real Decreto-ley distingue lo siguiente:

El plazo de prescripción de las infracciones será de 2 y 3 años, para las infracciones previstas en el artículo 83.4, por un lado y artículo 38.5 y 6 del Reglamento Europeo, respectivamente.

El plazo de prescripción de las sanciones será el siguiente:

-Sanciones por importe superior a 300.000 €: 3 años.

-Sanciones por importe comprendido entre 40.001 y 300.000 €: 2 años.

-Sanciones por importe igual o inferior a 40.000 €: 1 año.

RÉGIMEN DE RESPONSABILIDAD

En la Ley Orgánica de Protección de Datos se consideraban , con carácter general, sujetos al régimen sancionador los Responsabiles de los responsables o encargados de los tratamientos no establecidos en el territorio de la UE.

Por su parte, el RGPD amplía la responsabilidad a los Organismos de certificación y a los Organismos de supervisión de los códigos de conducta. El nuevo Real Decreto-ley añade a la lista a los Representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la UE.

Llama especialmente la atención el hecho de que los Delegados de Protección de Datos quedan excluidos del régimen de responsabilidad.

PROCEDIMIENTO EN CASO DE VULNERACIÓN DE LA NORMATIVA DE PROTECCIÓN DE DATOS

El nuevo Real Decreto-Ley dedica el capítulo III a los procedimientos tramitados por la AEPD y distingue:

Cuando el afectado reclama la falta de atención de su solicitud del ejercicio de sus derechos (regulados en los arts. 15 a 22 Reglamento Europeo).

Inicio: por acuerdo de admisión a trámite.
Plazo para resolver: 6 meses desde la notificación del acuerdo.
Resolución: cabe el silencio positivo.
Cuando se investigue la infracción del Reglamento Europeo o la normativa española en materia de protección de datos.
Inicio: por acuerdo de inicio adoptado por propia iniciativa, tras una reclamación o tras Comunicación a la AEPD por parte de la autoridad de control de otro Estado miembro cuando la Agencia tuviese la condición de autoridad de control principal.

Plazo para resolver: 9 meses desde el acuerdo de inicio o, en su caso, del Proyecto de acuerdo de inicio. Trascurrido ese plazo, se producirá la caducidad y el archivo de actuaciones.

Cuando se presente ante la AEPD una reclamación, la inadmitirá en los casos siguientes:

Cuando no verse sobre cuestiones de protección de datos de carácter personal.
Carezcan de fundamento.
Sean abusivas.

No aporten indicios racionales de la existencia de una infracción.

Cuando el responsalbe o encargado del tratamiento, previa advertencia de la Agencia, hubiera adoptado medidas correctivas, siempre que no haya causado perjuicio al interesado y el derecho del afectado quede garantizado.

ACTUACIONES DE INSPECCIÓN

La AEPD podrá llevar a cabo actuaciones de investigación a fin de lograr una mejor determinación de los hechos y las circunstancias que justifican la tramitación del procedimiento.

No podrán tener una duración superior a 12 meses a contar desde la fecha del acuerdo de admisión a trámite o de la fecha del acuerdo de iniciación.

La actividad de investigación de la AEPD se llevará a cabo por los funcionarios de la Agencia o por funcionarios ajenos a ella, habilitados expresamente por el Director de la AEPD.

Los funcionarios tendrán la consideración de agentes de la autoridad en el ejercicio de sus funciones y estarán obligados a guardar secreto, incluso después de haber cesado en el ejercicio de la función.

En el desarrollo de la investigación podrán:

Recabar la información precisa para el cumplimiento de sus funciones.
Realizar inspecciones.
Requerir la exhibición o el envío de documentos o datos necesarios.
Examinarlos, obtener copia e inspeccionar los equipos.
Requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del tratamiento sujetos a investigación.
Las entradas a domicilio debe ejercerse de conformidad con las normas procesales, en particular, en los que se precisa la autorización judicial previa.

Capítulo I. Inspección en materia de protección de datos

Artículo 1. Ámbito y personal competente para el ejercicio de la actividad de investigación de la Agencia Española de Protección de Datos. 1. La actividad de investigación de la Agencia Española de Protección de Datos se llevará a cabo por los funcionarios de la Agencia o por funcionarios ajenos a ella habilitados expresamente por su Director. 2. En los casos de actuaciones conjuntas de investigación conforme a lo dispuesto en el artículo 62 del Reglamento (UE) 2016/679, el personal de las autoridades de control de otros Estados Miembros de Unión Europea que colabore con la Agencia ejercerá sus facultades con arreglo a lo previsto en la normativa española y bajo la orientación y en presencia del personal de ésta. 3. Los funcionarios que desarrollen actividades de investigación tendrán la consideración de agentes de la autoridad en el ejercicio de sus funciones, y estarán obligados a guardar secreto sobre las informaciones que conozcan con ocasión de dicho ejercicio, incluso después de haber cesado en él. Artículo 2. Alcance de la actividad de investigación. Quienes desarrollen la actividad de investigación podrán recabar las informaciones precisas para el cumplimiento de sus funciones, realizar inspecciones, requerir la exhibición o el envío de los documentos y datos necesarios, examinarlos en el lugar en que se encuentren depositados o en donde se lleven a cabo los tratamientos, obtener copia de ellos, inspeccionar los equipos físicos y lógicos y requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del tratamiento sujetos a investigación. Los poderes de investigación en lo que se refiere a la entrada en domicilios deben ejercerse de conformidad con las normas procesales, en particular, en los casos en los que sea precisa la autorización judicial previa. Cuando se trate de órganos judiciales u Oficinas Judiciales el ejercicio de las facultades de inspección se efectuará a través y por mediación del Consejo General del Poder Judicial.

Capítulo II. Régimen sancionador

Artículo 3. Sujetos responsables. 1. Están sujetos al régimen sancionador establecido en el Reglamento (UE) 2016/679 y la normativa española de protección de datos: a) Los responsables de los tratamientos. b) Los encargados de los tratamientos. c) Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea. d) Las entidades de certificación. e) Las entidades acreditadas de supervisión de los códigos de conducta. 2. No será de aplicación al delegado de protección de datos el régimen sancionador en esta materia. Artículo 4. Infracciones. Constituyen infracciones las vulneraciones del Reglamento (UE) 2016/679 a las que se refieren los apartados 4, 5 y 6 de su artículo 83. Artículo 5. Prescripción de las infracciones. 1. Las infracciones previstas en los apartados 5 y 6 del artículo 83 del Reglamento (UE) 2016/679 prescribirán a los tres años. 2. Las infracciones previstas en el artículo 83.4 Reglamento (UE) 2016/679 prescribirán a los dos años. 3. Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador, reiniciándose el plazo de prescripción si el expediente sancionador estuviere paralizado durante más de seis meses por causas no imputables al presunto infractor. Cuando la Agencia Española de Protección de Datos ostente la condición de autoridad de control principal y deba seguirse el procedimiento previsto en el artículo 60 del Reglamento (UE) 2016/679 interrumpirá la prescripción el conocimiento formal por el interesado del proyecto de acuerdo de inicio que sea sometido a las autoridades de control interesadas. Artículo 6. Prescripción de las sanciones. 1. Las sanciones impuestas en aplicación del Reglamento (UE) 2016/679 prescriben en los siguientes plazos: a) Las sanciones por importe igual o inferior a 40.000 euros, prescriben en el plazo de un año. b) Las sanciones por importe comprendido entre 40.001 y 300.000 euros prescriben a los dos años. c) Las sanciones por un importe superior a 300.000 euros prescriben a los tres años. 2. El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente a aquel en que sea ejecutable la resolución por la que se impone la sanción o haya transcurrido el plazo para recurrirla. 3. La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no imputable al infractor.

Capítulo III. Procedimientos si posible vulneración de la normativa.

Artículo 7. Régimen jurídico.

1. Las disposiciones de este capítulo serán de aplicación a los procedimientos tramitados por la Agencia Española de Protección de Datos en los supuestos en los que un afectado reclame que no ha sido atendida su solicitud de ejercicio de los derechos reconocidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, así como en los que aquélla investigue la existencia de una posible infracción de lo dispuesto en el mencionado reglamento y la normativa española de protección de datos.

2. Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la normativa española de protección de datos y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos.

Artículo 8. Forma de iniciación del procedimiento y duración.

1. Cuando el procedimiento se refiera exclusivamente a la falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, se iniciará por acuerdo de admisión a trámite, que se adoptará conforme a lo establecido en el artículo siguiente. En este caso el plazo para resolver el procedimiento será de seis meses a contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite. Transcurrido ese plazo, el interesado podrá considerar estimada su reclamación.

2. Cuando el procedimiento tenga por objeto la determinación de la posible existencia de una infracción de lo dispuesto en el Reglamento (UE) 2016/679 y la normativa española de protección de datos, se iniciará mediante acuerdo de inicio adoptado por propia iniciativa o como consecuencia de reclamación. Si el procedimiento se fundase en una reclamación formulada ante la Agencia Española de Protección de Datos, con carácter previo, ésta decidirá sobre su admisión a trámite, conforme a lo dispuesto en el artículo siguiente. Cuando fuesen de aplicación las normas establecidas en el artículo 60 del Reglamento (UE) 2016/679, el procedimiento se iniciará mediante la adopción del proyecto de acuerdo de inicio de procedimiento sancionador, del que se dará conocimiento formal al interesado a los efectos previstos en el artículo 5 de este real decreto-ley. Admitida a trámite la reclamación así como en los supuestos en que la Agencia Española de Protección de Datos actúe por propia iniciativa, con carácter previo al acuerdo de inicio, podrá existir una fase de actuaciones previas de investigación, que se regirá por lo previsto en el artículo 11 de este real decreto-ley. El procedimiento tendrá una duración máxima de nueve meses a contar desde la fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio. Transcurrido ese plazo se producirá su caducidad, y en consecuencia, el archivo de actuaciones.

3. El procedimiento podrá también tramitarse como consecuencia de la comunicación a la Agencia Española de Protección de Datos por parte de la autoridad de control de otro Estado miembro de la Unión Europea de la reclamación formulada ante la misma, cuando la Agencia Española de Protección de Datos tuviese la condición de autoridad de control principal para la tramitación de un procedimiento conforme a lo dispuesto en los artículos 56 y 60 del Reglamento (UE) 2016/679. Será en este caso de aplicación lo dispuesto en el apartado 1 y en los párrafos primero, tercero, cuarto y quinto del apartado 2.

4. Los plazos de tramitación establecidos en este artículo así como los de admisión a trámite regulado por el apartado 5 del artículo siguiente y de duración de las actuaciones previas de investigación previsto en el artículo 11.2 de este real decreto-ley, quedarán automáticamente suspendidos cuando deba recabarse información, consulta, solicitud de asistencia o pronunciamiento preceptivo de un órgano u organismo de la Unión Europea o de una o varias autoridades de control de los Estados miembros conforme con lo establecido en el Reglamento (UE) 2016/679, por el tiempo que medie entre la solicitud y la notificación del pronunciamiento a la Agencia Española de Protección de Datos.

Artículo 9. Admisión a trámite de las reclamaciones.

1. Cuando se presentase ante la Agencia Española de Protección de datos una reclamación, ésta deberá evaluar su admisibilidad a trámite, de conformidad con las previsiones de este artículo.

2. La Agencia Española de Protección de Datos inadmitirá las reclamaciones presentadas cuando no versen sobre cuestiones de protección de datos de carácter personal, carezcan manifiestamente de fundamento, sean abusivas o no aporten indicios racionales de la existencia de una infracción.

3. Igualmente, la Agencia Española de Protección de Datos podrá inadmitir la reclamación cuando el responsable o encargado del tratamiento, previa advertencia formulada por la Agencia, hubiera adoptado las medidas correctivas encaminadas a poner fin al posible incumplimiento de la legislación de protección de datos y concurra alguna de las siguientes circunstancias: a) Que no se haya causado perjuicio al afectado. b) Que el derecho del afectado quede plenamente garantizado mediante la aplicación de las medidas.

4. Antes de resolver sobre la admisión a trámite de la reclamación, la Agencia Española de Protección de Datos podrá remitir la misma al delegado de protección de datos que hubiera, en su caso, designado el responsable o encargado del tratamiento o al organismo de supervisión establecido para la aplicación de los códigos de conducta, a fin de que den respuesta a la reclamación en el plazo de un mes. La Agencia Española de Protección de Datos podrá igualmente remitir la reclamación al responsable o encargado del tratamiento cuando no se hubiera designado un delegado de protección de datos ni estuviera adherido a mecanismos de resolución extrajudicial de conflictos, en cuyo caso el responsable o encargado deberá dar respuesta a la reclamación también en el plazo de un mes.

5. La decisión sobre la admisión o inadmisión a trámite, así como la que determine, en su caso, la remisión de la reclamación a la Autoridad de control principal que se estime competente, deberá notificarse al reclamante en el plazo de tres meses. Si, transcurrido este plazo, no se produjera dicha notificación, se entenderá que prosigue la tramitación de la reclamación con arreglo a lo dispuesto en este capítulo a partir de la fecha en que se cumpliesen tres meses desde que la reclamación tuvo entrada en la Agencia Española de Protección de Datos.

Artículo 10. Determinación del alcance territorial.

1. Salvo en los supuestos a los que se refiere el artículo 8.3 de este real decreto-ley, la Agencia Española de Protección de Datos deberá, con carácter previo a la realización de cualquier otra actuación, incluida la admisión a trámite de una reclamación o el comienzo de actuaciones previas de investigación, examinar su competencia y determinar el carácter nacional o transfronterizo, en cualquiera de sus modalidades, del procedimiento a seguir.

2. Si la Agencia considera que no tiene la condición de autoridad de control principal para la tramitación del procedimiento remitirá, sin más trámite, la reclamación formulada a la Autoridad de control principal que considere competente, a fin de que por la misma se le dé el curso oportuno. La Agencia notificará esta circunstancia a quien, en su caso, hubiera formulado la reclamación. El acuerdo por el que se resuelva la remisión a la que se refiere el párrafo anterior implicará el archivo provisional del procedimiento, sin perjuicio de que por la Agencia se dicte, en caso de que así proceda, la resolución a la que se refiere el apartado 8 del artículo 60 del Reglamento (UE) 2016/679.

Artículo 11. Actuaciones previas de investigación.

1. Antes de la adopción del acuerdo de inicio de procedimiento, y una vez admitida a trámite la reclamación si la hubiese, la Agencia Española de Protección de Datos podrá llevar a cabo actuaciones previas de investigación a fin de lograr una mejor determinación de los hechos y las circunstancias que justifican la tramitación del procedimiento. La Agencia Española de Protección de Datos actuará en todo caso cuando sea precisa la investigación de tratamientos que implique un tratamiento masivo de datos personales.

2. Las actuaciones previas de investigación se someterán a lo dispuesto en el capítulo I y no podrán tener una duración superior a doce meses a contar desde la fecha del acuerdo de admisión a trámite o de la fecha del acuerdo por el que se decida su iniciación cuando la Agencia actúe por propia iniciativa o como consecuencia de la comunicación que le hubiera sido remitida por la autoridad de control de otro Estado miembro de la Unión Europea, conforme al artículo 8.3 de este real decreto-ley.

Artículo 12. Acuerdo de inicio del procedimiento para el ejercicio de la potestad sancionadora.

1. Concluidas, en su caso, las actuaciones a las que se refiere el artículo anterior, corresponderá al Director de la Agencia Española de Protección de Datos, cuando así proceda, dictar acuerdo de inicio de procedimiento para el ejercicio de la potestad sancionadora, en que se concretarán los hechos, la identificación de la persona o entidad contra la que se dirija el procedimiento, la infracción que hubiera podido cometerse y su posible sanción.

2. Cuando la Agencia Española de Protección de Datos ostente la condición de autoridad de control principal y deba seguirse el procedimiento previsto en el artículo 60 del Reglamento (UE) 2016/679, el proyecto de acuerdo de inicio de procedimiento sancionador se someterá a lo dispuesto en el mismo.

Artículo 13. Medidas provisionales.

1. Durante la realización de las actuaciones previas de investigación o iniciado un procedimiento para el ejercicio de la potestad sancionadora, la Agencia Española de Protección de Datos podrá acordar motivadamente las medidas provisionales necesarias y proporcionadas para salvaguardar el derecho fundamental a la protección de datos y, en especial, las previstas en el artículo 66.1 del Reglamento (UE) 2016/679, el bloqueo cautelar de los datos y la obligación inmediata de atender el derecho solicitado.

2. En los casos en que la Agencia Española de Protección de Datos considere que la continuación del tratamiento de los datos de carácter personal, su comunicación o transferencia internacional comportara un menoscabo grave del derecho a la protección de datos de carácter personal, podrá ordenar a los responsables o encargados de los tratamientos el bloqueo de los datos y la cesación de su tratamiento y, caso de incumplirse por éstos dichos mandatos, proceder a su inmovilización.

3. Cuando se hubiese presentado ante la Agencia Española de Protección de Datos una reclamación que se refiriese, entre otras cuestiones, a la falta de atención en plazo de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, la Agencia Española de Protección de Datos podrá acordar en cualquier momento, incluso con anterioridad a la iniciación del procedimiento para el ejercicio de la potestad sancionadora, mediante resolución motivada y previa audiencia del responsable del tratamiento, la obligación de atender el derecho solicitado, prosiguiéndose el procedimiento en cuanto al resto de las cuestiones objeto de la reclamación.

Artículo 14. Procedimiento en relación con las competencias atribuidas a la Agencia Española de Protección de Datos por otras leyes.

Lo dispuesto en este capítulo será de aplicación a los procedimientos que la Agencia Española de Protección de Datos hubiera de tramitar en ejercicio de las competencias que le fueran atribuidas por otras leyes.

Disposiciones finales

Disposición adicional primera. Representación española en el Comité Europeo de Protección de Datos.

La Agencia Española de Protección de Datos tendrá la condición de representante común de las autoridades de protección de datos en el Comité Europeo de Protección de Datos. La Agencia Española de Protección de Datos informará a las autoridades autonómicas de protección de datos acerca de las decisiones adoptadas en el Comité Europeo de Protección de Datos y recabará su parecer cuando se trate de materias de su competencia.

Disposición adicional segunda.

Publicación de resoluciones de la Agencia Española de Protección de Datos. La Agencia Española de Protección de Datos publicará las resoluciones de su Director que declaren haber lugar o no a la atención de los derechos reconocidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, las que pongan fin a los procedimientos de reclamación, las que archiven las actuaciones previas de investigación, las que sancionen con apercibimiento a las entidades a que se refiere el artículo 46 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, las que impongan medidas cautelares y las demás que disponga su Estatuto.

Disposición transitoria primera. Régimen transitorio de los procedimientos.

1. Los procedimientos ya iniciados a la entrada en vigor de este real decreto-ley se regirán por la normativa anterior, salvo que el régimen establecido en el mismo contenga disposiciones más favorables para el interesado.

2. Lo dispuesto en el apartado anterior será asimismo de aplicación a los procedimientos respecto de los cuales ya se hubieren iniciado las actuaciones previas a las que se refiere la Sección 2.ª del Capítulo III del Título IX del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre. Disposición transitoria segunda. Contratos de encargado del tratamiento. Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022. Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del Reglamento (UE) 2016/679.

Disposición derogatoria única. Derogación normativa.

Quedan derogadas todas las normas de igual o inferior rango que se opongan a lo establecido en el presente real decreto-ley, y en particular, los siguientes artículos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal: a) El artículo 40. b) Los artículos 43 al 49, con excepción del artículo 46.

Disposición final única. Vigencia.

El presente real decreto-ley entrará en vigor al día siguiente de su publicación en el «Boletín Oficial del Estado» y lo estará hasta la vigencia de la nueva legislación orgánica de protección de datos que tenga por objeto adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, y completar sus disposiciones.

Dado en Madrid, el 27 de julio de 2018.

FELIPE R. El Presidente del Gobierno, PEDRO SÁNCHEZ PÉREZ-CASTEJÓN.

¿Quién puede ejercitar los Derechos?

Podrán ejercer un derecho el titular de los datos, su representante legal, en caso de menores o incapacitados, o por su representante voluntario designado específicamente para ejercer uno de estos derechos. Si lo solicita una persona que no sea el titular de los datos o que no acredite adecuadamente que actúa en representación de éste, no se podrá ejercitar ese derecho.

¿Qué hacer si no atienden la solicitud de ejercicio de derechos?

En caso de no recibir una notificación expresa por parte del responsable del fichero, dentro de los plazos establecidos, informando de que la resolución de la solicitud ha sido efectuada, la persona afectada podrá interponer una reclamación ante la Agencia Española de Protección de Datos.

¿Cómo ejercer los derechos?

Para ejercer cualquier derecho, el titular debe aportar al responsable la siguiente documentación:

  • Fotocopia del DNI o documento vigente.
  • Petición en que se concreta la solicitud.
  • Dirección a efectos de notificaciones, fecha y firma.
  • Documentos acreditativos de la petición formulada.

¿Cuáles son esos derechos?

  • Derecho de Acceso.
  • Derecho al Olvido.
  • Derecho a la Oposición al tratamiento de los datos.
  • Derecho a Limitación.
  • Portabilidad.

¿Qué es un Delegado de Protección de Datos o DPO?

El Delegado de Protección de Datos es la figura especializada en protección de datos, junto al Responsable y al Encargado del Tratamiento de Datos Personales.

El Delegado puede formar parte de la empresa o puede ser una figura, externa a la empresa, que desempeñe sus funciones a través de un contrato. No obstante, el DPO deberá estar cualificado profesionalmente a la legislación y práctica de la protección de datos.

¿Es obligatorio tener un DPO?

Será de obligado cumplimiento asignar un DPO en los siguientes casos:

  • Autoridades y organismos públicos.
  • Datos especialmente protegidos y que dispongan de un gran volumen de información.
  • Colegios Profesionales.

¿Se necesita una certificación de DPO?

La AEPD promueve un sistema de certificación profesional de protección de datos para evaluar el perfil de los candidatos a ocupar el puesto de Delegado. La certificación no será necesaria para el ejercicio de las funciones, solo será una herramienta para facilitar al responsable y encargados el nombramiento del Delegado.

¿Qué funciones cumple un DPO?

El Delegado de Protección de Datos lleva a cabo las siguientes funciones:

  • Informar y asesorar a los responsables y encargados del tratamiento de datos personales de las obligaciones.
  • Supervisar el cumplimiento de dicho legislación y de la política de protección de datos de una Administración Pública, empresa o entidad privada.
  • Ofrecer el asesoramiento solicitado para la evaluación de impacto de un tratamiento de datos personales.
  • Cooperar con la AEPD.

¿Qué es el consentimiento expreso?

La manifestación de voluntad libre, inequívoca, específica e informada mediante el cual el titular del tratamiento de datos personales, ya sea de forma verbal, escrita, por medios electrónicos, ópticos o por cualquier otra tecnología.

¿Cuándo es necesario recabar el consentimiento?

Se necesita obtener los consentimientos de los afectados siempre que se vaya a realizar un tratamiento de sus datos personales.

¿En qué casos no es obligatorio recabar el Consentimiento?

Existen una serie de supuestos en los que no es necesario recabar el consentimiento.

  • Los datos personales se recojan para el ejercicio de las funciones de las Administraciones Públicas.
  • Los datos figuren en fuentes accesibles para el público.
  • Si se ha obtenido con anterioridad.

¿Dónde almacenar el consentimiento?

Es importante guardar el consentimiento, por posibles reclamaciones que se puedan plantear. Ese consentimiento lo deberá guardar la empresa para poder demostrar que el interesado ha aceptado el tratamiento de sus datos personales.

¿Qué ocurre con los consentimientos obtenidos antes del 25 de mayo de 2018?

Los consentimientos obtenidos con anterioridad a la fecha de aplicación del GDPR, 25 de mayo de 2018, solo seguirán siendo válidos si se obtuvieron respetando los criterios fijados por el propio Reglamento. Es decir, cuando sean consentimientos verificables, capaces de demostrar que el interesado les otorgó su consentimiento.

¿Es necesario el Consentimiento de los Menores?

Sí, siempre que se vaya a tratar con datos personales.

¿Cuándo es necesario recabar el Consentimiento de los Menores?

Si el menor es mayor de 16 años, el consentimiento se proporcionará por el mismo. Por el contrario, si es menor de 16 años, se requiere la autorización de sus padres o tutores legales.

Si trabajo con niños, ¿puedo exponer fotos en una página web?

Para exponer fotos de menores es necesario el consentimiento del menor o de sus progenitores/tutores legales, si se trata de menores de 13 años. No se acepta la captación de imágenes de personas y que el fotógrafo las utilice como estime oportuno, sin su consentimiento y exponiéndola al público.

¿Qué paginas web/tiendas online deben solicitar el consentimiento?

Las páginas web, blogs o tiendas online que recaben datos personales a través de formularios (de contacto, suscripción o presupuestos), tendrán que requerir el consentimiento.

Hay que modificar/incluir páginas de aviso legal, política de cookies y política de privacidad.

¿Cómo afecta a las Redes Sociales?

Para publicar imágenes y otros datos personales en redes sociales es necesario obtener el consentimiento expreso del titular de esos datos.

Aunque no se especifica cuál es el método que se debe usar para obtener tal consentimiento. Éste puede obtenerse tanto dentro como fuera de la red social, por lo que, si tus usuarios han aceptado la política de privacidad que autorice a recoger sus datos para fines concretos, se entendería como válido, aunque haya sido fuera de dicha red social.

¿Se necesita consentimiento para incluir a un cliente en un grupo de WhatsApp?

Es ilegal incluir a personas en grupos de “WhatsApp” sin su consentimiento.

¿En que estado normativo se encuentra el ámbito de la Ciberseguridad?

El pasado 8 de septiembre de 2018 fue publicado el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, que transpone, fuera de plazo – recordemos que la fecha máxima para transponer la directiva era el 9 de mayo de 2018 – la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, conocida también como “Directiva de seguridad” o “Directiva NIS”.

Se espera que, con la aprobación de este Real Decreto-ley, se impulse el desarrollo del mercado interior y se mejore la seguridad en las redes y sistemas de información, aumentando la confianza de los usuarios y prestadores de servicios, así como facilitándose la prestación de servicios con alcance transeuropeo al homogeneizar los requisitos mínimos de seguridad.

Realice una consulta

Consentimiento

9 + 9 =

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies