TALENT FIFTY PLUS - Informática - Comunicación

Preguntas Frecuentes

LOPD > RGPD > LOPD-GDD

DICCIONARIO DE CONCEPTOS

CUMPLIMIENTO LOPD-GDD

DERECHOS RGPD

DERECHOS DIGITALES

TRATAMIENTO DE DATOS PERSONALES

CONSENTIMIENTOS

FIGURAS

ACCIONES

¿Qué Autoridad controla el cumplimiento de la protección de datos?

AEPD
En todo lo referente a la protección de datos de carácter personal establecido en la LOPD-GDD hay que atender a las directrices de la AEPD.

La Agencia Española de Protección de Datos, por regla general, es la encargada de velar por el cumplimento en esta materia. No obstante, la Agencia catalana y la vasca también tienen competencias dentro de su ámbito de aplicación.
ApdCat
La Autoridad Catalana de Protección de Datos garantiza el cumplimiento de la protección datos dentro de las competencias de la Generalitat, siempre en colaboración con la AEPD.
AVPD
La Agencia Vasca de Protección de Datos tiene ámbito de actuación en la Comunidad Autónoma del País Vasco.

¿Afecta el RGPD a mi empresa si esta no tiene su sede social en la UE?

El RGPD es de obligado cumplimiento para cualquier empresa de cualquier parte del mundo que procese datos de personas de la UE. Es más, si tu empresa ofrece bienes o servicios a personas de la UE de una u otra manera, probablemente deberías tener a un representante en la EU para que gestione las cuestiones relativas al RGPD. Además, debes comunicar por escrito a la autoridad de control, en nuestro caso la AEDP, quién es.

¿Para qué empresas u organizaciones es aplicable el RGPD?

El Reglamento es aplicable a responsables o encargados de tratamiento de datos establecidos en la Unión Europea, y a responsables y encargados no establecidos en la UE siempre que realicen tratamientos de datos de carácter personal derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento.

¿En qué medida la LOPD-GDD supone un aumento de obligaciones para las empresas?

La ley requiere un mayor compromiso de las organizaciones, públicas o privadas, en todo lo que respecta a la protección de datos. Pero esto no supone un aumento de la carga para las empresas sino que, en muchos casos, sólo tendrán que aplicar una nueva forma de gestionar la protección de datos, diferente de la aplicada hasta el momento.

¿Qué acciones hay que implementar para adecuarse a la LOPD-GDD?

Análisis de tratamientos de datos personales.
Elaboración del registro de actividades de tratamiento.
Realización del análisis de riesgos.
Revisión de las medidas de seguridad en función del resultado del análisis de riesgos realizado.
Establecimiento de protocolos, procedimientos de gestión de brechas de seguridad.
Designación del Delegado de Protección de Datos si es obligatorio, o recomendable si es voluntario.
Realización, en los casos en que sea necesario, una evaluación de impacto de la protección de datos (EIDP).
Adecuación de los formularios de recogida de datos personales al contenido del derecho a la información de la LOPD-GDD.
Adaptación de los procedimientos para adecuarse a los nuevos derechos de los usuarios en relación al tratamiento de sus datos personales, desarrollados en en la LOPD-GDD
Valoración de los encargados de tratamiento ofrecen para establecer si ofrecen garantías de cumplimiento de la LOPD-GDD.
Adaptación de los contratos con encargados de tratamiento al contenido que dispone la LOPD-GDD.
Confeccionar e implantar políticas de protección de datos.

¿Cuáles son las consecuencias de infringir la LOPD-GDD?

Sanciones de hasta el 4 % de su volumen de negocio anual en todo el mundo o de 20 millones de euros (la que sea de mayor cuantía).

La pérdida de reputación corporativa que supone una fuga de datos de carácter personal.

¿Qué tipos de infracciones son sancionables por la LOPD-GDD?

La LOPD 15/1999 diferenciaba las infracciones en niveles. Los tipos de infracciones que establece la LOPD-GDD 3/2018 hacen referencia a:

Los principios básicos para el tratamiento.
Los derechos de los interesados.
Las obligaciones de la autoridad de control.
Las obligaciones en virtud del derecho de los estados miembros.
Incumplimiento de una resolución o de una limitación temporal o definitiva.
Las obligaciones del responsable y del encargado.
Las obligaciones de los organismos de certificación.

¿Cuáles son las sanciones que establece la LOPD-GDD en materia de protección de datos?

La LOPD-GDD 3/2018 supone un incremento sustancial de la cuantía de las sanciones con respecto a las establecidas en la LOPD 15/1999. Los importes de las sanciones pueden ser de hasta 20 millones de euros o la cuantía equivalente al 2% o 4% del volumen de negocio total anual.

Los incumplimientos se dividen en graves y muy graves.

Sanciones graves: 2% como máximo del volumen de negocio del ejercicio anterior o hasta 10 millones de euros.
Sanciones muy graves: 4% como máximo del volumen de negocio o hasta 20 millones de euros.

El establecimiento del nivel de la sanción en la LOPD-GDD se realizará en función de:

Cualquier infracción anterior cometida por el responsable o encargado del tratamiento.
El grado de cooperación con la autoridad de control.
Tipos de datos de carácter personal afectados por la infracción.
La manera en que la autoridad de control se enteró de la infracción.
La adhesión a códigos de conducta.
Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso (beneficios obtenidos, pérdidas evitadas…).

¿Está mi organización obligada a obtener una “certificación LOPD-GDD”?

No. La LOPD-GDD no especifica ni impone ningún sistema de certificación, pero sí fomenta la certificación voluntaria ante organismos sectoriales u organizaciones que cumplan la norma EN-ISO/IEC 17065/2012 y que tengan la autorización de las autoridades de control correspondientes, la AEPD en el caso de España.

Su obtención tiene especial importancia para terceras empresas que procesan datos en nombre de otros (Encargado de tratamiento).

¿Cómo puedo acreditar que cumplo con la LOPD-GDD?

Según el artículo 28 de la LOPD-GDD "Obligaciones generales del responsable y encargado del tratamiento" los responsables y encargados, teniendo en cuenta los elementos enumerados en los artículos 24 y 25 del Reglamento (UE) 2016/679, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la presente ley orgánica, sus normas de desarrollo y la legislación sectorial aplicable.

¿Qué es la responsabilidad activa de las empresas?

Se entiende por responsabilidad activa (art 28 de la LOPD-GDD) las medidas técnicas y organizativas apropiadas que deben aplicar los responsables y encargados de tratamiento a fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la presente ley orgánica, sus normas de desarrollo y la legislación sectorial aplicable.

En mi web ¿necesito una política de privacidad?

Sí. Es una exigencia derivada del derecho de información de los usuarios. La política de privacidad deberá proporcionarse de forma concisa, transparente, fácil de entender y accesible. En ella deberá explicarse la legitimación para el tratamiento de los datos, los fines, el ejercicios de los derechos, etc.

Si no encuentra respuesta a su pregunta, contacte con nosotros
datospersonales@talentfiftyplus.es

El Valor de la ExperienciaMadurez profesional y aprendizaje continuo.

Nuestro equipo de colaboradores está constituido principal y prioritariamente por profesionales senior, de valía y experiencia demostradas en sus respectivas áreas competenciales, siendo así mismo objeto de la empresa facilitar la reintegración al mundo laboral de profesionales cuya edad dificulta el acceso a puestos de trabajo dignos y adecuados a sus competencias.