RockYourBlogBinar cuenta en esta ocasión con Mamen Fernández, autora de abogada especializada en Derecho TIC y Compliance y asesora jurídica en LEXblogger, que nos traer la ponencia titulada
“Adapta tu blog al Reglamento General de Protección de Datos (RGPD)”
Temas a tratar:
¿Por qué se le está dando tanta importancia al cumplimiento del RGPD?
¿Quiénes deben cumplir el RGPD?
¿Cuáles son los principales cambios que introduce el RGPD respecto a la normativa anterior?
¿Qué papel juega exactamente la Agencia Española de Protección de Datos?
¿A qué sanciones se enfrenta una empresa o profesional que incumple el RGPD?
Caso práctico: ¿cómo cumplir el deber de información y obtención de consentimiento para fines comerciales en tu blog o sitio web?
3. Abogada especializada en Derecho TIC y Compliance. Privacidad, comercio electrónico,
marketing digital, redes sociales, contratos, etc. Asesoramiento para la implantación de
Modelos de Prevención de Delitos en empresas en cumplimiento del artículo 31 bis del
C.P. Asesora jurídica en LEXblogger. Miembro de ENATIC y de la Sección de Nuevas
Tecnologías del Ilustre Colegio de Abogados de Málaga.
Twitter: @mamenft
Web: mamenfernandez.com
Linkedin: http://www.linkedin.com/in/mcarmenfernandez
Mamen Fernández
FOTO
5. La imagen positiva que damos
Pregunta 1
¿Por qué se le está dando tanta importancia al cumplimiento del Reglamento General de
Protección de Datos?
En Europa y más concretamente en España contamos con normativa específica desde el año 92, que luego fue
modificada en 1.999 por la conocida LOPD (Ley Orgánica de Protección de Datos). La LOPD, que responde a una
Directiva europea de 1.995, supuso un punto de inflexión y con el paso del tiempo y gracias también a la labor de la
Agencia Española de Protección de Datos las empresas empezaron a darse cuenta de la necesidad de cumplir
unas obligaciones legales que les impedían hacer cualquier cosa con los datos que no hubiera sido previamente
consentido por los interesados.
Cada día que pasa somos más conscientes del poder que tiene la información de carácter personal. Siempre se
dice que los datos personales son el petróleo de este siglo y de eso saben mucho empresas como Facebook y
otras. En la Unión Europea siempre ha habido preocupación por la privacidad, a diferencia de otros países en los
que la seguridad en otros ámbitos tiene más importancia, como ocurre en Estados Unidos. De ahí que se haya
desarrollado el RGPD, que es una norma que nace para ser directamente aplicable a los países de la Unión, sin
necesidad de trasposición, para homogeneizar el cumplimiento de obligaciones legales para salvaguardar la
protección de los datos de los ciudadanos europeos incluso cuando sean tratados por países no pertenecientes a la
Unión. Es una norma bastante ambiciosa en lo que respecta al ámbito territorial de aplicación y demasiado general,
lo que está complicando su aplicación práctica, pero viene a reforzar frente las leyes anteriores, el más que
consagrado derecho a la protección de datos personales de cada individuo.
7. La imagen positiva que damos
Pregunta 2
¿Quiénes deben cumplir el RGPD?
Cualquier entidad o persona que trate datos personales fuera del ámbito doméstico. Es decir, empresas, profesionales,
administraciones públicas, ong´s,...
El RGPD se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del
responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.
Pero también se aplica, como decía, al tratamiento de datos personales de interesados que residan en la Unión por
parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén
relacionadas con:
a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su
pago, o
b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.
9. La imagen positiva que damos
Pregunta 3
¿Cuáles son los principales cambios que introduce el RGPD respecto a la normativa anterior?
•El principal cambio en mi opinión es el relativo a la proactividad. Se exige una mayor implicación por parte de cualquier entidad que deba cumplir la
norma. Ya no basta que una empresa disponga de documentación y se limite a archivarla y a olvidarse de ella. El cumplimiento del RGPD debe formar
parte del día a día de la actividad comercial, igual que la normativa tributaria, de prevención de riesgos laborales y cualquier otra que afecte a la
empresa. Estamos en la era del "Compliance", es decir, de la concienciación de la necesidad de cumplir leyes y evitar conflictos. Los abogados
especializados en protección de datos trabajamos fundamentalmente para la prevención del incumplimiento
•Se exige mayor transparencia a la hora de tratar los datos personales. Mayor información a los interesados sobre qué se va a hacer con sus datos.
•Se ha reforzado el consentimiento del interesado. Ojo, en España ya se disponía de normativa que requiere contar con un consentimiento inequívoco
para según qué finalidades. Pero el RGPD viene a exigirlo a todos, especialmente, cuando se trata de usar datos con fines de marketing.
•Se incluyen nuevos derechos como el derecho a la limitación del tratamiento, derecho al olvido. Solo que hay que ver caso por caso para conocer la
pertinencia del ejercicio del derecho.
•Se incluye la importante figura del Delegado de Protección de Datos (DPD), como persona con conocimientos especializados en la materia para
coordinar el cumplimiento de la norma en una empresa y servir de contacto respecto a los posibles afectados y respecto a la AEPD.
•Se refuerza la relación contractual con los Encargados de Tratamiento (terceros que acceden a datos tratados por el Responsable de Tratamiento
como consecuencia de la prestación de un servicio).
•Se introducen nuevas medidas de gestión del cumplimiento como el Registro de Actividades, el Análisis de Riesgos, la Evaluación de Impacto de
Privacidad o la comunicación de las violaciones de seguridad a la AEPD y, en su caso, a los afectados.
11. La imagen positiva que damos
Pregunta 4
¿Qué papel juega exactamente la Agencia Española de Protección de Datos?
La AEPD, como máxima autoridad competente en materia de protección de datos en España, tiene el deber de
informar a la ciudadanía sobre los derechos que ostenta en esta materia y a la vez, debe ayudar a las entidades
obligadas a cumplir la norma. Para ello, está publicando diversas Guías y documentación. Va poco a poco, dentro
de sus capacidades.
Es el organismo que se encarga de sancionar a quienes incumplen la normativa de protección de datos pero en su
favor, hay que decir que realiza una importante labor de divulgación y de defensa del derecho a la protección de
datos frente a gigantes como Google o Facebook.
13. La imagen positiva que damos
Pregunta 5
¿A qué sanciones se enfrenta una empresa o profesional que incumple el RGPD?
Las sanciones varían dependiendo del tipo de incumplimiento. El RGPD establece un régimen sancionador que atiende al volumen de
facturación de las empresas. Ya no se dispone de una escala como la que teníamos en la LOPD que podía alcanzar cantidades como
600.000 €.
Pero para imponer la sanción que corresponda, el RGPD contempla que se tendrán en cuenta circunstancias como:
•La naturaleza, gravedad y duración de la infracción, el número de interesados afectados y el nivel de los daños y perjuicios que hayan
sufrido;
•La intencionalidad o negligencia en la infracción;
•Cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los
interesados;
•El grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos
de la infracción;
•Las categorías de los datos de carácter personal afectados por la infracción;
•La adhesión a códigos de conducta.
Asimismo, se pretende que los conflictos se resuelvan en el seno de la empresa. Entre otras medidas, se quiere dar facultades de
mediación a los DPD para intentar resolver el problema que surja en lugar de que el afectado interponga directamente una denuncia
ante la AEPD.
15. La imagen positiva que damos
Caso Práctico
¿Cómo cumplir el deber de información y de obtención de consentimiento para fines comerciales en un blog o sitio web?
Debemos partir de la base de que un sitio web debe disponer, en principio, de dos textos legales: Aviso Legal y Política de
Privacidad.
El Aviso Legal contiene información identificativa de la empresa o profesional titular del sitio web (nombre o razón social,
CIF o NIF, domicilio, datos registrales, etc.). Todos los datos que indica la Ley 34/2002 de Servicios de la Sociedad de la
Información y Comercio Electrónico (LSSICE). Asimismo, se suelen contemplar otros aspectos como el relativo a la
propiedad intelectual e industrial de los contenidos publicados en el sitio web.
Y en la Política de Privacidad, que es el tema que nos ocupa, es donde se indica al usuario cuáles son las finalidades para
las que se recaban los datos que aquel puede aportar mediante los formularios u otros medios que se pongan a su
disposición, así como los derechos que le asisten y el lugar ante el que puede ejercerlos.
Ambos textos legales deben situarse a modo de enlace y de manera siempre visible durante toda la navegación.
16. La imagen positiva que damos
Caso Práctico
Un ejemplo básico de contenido de Política de Privacidad conforme al deber de información establecido en el artículo 13 del RGPD, es el
siguiente:
"Los datos personales que nos aporte mediante el formulario de contacto o mediante el correo electrónico que pongo a su disposición serán tratados por
_____________________ Responsable del Tratamiento con domicilio en C/ ____________. NIF: ____________ Tf. ___________. Email: _________
La finalidad del tratamiento es atender la duda o consulta que formule y remitirle comunicaciones comerciales relativas a nuestros servicios siempre que nos haya dado su
consentimiento inequívoco para ello.
La base legal para el tratamiento de sus datos es el consentimiento que otorga mediante la marcación de las casillas que ponemos a su disposición. Podrá retirar su consentimiento en
cualquier momento sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada. Sus datos serán conservados hasta que comunique la revocación de
su consentimiento, momento en el que serán suprimidos.
Sus datos no serán cedidos a terceros salvo imperativo legal.
El envío de comunicaciones comerciales se hará mediante la aplicación MailChimp (mailchim.com), de la empresa The Rocket Science Group, ubicada en Estados Unidos. Dicha empresa
está adherida al Escudo de Privacidad, por lo que la transferencia internacional de sus datos está amparada por el cumplimiento de dicho acuerdo.
Podrá ejercer los derechos que se exponen a continuación, enviando un e-mail a la dirección de correo electrónico antes indicada o mediante carta dirigida a la dirección también
expuesta anteriormente.
•Derecho de acceso a los datos personales: usted podrá solicitar información sobre si estoy tratando sus datos y qué tratamientos estoy realizando.
•Derecho a solicitar la rectificación de sus datos en caso de que sean incorrectos o su supresión en caso de que dejen de ser necesarios para la finalidad que motivó su recogida.
•Derecho a solicitar la limitación del tratamiento de sus datos.
•Derecho a oponerse al tratamiento de sus datos.
•Derecho a la portabilidad de los datos a un nuevo Responsable.
En caso de que considere que existe alguna vulneración de su derecho a la protección de datos por mi parte, puede presentar una reclamación ante la Agencia Española de Protección
de Datos (www.agpd.es)."
17. La imagen positiva que damos
Caso Práctico
PANTALLAZO
Para cumplir el RGPD en lo que respecta al deber de información y al deber de obtención del consentimiento para el uso de datos con fines
comerciales, bajo el formulario de contacto que hayamos dispuesto en el sitio web, se deben incluir dos casillas en blanco. La primera
acompañada de una frase tipo "He leído y acepto la Política de Privacidad" (insertando enlace al texto de dicha política) y la segunda,
acompañada de la frase tipo "Autorizo la recepción comunicaciones comerciales". Se expone un ejemplo a continuación:
18. La imagen positiva que damos
Caso Práctico
La AEPD ha publicado una Guía para cumplir el deber de información, en el que indica que bajo los formularios de recogida de datos se debe
incluir un cuadro-resumen de la información que se incluye en la Política de Privacidad. Ese cuadro-resumen sería el siguiente:
INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS
Responsable AAAAAAAAA
Finalidad Atender dudas o consultas de los usuarios. Envío de comunicaciones comerciales.
Legitimación Consentimiento.
Destinatarios No se cederán a terceros salvo imperativo legal.
Derechos Acceso, rectificación o supresión, limitación del tratamiento, oposición al tratamiento y
portabilidad.
Información
adicional
Puede consultar información adicional y detallada sobre Protección de Datos en nuestra
Política de Privacidad (insertar link)
19. #RockYourBlogBinar
Esmeralda Díaz-Aroca
Es especialista en Social Media, Personal Branding y
Social Selling. Coach, Escritora, Ph.D, Consultora y
Profesora. Autora de Como tener un Perfil10 en
LinkedIn y Twitter para Abogados.
Mamen Fernández
Abogada TIC & Compliance. Asesora
jurídica en LEXBlogger.
Prueba Gratis BlogsterApp
FOTO