Vestigia Barber

Aviso de Privacidad Según la LOPD

Aviso Legal

EL REGLAMENTO DE PROTECCIÓN DE DATOS EN PÁGINAS WEB

Desde que se implantó el nuevo RGPD (Reglamento General de Protección de Datos) es importante tener en el sitio web lo conocido como términos web. Son los avisos legales, política de privacidad, condiciones, y política de cookies que nos encontramos en cualquier página web de internet.

No obstante, dependiendo del contenido del sitio web, estos términos serán más extensos o menos, pero es fundamental tenerlos.

En ellos el usuario va a encontrar la funcionalidad de la página, la normativa, su adaptación a las leyes en materia de protección de datos, y la forma en la que pueden ejercer sus derechos en este aspecto.

CUESTIONES FUNDAMENTALES:

– INFORMACIÓN BÁSICA PARA LA CORRECTA PROTECCIÓN DE DATOS.

En los términos web hay determinados puntos que se deben tratar:

  1. Datos que se solicitan del usuario (además de nombre, apellidos, dirección de correo electrónico…)
  1. Finalidad del tratamiento. Para qué se recaban esos datos y con qué objetivo.
  1. Duración del tratamiento de datos. Durante cuánto tiempo se mantienen los datos del usuario en la base de datos.
  1. Legitimados. Qué personas de tienen acceso a los datos personales de los usuarios y a su tratamiento.

– BASE DE DATOS

La entrada en vigor del Reglamento General de Protección de Datos, es decir, el 25 de mayo de 2018, supone que, entre otros asuntos, se debe solicitar vía correo electrónico a cada usuario una “aceptación del consentimiento”.

Esto supone requerir que el usuario consienta de forma expresa, válida e inequívoca que quiere que sus datos sigan siendo tratados. En este mail también se debe dar la opción de darse de baja de forma directa e inmediata, mediante una casilla o un link.

Esto es fundamental, pues el tratamiento de datos personales ya no es el mismo desde el RGPD, y ahora los usuarios cuentan con más derechos y sobre todo mayor protección a la hora de su tratamiento. Todo lo anterior debe hacerse en

términos simples, ya que uno de los derechos es la transparencia: todos los usuarios deben conocer y entender qué se hace con los datos personales que aportan y que derechos tienen sobre los mismos.

– TRATAMIENTO DE DATOS. RESPONSABLE DEL TRATAMIENTO.

Es necesario nombrar un responsable de tratamiento de datos, que sea identificable y que cuente con una dirección de correo personal que habrá de incluirse en los términos web y en la firma del mail del titular de la web para que cualquier usuario pueda comunicarse de forma directa y plantear cualquier tipo de duda sobre sus datos y su tratamiento, así como para ejercer cualquier derecho de los que dispone según el Reglamento.

DERECHOS DEL USUARIO/CLIENTE:

– Transparencia, que exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro.

– Información, que supone que al interesado se le proporcionará todo lo necesario para que sepa con exactitud qué tratamiento tendrán sus datos, su uso específico y fines, su alcance, y quién será el responsable de tratarlos.

– Acceso; el usuario podrá acceder a sus datos cuando lo desee, y podrá requerir del responsable del tratamiento la información clara del tratamiento que se está llevando a cabo de sus datos aportados, y si cumplen con el fin para el que los prestó.

– Rectificación. El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. (…) El interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.

– Supresión o derecho al olvido; cuando el interesado decida dejar de prestar su consentimiento para el tratamiento de sus datos, o éstos ya no cumplan el fin para el que fueron proporcionados (entre otros), tendrá derecho a obtener del responsable del tratamiento la cancelación y supresión de los mismos, sin que queden almacenados en ficheros.

– Limitación del Tratamiento. Cuando el tratamiento sea ilícito, el usuario impugne la exactitud de los datos, o se haya opuesto a su uso y sea preferente la decisión del interesado sobre la del responsable del tratamiento, éste tendrá derecho a poner límites al uso de sus datos.

– Portabilidad de datos. El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado.

– Oposición. El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, letras e), (misión realizada por interés general) o f) (intereses legítimos), incluida la elaboración de perfiles sobre la base de dichas disposiciones.

Dentro de las funciones del responsable, destaca el Registro de Actividades, que viene a sustituir la anterior obligación de inscripción del fichero de datos personales en la Agencia Española de Protección de Datos.

Este Registro se realiza de forma interna, sin necesidad de su inscripción o registro alguno. Es una medida impuesta por el nuevo Reglamento con el objetivo de asegurar el cumplimiento de todas las medidas de seguridad en materia de protección de datos y demostrar tal cumplimiento en caso de que se lleve a cabo una auditoría por parte de la autoridad de control (la AEPD en este caso).

REGISTRO DE ACTIVIDADES AEPD

Con el nuevo Reglamento (UE) 2016/679 de Protección de Datos, que entró en vigor el 25 de mayo de 2018, se ha suprimido la anterior obligación de registro de los ficheros en la Agencia de Protección de Datos que establecía la anterior Directiva europea y la LOPD.

Se trata de tener un documento en formato electrónico y en formato físico que ha de estar siempre actualizado y a disposición de la autoridad de control, en nuestro caso, de la Agencia Española de Protección de Datos; previa solicitud de ésta.

Este registro deberá ser realizado por el Encargado y/o responsable del tratamiento de datos de carácter personal.

Es importante tener en cuenta que todo lo reflejado en el registro debe ser lo más eficaz y detallado posible.

El contenido obligatorio para todo registro debe ser:

– Datos de contacto del responsable (siempre obligatorio), y en su caso, del corresponsable, del representante del responsable y del delegado de protección de datos.

– Cuáles son los fines del tratamiento de datos que se ha de realizar con los datos personales obtenidos del usuario/cliente.

– Describir y clasificar de forma concreta las diferentes categorías de interesados/usuarios/clientes y de sus datos en base a su confidencialidad y nivel de protección.

– Realizar también una clasificación por categorías de los destinatarios de los datos aportados por los usuarios/clientes que se les comunican o comunicarán, incluidos aquellos en terceros países u organizaciones internacionales.

– En su caso, las transferencias de datos a terceros, con todos los datos de contacto, también si son terceros países u organizaciones internacionales.

Sobre esto último, para que la transferencia de datos personales a terceros países u organizaciones internacionales pueda realizarse, debe garantizarse que se posee las medidas de protección adecuadas, lo cual deberá reflejarse en este registro con los documentos pertinentes que garanticen dicha protección.

– Siempre que sea posible, concretar los plazos previstos para la supresión de las categorías de datos.

– Siempre que sea posible, una descripción lo más detallada de las medidas técnicas y organizativas de seguridad llevadas a cabo por el responsable. Sobre estas, el Reglamento establece que deben incluirse en base al nivel de riesgo o de protección:

  • La seudonimización y el cifrado de datos personales;
  • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
  • La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
  • Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

En caso de que quien lleve a cabo el tratamiento de datos sea el encargado y no el responsable, el Reglamento establece que deberán ser incluidos en el registro los mismos datos exigidos para el responsable.

Finalmente, el propio Reglamento exime de cumplimiento de esta obligación de registro de actividades cuando:

– La empresa u organización que emplee a menos de 250 personas, a no ser que:

  • El tratamiento de datos a realizar suponga un riesgo para los derechos y libertades de los usuarios/interesados; cuando se trate de datos especialmente protegidos o se requiera un nivel de protección alto.
  • Incluya categorías especiales de datos personales sobre origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física, o datos personales relativos a condenas e infracciones penales.

No obstante, y aunque se dé el caso que se cumpla con lo anterior y no sea obligatorio tener el registro de actividades, sí se recomienda realizarlo, así de cara a una auditoría es mucho más claro demostrar que se cumple con todas las medidas de seguridad que impone el nuevo Reglamento y se está menos expuesto a cualquier tipo de sanción por parte de la AEPD.

DISPOSICIONES NORMATIVAS DEL REGLAMENTO A APLICAR PARA EL REGISTRO DE ACTIVIDADES

Considerando 82: Para demostrar la conformidad con el presente Reglamento, el responsable o el encargado del tratamiento debe mantener registros de las actividades de tratamiento bajo su responsabilidad. Todos los responsables y encargados están obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento.

Artículo 30. Registro de las actividades de tratamiento

  1. Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación:
    • El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
    • Los fines del tratamiento;
    • una descripción de las categorías de interesados y de las categorías de datos personales;
    • Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
    • En su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
    • Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
    • Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.

 

  1. Cada encargado y, en su caso, el representante del encargado, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contenga:
    • El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos;
    • Las categorías de tratamientos efectuados por cuenta de cada responsable;
    • En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
    • Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 30, apartado 1.
  1. Los registros a que se refieren los apartados 1 y 2 constarán por escrito, inclusive en formato electrónico.
  1. El responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado pondrán el registro a disposición de la autoridad de control que lo solicite.
  1. Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.