La autoridad española de protección de datos (‘AEPD’) publicó, el 3 de junio de 2022, su resolución en el expediente PS-00608-2021, en la que sancionaba a una persona anónima con 600 €, que posteriormente se redujo a 360 €, por la infracción de los artículos 5 (1)(c) y 13 del Reglamento General de Protección de Datos (Reglamento (UE) 2016/679) (‘GDPR’), tras una denuncia recibida por la Guardia Civil

En concreto, la AEPD procedió a su investigación tras una denuncia presentada por la Guardia Civil contra el reclamado por tener instaladas cámaras de videovigilancia, con las cámaras orientadas hacia la vía pública, sin cartel informativo.

En sus conclusiones, la AEPD decidió que la demandada había violado el principio de minimización de datos conforme al artículo 5(1)(c) del RGPD e incumplió su deber de información conforme al artículo 13 del RGPD.

Dado lo anterior, la AEPD multó a la demandada con 300€ por infracción del artículo 5(1)(c) del RGPD y con otros 300€ por infracción del artículo 13 del RGPD. No obstante, la AEPD dispuso que debido a una admisión de culpabilidad y un pago voluntario por parte del reclamado, la multa se redujo en un 20% cada uno hasta los 360€.

¿Cuáles son los requisitos para cumplir con el RGPD al grabar con cámaras CCTV?

Según indica la propia agencia en el expediente, el tratamiento de imágenes a través de un sistema de videovigilancia, para ser conforme con la normativa vigente, debe cumplir los requisitos siguientes:

  • Respetar el principio de proporcionalidad.

  • Cuando el sistema esté conectado a una central de alarma, únicamente podrá ser instalado por una empresa de seguridad privada que reúna los requisitos contemplados en el artículo 5 de la Ley 5/2014 de Seguridad Privada, de 4 de Abril.

  • Las videocámaras no podrán captar imágenes de las personas que se encuentren fuera del espacio privado en donde esté instalado el sistema de videovigilancia, ya que el tratamiento de imágenes en lugares públicos sólo puede ser realizado, salvo que concurra autorización gubernativa, por las Fuerzas y Cuerpos de Seguridad. Tampoco pueden captarse ni grabarse espacios propiedad de terceros sin el consentimiento de sus titulares, o, en su caso, de las personas que en ellos se encuentren.
  • Esta regla admite alguna excepción ya que, en algunas ocasiones, para la protección de espacios privados, donde se hayan instalado cámaras en fachadas o en el interior, puede ser necesario para garantizar la finalidad de seguridad la grabación de una porción de la vía pública. Es decir, las cámaras y videocámaras instaladas con fines de seguridad no podrán obtener imágenes de la vía pública excepto en el caso de que resulte imprescindible para dicho fin, o resulte imposible evitarlo por razón de la ubicación de aquéllas y extraordinariamente también se recogerá el espacio mínimo para dicha finalidad. Por lo tanto, las cámaras podrían excepcionalmente captar la porción mínimamente necesaria para la finalidad de seguridad que se pretende.

  • Se deberá cumplir el deber de informar a los afectados previsto en los artículos 12 y 13 del RGPD y 22.4 de la LOPDGDD.
  • En concreto se deberá colocar en las zonas videovigiladas, al menos un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados, en el que se identificará, al menos, la existencia de un tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos previstos en dichos preceptos. Asimismo, deberá mantenerse a disposición de los afectados la información.

  • El responsable deberá llevar un registro de actividades de los tratamientos efectuados bajo su responsabilidad en el que se incluya la información a la que hace referencia el artículo 30.1 del RGPD.

  • Las cámaras instaladas no pueden obtener imágenes de espacio privativo de tercero y/o espacio público sin causa justificada debidamente acreditada, ni pueden afectar a la intimidad de transeúntes que transiten libremente por la zona. No está permitida, por tanto, la colocación de cámaras hacia la propiedad privada de vecinos con la finalidad de intimidarlos o afectar a su ámbito privado sin causa justificada.

  • En ningún caso se admitirá el uso de prácticas de vigilancia más allá del entorno objeto de la instalación y en particular, no pudiendo afectar a los espacios públicos circundantes, edificios contiguos y vehículos distintos de los que accedan al espacio vigilado.

Desde Equal siempre recomendamos buscar un asesoramiento experto en materia de protección de datos, de cara a cumplir con el RGPD y así evitar posibles sanciones.

La AEPD ha sancionado a ALQUILER SEGURO S.A.U por vulneración del Artículo 6.1 del RGPD, al existir falta de legitimación en el tratamiento de datos efectuado.

El Proceso ha sido iniciado por parte de un particular participante en un proceso de selección que la sancionada estaba llevando a cabo.

El reclamante, no habiendo sido seleccionado para el puesto, y tras comprobar que la reclamada accedió a ficheros de solvencia en relación a su persona previamente, en concreto al fichero ASNEF, decidió reclamar ante la AEPD.

En la reclamación se argumentaba que Alquiler Seguro había hecho un acceso a datos no legitimo, al tratarse de un acceso al fichero para una finalidad distinta de la prevista, al no haber accedido al fichero para valorar la situación patrimonial a raíz de una futura relación comercial, de crédito o de pago periódico o aplazado, siendo esta la finalidad del mismo.

La reclamada responde

Tras dar la AEPD traslado de la reclamación a Alquiler Seguro, esta alega que la consulta de ficheros de solvencia es un procedimiento habitual que se lleva a cabo en ciertos procesos de selección, considerando legitimo el acceso a datos en dichos procesos.

Por otro lado indican no disponer de información en relación al reclamante, ya que, una vez finalizado el proceso de selección, se eliminaron los datos relativos a el candidato. Manifestando que «la única información para revisar el procedimiento efectuado, así como la posible brecha de seguridad consistente en un acceso no autorizado a los datos del afectado, son los anexos aportados por el presunto afectado»

La AEPD sanciona

La autoridad de control, tras efectuar las pertinentes pesquisas en relación a la reclamación y ponerse en contacto con Asnef-Equifax de cara a solicitar información adicional, resuelve multar a la reclamada con una sanción de 70.000 Euros.

Dicha sanción queda reducida a 42.000 Euros al reconocer Alquiler Seguro su responsabilidad en el no cumplimiento del RGPD en relación a la legitimidad de tratamiento de datos y al acogerse a pago voluntario.

Desde Equal siempre recomendamos buscar un asesoramiento experto en materia de protección de datos, de cara a cumplir con el RGPD y así evitar posibles sanciones.

El texto de protección de datos en un correo electrónico hace alusión a la privacidad así como al deber de secreto que los destinatarios del correo han de mantener en relación al contenido del mismo, soliéndose emplear en comunicaciones que requieren confidencialidad.

¿QUÉ UTILIDAD TIENE DICHO AVISO LEGAL?

Este texto de Protección de datos permite cumplir con el deber de informar a los destinatarios del correo electrónico sobre el tratamiento de sus datos personales, presentándose la información en dos capas informativas.

La primera capa presenta la siguiente información básica al destinatario del email :

 Identidad del responsable del tratamiento
 Finalidad del tratamiento
 Legitimación o base jurídica
 Destinatarios de los datos
 Derechos del usuario y cómo ejercerlos
 Procedencia de los datos
 Plazo de conservación de los datos

La segunda capa profundiza en la información presentada en esta primera capa, añadiendo mayor información sobre cada uno de los elementos anteriormente señalados.

Esta misma información será proporcionada al usuario cuando se trate de obtener el consentimiento para recibir comunicaciones comerciales por email, suscripciones a Newsletter o similares.

MODELO TEXTO RGPD PARA EMAIL

La propia cláusula de Protección de Datos puede seguir una formula similar a la siguiente :

«Esta comunicación va dirigida de manera exclusiva a su destinatario y puede contener información confidencial y/o sujeta a secreto profesional, cuya divulgación no está permitida por la Ley. Si ha recibido este mensaje por error, le rogamos que a la menor brevedad posible, se comunique mediante correo electrónico remitido a nuestra atención y proceda a su eliminación, así como cualquier documento adjunto al mismo».

En cuanto al texto LOPD puede ser presentando de la siguiente manera :

En cumplimiento del RGPD en materia de protección de datos personales, le informamos de que recibe este email por estar suscrito a (XXXXXX).

El responsable del tratamiento de sus datos es (XXXXXX), con NIF (XXXXXX) y domicilio fiscal (XXXXXX).

La finalidad para la que se recogen sus datos es (XXXXXX) (por ejemplo, para enviarle ofertas personalizadas).

Período de conservación de los datos. Su información permanecerá en nuestra base de datos durante (XX semanas/meses/año), no será cedida a terceros.

Ejercicio de derechos. Puede ejercer sus derechos de acceso, rectificación, cancelación, oposición o limitación del tratamiento poniéndose en contacto con nosotros a través de (XXXXXX)»

Evita sanciones, Somos abogados, consultores expertos en RGPD

Este 25 de mayo de 2022 el Reglamento General de Protección de Datos (RGPD) cumple cuatro años. O, para ser más exactos, se cumple el cuarto aniversario desde que empezó a ser exigible.

A la espera de otras disposiciones normativas que van a venir a complementar y concretar algunos puntos del RGPD (seguimos a la espera de la aprobación definitiva y fecha de entrada en vigor del Reglamento de Privacidad Electrónica, conocido como Reglamento ePrivacy), lo cierto es que es la norma vigente que en Europa aplica en materia de privacidad.

Si bien hubo dos años de moratoria antes de que empezara a ser exigible, lo cierto es que fue a partir de mayo de 2018 cuando comenzó una carrera por parte de las empresas para ponerse al día. Carrera que, a pesar del tiempo transcurrido, aún no ha terminado en un número elevado de casos.

Proactividad

Y, no obstante, no hay que olvidar que la responsabilidad proactiva es un principio fundamental en la aplicación del RGPD, lo que supone que estamos obligados a llevar a cabo una adaptación y revisión continua de los procesos implementados en las organizaciones. Estamos ante un proceso, por tanto, que no termina nunca, que exige incorporar procesos de mejora continua.

El término “Accountability” tiene hoy día plena vigencia, puesto que las empresas y profesionales, como Responsables del Tratamiento, vienen obligados a acreditar que los procesos en el tratamiento de datos se adaptan a la normativa.

Sanciones

En materia de sanciones, tras un período de cierta calma en el que las autoridades de control dieron aire a las empresas para que se fueran adaptando de manera progresiva, lo cierto es que estas han ido en aumento, llevando a marcar sanciones máximas cada poco tiempo. La última de ellas, y primera en el ránking en lo que se refiere a sanciones en nuestro país, ha sido publicada hace apenas unos días, siendo Google el sancionado, en este caso con diez millones de euros por dos infracciones: cesión de datos a terceros sin consentimiento de los interesados, y por obstaculizar el derecho de supresión, el llamado en el ámbito digital “derecho al olvido”.

Anteriormente, otras empresas importantes fueron sancionadas con fuertes multas. Más allá del nombre de estas empresas, que tienen un impacto mediático alto por tratarse de grandes entidades conocidas por todos, lo verdaderamente relevante son los motivos que llevan a la Agencia Española de Protección de Datos a adoptar las resoluciones sancionadoras. Y decimos que es relevante porque se trata de cuestiones en las que todos, grandes empresas, pero también pequeñas, podemos incurrir, y de hecho se incurre y se sanciona, si bien no con la publicidad y, como decimos, el impacto que las grandes tienen.

La mayor parte de las sanciones vienen dadas por incumplimientos derivados del tratamiento de datos sin base de legitimación (sin recabar de manera adecuada, por ejemplo, el consentimiento de los interesados), o por falta de información, o información poco clara y transparente. Mención aparte merecen los envíos publicitarios sin recabar autorización, o bien sin facilitar los medios para darse de manera sencilla de baja por parte del interesado.

Expansión de los canales digitales

En lo que respecta a los canales digitales, al margen de contar con Políticas de Privacidad adecuadas en dichos canales, cobra especial relevancia en los últimos tiempos las reclamaciones crecientes a causa de políticas de cookies incorrectamente aplicadas. No olvidemos que, al margen de ampliar los supuestos de información que se debe prestar al usuario, se debe permitir a este aceptar de modo expreso la instalación de aquellas cookies no funcionales, algo que un número demasiado elevado de páginas web todavía no cumple, estando en riesgo alto de que a sus propietarios les pueda llegar un requerimiento.

Relaciones Responsable del Tratamiento – Encargados del Tratamiento

Igualmente estamos asistiendo, cada vez con más frecuencia, a mayores controles y exigencias por parte de aquellos responsables del Tratamiento que contratan servicios con proveedores que suponen un tratamiento de datos con un nivel elevado de riesgos. Ello ha llevado a que se lleven a cabo controles exhaustivos, auditorías a dichos proveedores, y peticiones de garantías adicionales, como las ISO de la familia 27001, de Seguridad de la Información, o la 27701, que asegura la correcta aplicación del RGPD. Se trata, como decimos, de garantías que cada vez más se solicitan para poder tener certeza de que los procesos en el tratamiento de datos por cuenta de terceros son los correctos, a fin de evitar problemas que, como ya hemos visto en determinadas resoluciones sancionadoras, terminan por implicar multas al propio Responsable.

En los últimos dos años, además, motivado en gran medida por el impacto de la pandemia del COVID-19, han aumentado de manera importante la importancia los comercios electrónicos, las apps, y todo tipo de canales del mundo digital que plantean poco a poco nuevos retos en materia de privacidad que es necesario estudiar, valorar los riesgos, y tomar las medidas necesarias para estar seguros de efectuar un tratamiento de datos correcto.

Delegado de protección de datos

Mención especial, también, a lo que fue, en el RGPD, la novedosa figura del Delegado de Protección de Datos (DPO), obligatoria para determinadas empresas y voluntaria para todas, que permite mejorar el cumplimiento y profundizar en la implementación de cultura de protección de datos en el seno de las empresas, al margen de ser el canal a través del cual poder atender denuncias o reclamaciones.

La figura del DPO, lejos de perder vigencia, cada vez es más valorada, ayudando no solo a cumplir con un imperativo legal, en los casos en los que así se requiera, sino a potenciar la imagen de marca de un gran número de empresas. De cara al futuro al DPO se le presenta un número cada vez mayor de posibilidades, y su necesidad parece que irá en aumento. De hecho, el anteproyecto de ley que regula la protección de las personas que informen sobre infracciones normativas y lucha contra la corrupción con el objeto de transponer la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, esto es, el conocido “canal de denuncias” en las empresas, contempla que dicho canal será obligatorio para organizaciones de más de 50 trabajadores, recogiendo además, si bien ha pasado por el momento bastante desapercibido salvo para los profesionales del sector, que dichas empresas con un número superior a los 50 trabajadores deberán contar también con un Delegado de Protección de Datos.

Fin de la moratoria para adaptar contratos anteriores al RGPD

Por último, y dado que se cumple, como hemos dicho, el cuarto aniversario desde la exigibilidad del RGPD, debemos recordar algo importante, puesto que este 25 de mayo de 2022 finaliza la moratoria de cuatro años para actualizar a la nueva normativa aquellos contratos con encargados del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo del artículo 12 de la antigua LOPD 15/1999, dado que se establecía que estos contratos mantendrían su vigencia hasta la fecha de vencimiento señalada en los mismos, y en caso de vencimiento indefinido, hasta el 25 de mayo de 2022.

Por tanto, si tenéis firmados con fecha anterior al 25 de mayo de 2018 contratos con aquellos proveedores cuyo servicio implica un acceso a datos por cuenta de terceros (Encargados del Tratamiento) debéis revisarlos y firmar nuevos contratos que sean acordes al RGPD.

Equal | Adaptamos tu empresa, negocio o entidad al RGPD

Los datos personales sanitarios, es decir, los datos personales asociados a la salud, son datos sensibles, gozan de una protección especial y constituyen una categoría especial de datos personales tras la entrada en vigor del RGPD, Reglamento General de Protección de Datos.

El RGPD define «datos personales» como “toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.”

Los «datos personales sanitarios» se definen como: “los datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud”.

Los datos genéticos son considerados datos personales asociados a la salud, siendo estos datos relativos a características genéticas heredadas o adquiridas que faciliten una información única sobre la fisiología o salud personal.

Por lo tanto, los datos personales que conforman las bases de datos de salud son de dos tipos, por un lado tenemos datos que identifican a la persona, nombre, apellidos, teléfono, dirección, DNI y por otro lado tenemos a los propios datos de salud, como medicamentos, pruebas diagnósticas efectuadas, antecedentes familiares existentes, etc.

El conjunto de estos datos de información personal y de salud conforma la historia clínica, siendo esta definida en la Ley 41/2002 de 14 de noviembre como el conjunto de documentos que contienen los datos, valoraciones e informaciones de cualquier índole sobre la situación y la evolución clínica de un paciente a lo largo del proceso asistencial.

El responsable del tratamiento de los datos contenidos en las historia clínica es el médico o centro sanitario, teniendo la obligación de elaborarla, custodiarla e implementar las medidas de seguridad adecuadas para que no se extravíe o se produzca un acceso no permitido por terceros, teniendo el paciente derecho a solicitar una copia de su historia, así como derecho a pedir rectificación o supresión de datos, etc.

Legitimación y derecho de información para el tratamiento de datos sanitarios

Por lo general, cuando un paciente acude a un centro sanitario, ya sea público o privado, no es necesario pedir el consentimiento al paciente para el tratamiento de sus datos, ya que, casi siempre, acude de cara a recibir asistencia sanitaria, siendo necesario el conocimiento y posterior tratamiento de datos de salud para poder dar al paciente la adecuada asistencia.

Sin embargo, si es preciso cumplir con el deber de informar al paciente en relación a lo siguiente :

  • La identidad y los datos de contacto del responsable del tratamiento de datos de salud y, en su caso, de su representante.
  • Datos de contacto del delegado de protección de datos, en los supuestos en los que sea obligado contar con dicha figura. Hospitales, clínicas, centros de salud, etc, deben de contar con delegado de protección de datos, no siendo obligatorio en el caso de consultas privadas de un único profesional sanitario. Los pacientes podrán dirigirse a esta figura de cara a que atienda reclamaciones en relación al tratamiento de datos y ejercicio de derechos.
  • Los fines y base jurídica del tratamiento de datos.
  • Los destinatarios o las categorías de destinatarios de los datos personales.
  • La existencia por parte del responsable de intención de realizar una transferencia de datos a un tercer país u organización internacional.
  • El plazo de conservación de los datos, siendo el mínimo de cinco años, conservándose mientras sean necesarios para poder dar una adecuada asistencia.
  • El derecho a solicitar al responsable del tratamiento el ejercicio de derechos de acceso, rectificación, supresión, limitación, etc.
  • El derecho a retirar el consentimiento, así como el derecho a presentar una reclamación ante una autoridad de control.
  • La existencia de toma de decisiones mediante procesos informáticos sin intervención humana, es decir, decisiones automatizadas.
  • Cuando se proyecte un tratamiento ulterior de datos personales para un fin distinto al que fueron recogidos, se ha de facilitar toda información y aclaración posible, con anterioridad a dicho tratamiento ulterior, al interesado

Hospitales, clínicas, centros sanitarios han de cumplir con el RGPD

Déjate asesorar por expertos

Víctor Manuel Fernández Gómez, Redacción Equal.

La AEPD ha sancionado con 30.000 Euros de multa a un establecimiento hotelero, por infracción, calificada como muy grave, del Artículo 6 del RGPD, en relación a la licitud del tratamiento de datos personales a la hora de hacer el registro de entrada.

El reclamante, un ciudadano de Paises Bajos, inició el proceso de reclamación ante la autoridad de control de su país, dando esta traslado de la reclamación a la autoridad competente, la AEPD, al encontrarse el establecimiento hotelero en España.

En su reclamación el reclamante indica que en el proceso de entrada y registro en el hotel le fue solicitado el pasaporte, siendo este escaneado digitalmente y en su totalidad pese a su oposición, alegando que no todos los datos incluidos en el mismo son necesarios. El personal del hotel le respondió señalando que ellos simplemente seguían las instrucciones de la policía en relación al registro de clientes.

En relación con la cuestión suscitada por el reclamante, la autoridad remitente preguntó si realmente la ley española obliga a escanear el pasaporte completamente o sólo son necesarios algunos datos para cumplir el proceso de registro.

¿Cuál ha sido el motivo de sanción?

El hotel, en el proceso de registro de entrada del cliente, escaneaba mediante un programa de reconocimiento óptico de caracteres el documento identificativo del cliente, incorporándose los datos que constan en el mismo de manera automatizada a un fichero interno de registro, datos como número, tipo y fecha de expedición del documento de identidad presentado, nombre y apellidos, sexo, la fecha y país de nacimiento, así como la fotografía.

Dichos datos, en cumplimiento de la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana, y la Orden INT/1922/2003, de 3 de julio, sobre libros-registro y partes de entrada de viajeros en establecimientos de hostelería y otros análogos fueron remitidos a las Fuerzas y Cuerpos de Seguridad del Estado, así como utilizados para la “gestión hotelera».

Dentro de ese proceso de gestión hotelera dichos datos eran transferidos a los departamentos de administración y servicios de comida y bebida, de tal forma que al cliente se le dotaba de una tarjeta para que pudiese cargar de manera automatizada sus consumos en el hotel, contando el personal de servicios del hotel con dispositivos electrónicos, tablets, donde podían comprobar, al constar en los mismos fotografía del cliente, que no se daba uso fraudulento a dicha tarjeta de consumo interno.

Pues bien, la información en materia de protección de datos personales que la entidad reclamada facilitaba a los clientes no incluía ningún detalle sobre la recogida y utilización de la fotografía, por lo que erandesconocidas por los interesados. De hecho, ni siquiera el tratamiento de datos a que es sometida la fotografía figura en el Registro de Actividades de Tratamiento.

Por otro lado, en la fase de pruebas del procedimiento, el instructor requirió expresamente a la entidad reclamada copia de su política de privacidad, en todas sus versiones vigentes a partir del 25/05/2018 y de cualquier aviso de privacidad o informaciones adicionales, además de un detalle sobre los canales habilitados para dar a conocer esta información, y dicha entidad no aportó el documento informativo que ahora aporta con sus alegaciones a la propuesta de resolución.

Para finalizar, siendo este el motivo principal de la cuantiosa sanción, la AEPD considera que no existe un tratamiento de datos lícito, al no existir un interés legitimo, no existiendo base jurídica que lo sustente.

Si bien el hotel alega que, para evitar el uso fraudulento de la tarjeta, sus empleados contaban con la fotografía del cliente de cara a comprobar su identidad, la agencia indica la necesidad de llevar a cabo una meticulosa ponderación de derechos de cara a valorar si los intereses y derechos fundamentales del titular de los datos personales podrían prevalecer frente a los intereses legítimos del responsable cuando el tratamiento de los datos se efectúe en circunstancias tales en las que el interesado “no espere razonablemente” que se lleve a cabo un tratamiento ulterior de sus datos personales.

Según la autoridad de control, el reclamado no ha justificado este interés legítimo de forma suficiente para permitir la prueba de ponderación entre el interés del responsable y los derechos del interesado, necesaria para determinar la licitud de los tratamientos llevados a cabo. En este caso, además, no consta que la citada entidad haya realizado esa prueba de ponderación y haya informado debidamente al reclamante sobre esta base legitimadora.

Al faltar la información relativa a la prueba de ponderación, el interesado se ve privado de su derecho a conocer la base jurídica del tratamiento alegada por el responsable, y en concreto, al referirse al interés legítimo, se ve privado de su derecho a conocer cuáles son dichos intereses legítimos alegados por el responsable o de un tercero que justificarían el tratamiento sin tener en cuenta su consentimiento.

En el supuesto denunciado no existen evidencias sobre la prestación de un consentimiento válido por parte de los clientes que ampare los tratamientos de datos personales que el reclamado lleva a cabo con la fotografía de dichos clientes. Esta entidad ni siquiera informa sobre esta utilización de la fotografía, ni ha establecido ningún mecanismo para que los clientes puedan consentir esta utilización mediante un acto afirmativo separado para estas concretas operaciones de tratamiento, las cuales tampoco constan recogidas en el Registro de Actividades de Tratamiento.

Como se puede ver, la protección de datos es un complejo proceso que requiere de personal altamente especializado para poder cumplir con todas las obligaciones que supone, déjate asesorar por expertos!!

PROTECCIÓN DE DATOS HOTELES | EQUAL |

    Su nombre (requerido)

    Su e-mail (requerido)

    Teléfono de contacto. y disponibilidad

    Su mensaje

    He leido y acepto la Política de Privacidad

    Por favor, prueba que eres un humano seleccionando el avión.

    Apenas unas semanas después de que la Autoridad de Protección de Datos de Austria dictaminara que el uso de Google Analytics viola el Reglamento General de Protección de Datos de la UE, la autoridad de protección de datos de Francia, la CNIL, ha tomado una decisión en la misma dirección

    Los fallos son los primeros derivados de 101 quejas presentadas por NOYB, asociación en pro de la defensa de los derechos en materia de protección de datos personales, en todos los Estados miembros de la UE tras la decisión «Schrems II» que invalidó el Acuerdo UE-EE.UU. Privacy Shield en Julio de 2020.

    En su decisión, la CNIL manifestó que la recopilación y transferencia de datos a los Estados Unidos utilizando Google Analytics no es legal, al violar el artículo 44 del RGPD.

    La autoridad de control francesa dio plazo de un mes a la empresa reclamada para que, cumpliendo con el RGPD, eliminase el servicio de Google Analytics de su web

    Las Transferencias de datos a EE.UU no están reguladas lo suficiente

    La CNIL manifestó que las transferencias a los Estados Unidos “actualmente no están suficientemente reguladas”, al no existir acuerdo entre la UE y los EE.UU, siendo un riesgo para los usuarios, de cualquier sitio web que lleve a cabo un análisis de visitas a través de Google Analytics, la exportación sus datos a Estados Unidos

    La autoridad señaló que las medidas adicionales tomadas por Google para regular las transferencias de datos de Google Analytics «no son suficientes para excluir el acceso a dichos datos por parte de los servicios de inteligencia de EE. UU.».

    La CNIL dijo que su investigación “también se extiende a otras herramientas utilizadas por sitios que dan como resultado la transferencia de datos de usuarios de Internet europeos a los Estados Unidos”, y agregó que su decisión refleja un análisis colectivo de las autoridades de control europeas.

    Es necesaria la puesta en marcha un nuevo acuerdo sobre transferencias de datos entre la UE y los EE.UU


    Max Schrems de NOYB, cree que otras autoridades de control europeas «decidirán de manera similar» a las de Francia y Austria, considerando de suma importancia que se alcance un nuevo acuerdo entre la UE y los EE.UU, de tal manera que los segundos garanticen a los usuarios europeos protecciones alineadas con las existentes en Europa.

    Google aún no ha emitido una respuesta a la decisión de la CNIL, pero en una declaración anterior sobre el fallo de Austria, el presidente de Asuntos Globales y director legal, Kent Walker, instó a los gobiernos de la UE y los EE. UU. a finalizar un acuerdo sucesor del Escudo de privacidad. “Instamos a una acción rápida para restaurar un marco práctico que proteja la privacidad y promueva la prosperidad”, dijo.

    La Comisión Europea y el gobierno de Estados Unidos se disponen a cooperar en el futuro inmediato de cara a alcanzar un nuevo acuerdo, como informamos en el siguiente artículo : https://equalprotecciondedatos.com/transferencias-internacionales-de-datos-entre-la-union-europea-y-usa-nuevo-acuerdo/

    En cualquier caso tendremos que esperar para ver materializado en medidas concretas este acuerdo.

    Equal, Adecuación LOPD en toda España.

    Ursula von der Leyen, actual presidenta de la Comisión Europea, ha anunciado, en rueda de prensa conjunta con Joe Biden, haber llegado a un acuerdo de principio sobre un nuevo marco para los flujos de datos transatlánticos.

    Este futuro nuevo marco para la transferencia de datos entre la Unión Europea y Estados Unidos sustituye al anterior acuerdo, el «Privacy Shield», escudo de privacidad, declarado nulo en el 2020 por el Tribunal de Justicia de la Unión Europea, al entender que no ofrecía garantías suficientes para proteger la privacidad de los datos.

    A su vez, el escudo de privacidad, sustituía al acuerdo previo, el «Safe Harbor», igualmente declarado nulo por el mismo Tribunal de Justicia de la Unión Europea.

    En principio, este nuevo acuerdo fortalecerá los derechos fundamentales de los ciudadanos a ambos lados del Atlántico, del mismo modo, permitirá el establecimiento de un nuevo marco jurídico que impulse a empresas pertenecientes al sector tecnológico y digital.

    ¿Qué sabemos del nuevo acuerdo?



    En palabras de la propia presidenta de la Comisión «este nuevo acuerdo permitirá transferencias de datos predecibles y confiables, equilibrando la seguridad, el derecho a la privacidad y la protección de datos».

    Por su parte, la Casa Blanca ha emitido un comunicado en el que pone de manifiesto su compromiso con la implementación de sistemas que garanticen que las actividades de inteligencia de señales sean necesarias y proporcionadas en relación con la búsqueda de objetivos de seguridad nacional definidos, garantizando la privacidad de los datos personales de la Unión Europea y creando un nuevo mecanismo de cara a que los ciudadanos europeos puedan reclamar y ser compensados en caso de ser objeto ilegal de actividades de inteligencia.

    Según el gobierno de Estados Unidos, este nuevo acuerdo de principio, así como el futuro Marco Transatlántico de Privacidad de Datos, supondrán una mayor alineación de la normativa en relación a privacidad y actividades de inteligencia entre la UE y Estados Unidos, comprometiéndose los segundos a :

    • Aumentar y mejorar las garantías en materia de privacidad y libertades civiles en relación a las actividades de inteligencia.
    • Establecer un nuevo mecanismo de reclamación y compensación en relación a violaciones en materia de protección de datos, poniendo en marcha una autoridad de control independiente y con capacidad de toma de decisiones vinculantes. Los integrantes de dicha autoridad de control serán elegidos entre individuos no pertenecientes al gobierno de EE.UU.
    • Mejorar la supervisión de las actividades de inteligencia de señales. Estas solo serán procesadas de acuerdo a la consecución de objetivos de seguridad nacional, siempre asegurándose de que no afecten de manera desproporcionada a la protección de la privacidad personal y de las libertades civiles

    Puesta en marcha del Marco Transatlántico de Privacidad de Datos


    La Comisión Europea y el gobierno de Estados Unidos se disponen a cooperar en el futuro inmediato de cara a que este acuerdo quede plasmado en sus correspondientes legislaciones, siendo adoptado por ambas partes.

    Las primeras reacciones no se han hecho esperar, el activista pro privacidad Max Schrems, fundador de la ONG «Europa versus Facebook»,​ y principal impulsor de la anulación, por parte del TJUE, de los dos acuerdos de transferencias de datos previos, manifiesta su escepticismo al considerar que este nuevo marco no es más que un parche del anterior acuerdo.

    En cualquier caso tendremos que esperar para ver materializado en medidas concretas este acuerdo.

    Equal, Abogados protección de datos en Madrid.

    La Agencia Española de Protección de datos ha sancionado con 3000 Euros a una empresa debido al envío de publicidad por correo electrónico sin contar con el consentimiento del destinatario de la publicidad.

    En el procedimiento sancionador PS/00434/2021, el reclamante inicia el proceso contactando con la autoridad de control, indicando estar recibiendo comunicaciones comerciales no solicitadas procedentes de la empresa reclamada a través de su dirección de e-mail, a pesar de haber hecho uso del enlace contenido en los mismos para cancelar la suscripción y respondido a uno de los mensajes solicitando la detención de los envíos.

    La agencia traslado la reclamación a la parte reclamada sin recibir respuesta, por lo que se admitió a trámite dicha reclamación, iniciándose finalmente procedimiento sancionador por presunto incumplimiento del artículo 21.1 de la LSSI.

    ¿Qué nos dice el artículo 21.1 de la LSSI?


    1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que
    previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas

    2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente. En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

    Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de
    correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha
    dirección.

    Por otra parte, el artículo 22.1 de la LSSI establece que:

    1. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de
    su voluntad al remitente.

    A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios puedan revocar el consentimiento que
    hubieran prestado. Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una
    dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no
    incluyan dicha dirección.

    La AEPD multa debido al envío de comunicaciones comerciales no deseadas

    La Agencia, tras valorar la documentación aportada por el reclamante, considera que ha sido vulnerada la Ley en materia de protección de datos, calificándose la infracción como leve, pudiendo ser sancionada con multa de hasta 30.000 Euros.

    Teniendo en cuenta los artículos 39bis y 40 de la LSSI en relación a la moderación de las sanciones y la graduación de la cuantía de las sanciones respectivamente, la autoridad de control decide sancionar con 3000 Euros a la empresa reclamada, poniendo de manifiesto las siguientes circunstancias agravantes :

    a) La existencia de intencionalidad, debido a la falta de diligencia como integrante del elemento subjetivo de la culpabilidad, al ser enviados tres e-mails
    comerciales sin consentimiento del reclamante y a pesar de que este se dirigió a la empresa solicitando que no se detuvieran dichos envíos y recordándole que el
    tratamiento de sus datos debía contar con su consentimiento.

    b) Plazo de tiempo durante el que se haya venido cometiendo la infracción, puesto que la entidad se ha reiterado en la conducta, continuando en el envío de las
    citadas comunicaciones entre el 07/01/2021 y 16/04/2021 a pesar de la solicitud manifestada anteriormente.

    Como vemos es realmente sencillo poder ser sancionado por no cumplir con la Ley en materia de protección de datos, haciéndose fundamental contar con un servicio que permita que nuestra empresa este totalmente adaptada al RGPD, la LOPD y a la ya mencionada LSSI.

    Equal, Abogados protección de datos en Madrid.

    La Agencia Española de Protección de datos ha multado Amazon Road Transport Spain, S.L. (“Amazon Road”) con dos millones de Euros al no cumplir el principio de licitud del tratamiento al tratar datos personales relacionados con antecedentes penales.

    Amazon Road es parte del grupo Amazon, encargándose de proporcionar distintos servicios de distribución a dicho grupo.

    La Unión General de Trabajadores fue la encargada de presentar reclamación ante la AEPD, indicando que Amazon Road estaba solicitando certificado de ausencia de antecedentes penales a candidatos a distintos puestos de trabajo.

    ¿Supone el solicitar certificado de carencia de antecedentes penales un tratamiento de datos de naturaleza penal regulado por el Reglamento General de Protección de Datos?

    La empresa reclamada alegó ante la AEPD lo siguiente : “un certificado de antecedentes penales que ponga de manifiesto que una persona concreta carece de condenas penales no recoge de manera estricta ningún dato relacionado con condenas e infracciones penales”.

    Sin embargo la AEPD no está de acuerdo con este argumento al considerar que la información contenida en un certificado de existencia de antecedentes penales o de no existencia de los mismos, así como su solicitud, supone un tratamiento de datos. La información que se está tratando es un dato relativo a condenas penales, estando vinculado con una persona física concreta.

    La AEPD multa a Amazon

    La AEPD multa a Amazon Road con una sanción de dos millones de Euros por no cumplir con el RGPD, estando en el mismo regulado el tratamiento de los datos personales de naturaleza penal.

    Dicho tratamiento de datos de naturaleza penal sólo podrá llevarse a cabo bajo la supervisión de las autoridades públicas” (art. 10 del RGPD) o “solo podrá llevarse a cabo cuando se encuentre amparado en una norma de Derecho de la Unión, en esta ley orgánica o en otras normas de rango legal” (art. 10 de la LOPDGDD). Por ello la AEPD, indicando la no existencia dentro de del derecho de una norma que permita llevar a cabo el tratamiento de datos de antecedentes penales pretendido, concluye que «no cabe, en este caso, acudir a otras bases jurídicas para legitimar el tratamiento de datos personales relativos a condenas e infracciones penales”.

    Adapta tu empresa o entidad a la LOPD, abogados expertos.

    El segundo martes de cada Febrero se celebra el Día de la Internet segura, siendo el lema de está edición «juntos por una internet mejor». Se trata de un evento internacional   promovido por la red INSAFE/INHOPE, contando con el apoyo de la Comisión Europea, celebrado con el fin de concienciar acerca de la necesidad de dar un uso responsable, respetuoso y seguro de la tecnología, siendo fundamental la toma de conciencia de los riesgos que supone navegar por la red para niños y adolescentes.

    En España, el Instituto Nacional de Ciberseguridad (INCIBE), celebra el #DíaDeInternetSegura con distintos eventos y talleres, centrados en la identificación de amenazas y riesgos a la hora de navegar, haciendo especial hincapié en el enorme riesgo que suponen las redes sociales para los menores. Puedes ver la agenda aquí.

    Desde Equal, al estar íntimamente relacionada la navegación segura con la protección de datos, nos gustaría compartir un decálogo de buenas prácticas a la hora de usar Internet tanto en nuestra vida personal como profesional :

    1. No responda ni haga clic a correos electrónicos de remitentes que no conoce.

    2. Las contraseñas de sus dispositivos han de ser cambiadas de forma regular, evitando usar la misma en diversas cuentas o dispositivos.

    3. Use contraseñas complejas, con un mínimo de 8 caracteres, conteniendo mayúsculas, minúsculas, números y caracteres especiales.

    4. No deje sus redes sociales abiertas en equipos a los que pueda acceder otra persona en su ausencia.

    5. A la hora de publicar contenido en redes sociales es fundamental configurar las opciones de privacidad de nuestras cuentas.

    6. No compartamos todo lo que recibamos, es preciso analizar y verificar la veracidad de la información antes de difundirla.

    7. No acepte en redes sociales a personas que no conoce.

    8. Publicar todo lo que hacemos, lugares a los que vamos, es algo a evitar, dicha información puede ser usada por delincuentes.

    9. Evite intercambiar material audiovisual íntimo a través de Internet. suponen un riesgo, dichos contenidos posibilitan poder recibir ciberacoso o grooming.

    10. Máxima precaución a la hora de tener encuentros con personas que haya conocido en entornos digitales, siempre existe la posibilidad de que sea un perfil falso.

    Hablando de riesgos, ¿acaso no es arriesgado no tener adaptada tu empresa o entidad a la LOPD?, las sanciones que impone la AEPD son cuantiosas, por no hablar de la mala imagen que percibirán sus clientes.

    Evita sanciones, déjate guiar por expertos en Adaptación de Protección de datos.

    En 2006, el Comité de Ministros del Consejo de Europa decidió poner en marcha el Día de la Protección de Datos, que se celebra cada año el 28 de enero.

    El Día de la Protección de Datos se celebra a nivel mundial y se llama el «Día de la Privacidad» fuera de Europa. El 28 de enero de 2022 se celebró la 16ª edición del Día de la Protección de Datos, su objetivo es concienciar sobre el derecho a la protección de datos. El Consejo de Europa, iniciador de esta importante celebración, sigue desempeñando un papel de liderazgo fomentando y dando a conocer las iniciativas que se llevan a cabo en esta ocasión.

    Este día marca el aniversario de la firma del Convenio 108, el Convenio mundial de protección de datos. Durante más de 40 años, el Convenio 108 ha influido y dado forma a la protección de la privacidad y la protección de datos en Europa y más allá. Su versión modernizada (conocida como Convención 108+) seguirá haciéndolo.

    El objetivo principal de este día es educar al público sobre los desafíos de la protección de datos e informar a las personas sobre sus derechos y cómo ejercerlos. En esta perspectiva, el Premio Stefano Rodotà, instituido por el Comité del Convenio 108, premia proyectos de investigación académicos innovadores y originales en el campo de la protección de datos.

    Desde Equal Protección de Datos queremos difundir e informar de la importancia que tiene en materia de protección de datos el conocimiento por parte de toda la ciudadanía de los derechos en relación a la protección de datos personales :

    Derechos de Acceso, rectificación y supresión

    El derecho de acceso está regulado en el artículo 15 de la LOPD y en los artículos 27 al 30 del Real Decreto 1720/2007. Este derecho permite al interesado obtener información sobre sus datos de carácter personal que trata un responsable del fichero, sobre su origen y sobre las comunicaciones de los mismos. El plazo de contestación es de 1 mes, y este puede ser denegado en caso de que se haya ejercido en los 12 meses anteriores, cuando lo prevea la ley o cuando sea solicitado por una persona distinta del afectado.

    El derecho de rectificación está regulado en el artículo 16 de la LOPD y en los artículos 31 al 33 del Real Decreto 1720/2007. Este es el derecho del afectado a que se modifiquen los datos que resulten inexactos o incompletos. El plazo de contestación es de 10 días y cabe destacar que si los datos hubieran sido cedidos previamente, el responsable ha de comunicar la rectificación al cesionario en el plazo de 10 días.

    El derecho de supresión es muy parecido al de rectificación, tal es así que se encuentra regulado en los mismos artículos que el anterior. Este es el derecho que tiene el afectado a solicitar la supresión de los datos que resulten inadecuados o excesivos.

    Podrás ejercitar este derecho ante la persona responsable solicitando la supresión de tus datos de carácter personal cuando concurra alguna de las siguientes circunstancias:

    • Si tus datos personales ya no son necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo
    • Si se retira el consentimiento prestado a la persona responsable.
    • Si te has opuesto al tratamiento de tus datos personales siempre que se den las siguientes situaciones
      • El tratamiento se basaba en el interés legítimo o en el cumplimiento de una misión de interés público, y no han prevalecido otros motivos para legitimar el tratamiento de tus datos
      • A que tus datos personales sean objeto de mercadotecnia directa, incluyendo la elaboración perfiles.
    • Si tus datos personales han sido tratados ilícitamente
    • Si tus datos personales deben suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique a la persona responsable del tratamiento
    • Si los datos personales se han obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1 (condiciones aplicables al tratamiento de datos de los menores en relación con los servicios de la sociedad de la información).

    Además, el RGPD al regular este derecho lo conecta de cierta forma con el denominado “derecho al olvido”, de manera que este derecho de supresión se amplíe de tal forma que la persona responsable del tratamiento que haya hecho públicos datos personales esté obligado a indicar a los responsables del tratamiento que estén tratando tales datos personales que supriman todo enlace a ellos, o las copias o réplicas de tales datos.

    No obstante, este derecho no es ilimitado, de tal forma que puede ser factible no proceder a la supresión cuando el tratamiento sea necesario para el ejercicio de la libertad de expresión e información, para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos a la persona responsable, por razones de interés público, en el ámbito de la salud pública, con fines de archivo de interés público, fines de investigación científica o histórica o fines estadísticos, o para la formulación, el ejercicio o la defensa de reclamaciones.

    Derechos de oposición, de limitación al tratamiento y de portabilidad

    El derecho de oposición se encuentra regulado en los artículos 35 y 36 del Real Decreto 1720/2007 y consiste en la facultad que posee el titular de los datos para dirigirse al responsable del fichero y requerirle para que deje de tratar sus datos de carácter personal en los siguientes supuestos: cuando se están tratando sus datos personales sin su consentimiento; cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad o prospección comercial, y cuando el tratamiento tenga por finalidad la adopción de una decisión basada únicamente en un tratamiento automatizado de sus datos. El plazo de contestación es de 10 días y decir que el responsable del fichero deberá excluir del tratamiento los datos relativos al afectado que ejercite su derecho a oposición.

    El derecho de limitación al tratamiento, consiste en que obtengas la limitación del tratamiento de tus datos que realiza el responsable, si bien su ejercicio presenta dos vertientes:

    Puedes solicitar la suspensión del tratamiento de tus datos:

    • Cuando impugnes la exactitud de tus datos personales, durante un plazo que permita al responsable su verificación
    • Cuando te hayas opuesto al tratamiento de tus datos personales que el responsable realiza en base al interés legítimo o misión de interés público, mientras aquel verifica si estos motivos prevalecen sobre los tuyos

    Solicitar al responsable la conservación tus datos:

    • Cuando el tratamiento sea ilícito y te has opuesto a la supresión de tus datos y en su lugar solicitas la limitación de su uso
    • Cuando el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones

    El derecho a la portabilidad se crea de cara a reforzar aún más el control de tus datos personales, de forma que cuando el tratamiento se efectúe por medios automatizados, recibas tus datos personales en un formato estructurado, de uso común, de lectura mecánica e interoperable, y puedas transmitirlos a otro responsable del tratamiento, siempre que el tratamiento se legitime en base al consentimiento o en el marco de la ejecución de un contrato.

    No obstante, este derecho, por su propia naturaleza, no se puede aplicar cuando el tratamiento sea necesario para el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos conferidos al responsable.

    Derecho a no ser objeto de decisiones individuales automatizadas

    El derecho a no ser objeto de decisiones individuales automatizadas pretende garantizar que no seas objeto de una decisión basada únicamente en el tratamiento de tus datos, incluida la elaboración de perfiles, que produzca efectos jurídicos sobre ti o te afecte significativamente de forma similar.

    Sobre esta elaboración de perfiles, se trata de cualquier forma de tratamiento de tus datos personales que evalúe aspectos personales, en particular analizar o predecir aspectos relacionados con tu rendimiento en el trabajo,  situación económica, salud, las preferencias o intereses personales, fiabilidad o el comportamiento.

    No obstante, este derecho no será aplicable cuando:

    • Sea necesario para la celebración o ejecución de un contrato entre tú y el responsable
    • El tratamiento de tus datos se fundamente en tu consentimiento prestado previamente

    No obstante, en estos dos primeros supuestos, el responsable debe garantizar tu derecho a obtener la intervención humana, expresar tu punto de vista e impugnar la decisión.

    • Esté autorizado por el Derecho de la Unión o de los Estados miembros y se establezcan medidas adecuadas para salvaguardar los derechos y libertades e intereses legítimos del interesado.

    A su vez, estas excepciones no se aplicarán sobre las categorías especiales de datos (art.9.1), salvo que se aplique el artículo 9.2.letra a) o g) y se hayan tomado las medidas adecuadas citadas en el párrafo anterior.

    Derecho de información

    Cuando se recaban tus datos de carácter personal, el responsable del tratamiento debe cumplir con el derecho de información.

    Para dar cumplimiento a este derecho, la AEPD recomienda que esta información se te facilite por capas o niveles de manera que:

    • Se te facilite una información básica en un primer nivel, de forma resumida, en el mismo momento y en el mismo medio en que se recojan tus datos personales.
    • Y, por otra parte, se te remita el resto de las información, en un medio más adecuado para su presentación, compresión y, si se desea, archivo.

    La información a facilitar por capas o niveles sería la siguiente:

    1.ª Capa: Información básica (resumida)

    • La identidad del responsable del tratamiento
    • Una descripción sencilla de los fines del tratamiento, incluyendo la elaboración de perfiles si existiese
    • La base jurídica del tratamiento
    • Previsión o no de cesiones. Previsión o no de transferencias a terceros países
    • Referencia al ejercicio de derechos

     2.ªCapa:  Información adicional (detallada)

    • Datos de contacto del responsable. Identidad y datos del representante (si existiese). Datos de contacto del delegado de protección de datos (si existiese).
    • Descripción ampliada de los fines del tratamiento. Plazos o criterios de conservación de los datos. Decisiones automatizadas, perfiles y lógica aplicada.
    • Detalle de la base jurídica del tratamiento, en los casos de obligación legal, interés público o interés legítimo. Obligación o no de facilitar datos y consecuencias de no hacerlo.
    • Destinatarios o categorías de destinatarios. Decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables.
    • Cómo ejercer los derechos de acceso, rectificación, supresión y portabilidad de los datos, y la limitación u oposición a su tratamiento. Derecho a retirar el consentimiento prestado. Derecho a reclamar ante la Autoridad de Control.

    Datos no obtenidos directamente de ti

    En el supuesto en que tus datos personales no hayan sido obtenidos directamente de ti, se te facilitará, además de la información indicada anteriormente:

    En la información básica (1ª capa, resumida):

    • la fuente (procedencia) de los datos

    Y en la información adicional (2ª capa, detallada):

    • la información detallada del origen de los datos, incluso si proceden de fuentes de acceso público
    • la categoría de datos que se traten

    Esta información se te facilitará dentro de un plazo razonable, a más tardar en un mes, salvo que:

    • Si los datos personales han de utilizarse para una comunicación con el afectado, a más tardar en el momento de la primera comunicación a dicho afectado
    • Si está previsto comunicarlos a otro interesado, a más tardar en el momento en que los datos personales sean comunicados por primera vez

    Desde Equal Protección de datos nos encargamos de que tu empresa o entidad cumpla con El RGPD y la LOPD, llevando a cabo una adaptación total de tu negocio en materia de protección de datos. Somos Abogados expertos, déjate asesorar y evita sanciones.

    Evita sanciones, déjate guiar por expertos en Adaptación de Protección de datos.