¿Cómo deben las empresas y organizaciones cumplir con la Ley de Protección de Datos en Internet? ¿Cómo se garantiza la protección de datos en Internet por parte de empresas y organizaciones? ¿Qué obligaciones implica para ellas la protección de datos personales en Internet?
En este artículo hablamos de:
¿Cómo proteger los datos personales en Internet?
Cualquier empresa u organización que opere, por mínimo que sea, a través de internet y recabe de alguna forma datos personales de sus visitantes, usuarios o clientes, debe cumplir con una serie de obligaciones legales establecidas en la normativa de protección de datos.
La protección de datos personales en internet, así como la protección de datos online, puede suscitar dudas entre empresas medianas y pequeñas, especialmente en aquellas de reciente creación o que han dado el paso para su digitalización o han comenzado a usar servicios en la nube que requieren de la comunicación de datos personales, por ejemplo, cuando se guardan archivos de clientes en la nube. No debemos olvidar que la protección de datos de servicios en la nube debe incluirse en la política de protección de datos de la empresa (y que, como veremos más adelante, implica la formalización de un contrato de protección de datos).
Para resolver esas dudas sobre la protección de datos en la red, hemos elaborado esta guía, en la que repasaremos los aspectos clave que los responsables del tratamiento deben tener en cuenta, para cumplir con la normativa y evitar denuncias y sanciones.
Normativa de protección de datos en Internet
La gran mayoría de empresas y organizaciones operan en mayor o menor medida en Internet (por ejemplo, al tener una página web o perfiles en las redes sociales) o, como mínimo, almacenan información personal de sus clientes y empleados en ordenadores conectados a la Red o en la nube. Estos tratamientos de datos personales en o a través de Internet implican que las empresas y organizaciones deben contemplar y cumplir con las leyes sobre protección de datos en Internet.
Esas leyes sobre privacidad y protección de datos en Internet son:
- El RGPD (Reglamento General de Protección de Datos)
- La LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales)
- La LSSI-CE (Ley de Servicios de la Sociedad de la Información y Comercio Electrónico)
Cómo deben empresas y organizaciones cumplir la protección de datos en Internet
Las leyes citadas en el punto anterior establecen una serie de obligaciones y requisitos que empresas y organizaciones que tratan con datos personales en o a través de Internet deben cumplir, para poder garantizar, como decíamos, la protección de esa información personal y la privacidad en Internet de sus usuarios o clientes o empleados. Así como evitar una posible denuncia en Protección de Datos.
Cómo cumplir la protección de datos en Internet
– Consentimiento expreso, información y derechos de los interesados
Siempre que una empresa u organización vaya a tratar datos por Internet, por ejemplo, al usar formularios de contacto en su página web, deberá recabar el consentimiento inequívoco de los interesados (los usuarios o clientes potenciales) para llevar a cabo el tratamiento de esos datos.
Ese consentimiento es también necesario para el uso de las cookies que genere e instale la página web en el navegador de los usuarios, que deberán poder aceptarlas o rechazarlas.
Además, el consentimiento debe ser informado, es decir, los interesados deben saber quién tratará sus datos (la identidad del responsable del tratamiento, en este caso la empresa u organización), con qué finalidad o finalidades (siendo necesario recabar un consentimiento distinto para cada una de ellas), la base legitimadora del tratamiento (que puede ser el consentimiento o alguno de los supuestos del artículo 6 del RGPD), el plazo de conservación de los datos y si estos serán cedidos a terceros.
En el caso de páginas web, sitios, plataformas o servicios online cuyo público objetivo sean menores de edad, el consentimiento y el derecho de información sobre el tratamiento de datos personales son especialmente importantes, ya que hablamos de la protección de datos de menores. La información debe estar redactada de forma comprensible por parte de los menores y el consentimiento solo podrán darlo ellos cuando sean mayores de 14 años, por debajo de esa edad, deben ser sus padres o tutores legales los que den el consentimiento para el tratamiento de sus datos.
Así mismo, se informará a los interesados de sus derechos ARSULIPO, cómo y a través de qué vía ejercerlos:
- Derecho de acceso (comprobar qué datos personales tiene la empresa u organización sobre nosotros)
- Derecho de rectificación (solicitar la corrección de aquellos datos personales erróneos o desactualizados)
- Derecho de supresión (solicitar la eliminación de los datos personales que posea la empresa u organización) y derecho al olvido (solicitar que nuestra información personal no aparezca en los resultados de los buscadores)
- Derecho de limitación del tratamiento (solicitar la aplicación de medidas sobre los datos tratados para evitar que sean modificados, suprimidos, etc.)
- Derecho a la portabilidad de los datos (solicitar la transmisión de los datos personales a otro responsable del tratamiento)
- Derecho de oposición (solicitar que dejen de tratarse nuestros datos personales u oponerse a otras finalidades)
- Derecho a no ser objeto de decisiones individuales automatizadas, incluida la elaboración de perfiles (oponerse al tratamiento de datos automatizado, es decir, donde no hay intervención humana y que puede tener efectos jurídicos sobre los interesados)
– Textos legales web
Dentro de las obligaciones en protección de datos web, tenemos la inclusión de los denominados textos legales web en cualquier tipo de sitio online, que además son la forma en la que suministrará la información señalada en el punto anterior a los usuarios.
Estos textos legales web deben estar siempre accesibles desde cualquier sección la página web, por lo que lo normal es que se redacten en una página o subpágina aparte y se añadan los correspondientes enlaces a ellas en el footer de la web, así como en los formularios de la web y en los de pago y en el aviso de cookies (dependiendo del texto legal). Estos textos legales son obligatorios incluso si la empresa u organización solo tiene una FanPage en Facebook o se trata de una aplicación móvil.
Los textos legales web son los siguientes:
- El aviso legal, donde se recoge toda la información relativa a la identidad del titular de la página web, es decir, de la empresa u organización:
- Nombre o razón social
- NIF/CIF
- Dirección
- N.º de inscripción en el Registro Mercantil / N.º de colegiado o cualquier otro número de registro que proceda
- Condiciones de uso de la web e información sobre propiedad intelectual
- La política de privacidad, donde se suministra toda la información relativa la gestión de los datos personales:
- Datos identificativos y de contacto del responsable del tratamiento
- Si procede, identidad y datos de contacto del Delegado de Protección de Datos (DPO)
- Finalidad del tratamiento
- Base jurídica que legitima el tratamiento
- Cómo se gestionan los datos personales
- Plazo de conservación de los datos
- Cesiones a terceros
- Uso de cookies
- Vía para ejercer los derechos ARSULIPO
- La política de cookies, en la que se detalla toda la información relativa a las cookies que emplea la web (finalidad, titulares, duración, tipo de cookies, etc.).
- Los términos y condiciones de venta o contratación, si la página web o sitio online es un ecommerce o se pueden contratar servicios a través de él (política de precios, formas de pago, métodos de envío, política de devoluciones, derecho de desistimiento, etc.).
– ¿Necesito llevar un registro de actividades de tratamiento?
El registro de actividades de tratamiento solo es obligatorio para empresas u organizaciones con más de 250 empleados o cuando se tratan datos personales a gran escala y/o de manera sistemática o se tratan datos personales de categorías especiales (artículo 9 del RGPD). Si cumples con esos requisitos, deberás llevar este registro. Aunque también es recomendable realizarlo si no se está obligado, puesto que facilita tener un mejor control sobre los tratamientos de datos personales que se realizan y los tipos de datos que se manejan.
En cualquier caso, deberá hacerse un registro por cada actividad de tratamiento que se realice y este incluirá la siguiente información:
- Identidad del responsable del tratamiento y, en su caso, del encargado del tratamiento y del DPO
- Finalidad del tratamiento
- Base jurídica
- Descripción de categorías de interesados y datos
- Descripción de categorías de destinatarios de datos (existentes y previstos)
- Información relativa a las transferencias internacionales de datos y sus garantías (si estas se producen)
- Plazo de conservación de los datos
- Descripción de las medidas de seguridad implementadas
– Análisis de riesgos y Evaluación de impacto
Debemos considerar siempre que cualquier tratamiento de datos personales puede conllevar riesgos para los derechos y libertades de los interesados; la recogida, el almacenamiento, el uso, la modificación o incluso la destrucción de datos personales, están expuestos a amenazas que pueden afectar a la integridad, disponibilidad y seguridad de los datos. Como responsables o encargados del tratamiento, debemos analizar esas amenazas y determinar el nivel de riesgo que puede suponer un determinado tratamiento de datos personales.
Los datos tratados en Internet o a través de dispositivos y/o aplicaciones conectadas a la Red, están expuestos a diferentes tipos de amenazas (robo de datos, filtraciones, secuestro o destrucción de datos, etc.), algunas de las cuales pueden tener consecuencias graves para los interesados (ataques de phishing, suplantación de identidad, robo de cuentas, etc.), por lo que para evitar o minimizar cualquier tipo de violación de datos personales, es necesario hacer el correspondiente análisis de riesgos de cada tratamiento que se vaya a llevar a cabo.
Cuando los datos tratados son de categorías especiales, se tratan datos a gran escala o del análisis de riesgos se concluye un nivel alto de riesgo e impacto negativo en los derechos y libertades de los interesados, además, habrá que realizar una evaluación de impacto de protección de datos (EIPD).
El informe resultante del análisis de riesgos y, en su caso, de la EIPD, servirá para determinar e implementar las medidas técnicas y organizativas necesarias y adecuadas para garantizar la protección de los datos personales durante todo su ciclo vida.
– Cesión de datos a terceros
Cualquier cesión de datos personales de clientes, usuarios o empleados que se realice a terceros, debe hacerse bajo un acuerdo de encargo de tratamiento, donde el responsable del tratamiento establecerá el tipo de datos que cede, el tratamiento y su finalidad, el plazo de conservación y lo que hacer con los datos finalizado el mismo. El encargado del tratamiento deberá garantizar la privacidad y seguridad de los datos que trate por cuenta del responsable implementando las medidas de seguridad necesaria y asistir a este en la solicitud de derechos ARSULIPO.
Estas cesiones de datos se producen, por ejemplo, si la empresa u organización emplea una plataforma de email para el envío de sus comunicaciones, guarda y gestiona bases de datos de clientes en la nube o emplea aplicaciones o complementos de terceros que impliquen el acceso a datos personales.
Además, salvo que puedan justificarse en el interés legítimo o como parte de la relación contractual, para poder hacer estas cesiones de datos personales a terceros, el responsable del tratamiento deberá contar con el consentimiento de los interesados.
– ¿Debo designar un DPO?
Solo deberás designar un DPO si tu empresa u organización se dedica a una de las actividades incluidas en el artículo 34 de la LOPDGDD o si se tratan datos a gran escala o de categorías especiales.
El DPO puede ser un empleado de la empresa u organización que tenga formación en protección de datos y conozca la normativa o contratarse de manera externa, normalmente a través de los servicios de una consultoría especializada en protección de datos.
– Notificación de brechas de seguridad
En caso de que se produzca una brecha de seguridad, es decir, se materialice una de esas amenazas que fueron detectadas en el análisis de riesgos o la EIPD, y esta pueda causar un perjuicio sobre los derechos y libertades de los interesados, la empresa u organización deberá notificarlo a la AEPD y los propios interesados cuyos datos personales se hayan visto afectados en un plazo no superior a 72 horas, a contar desde el momento en que se tuvo constancia de la brecha de seguridad.
– Auditorías periódicas
Tanto para comprobar la efectividad de las medidas de seguridad implementadas como que todos los procesos relacionados con el tratamiento de datos personales cumplen con las obligaciones recogidas en la normativa de protección de datos, empresas y organizaciones deben llevar a cabo auditorías periódicas de protección de datos.
Estas auditorías pueden realizarse sobre todos los procesos o hacerlo de manera individual sobre cada uno de ellos, así como sobre los sistemas implicados en el tratamiento de datos.
Vulneraciones de datos personales en Internet
Las vulneraciones de datos personales en Internet, tanto si son intencionales como si son fruto de un descuido o un incidente de seguridad, pueden ser motivo de sanción (por ejemplo, tratar datos sin consentimiento del interesado, no contar con la política de privacidad, no aplicar medidas de seguridad como el cifrado, etc.).
La cuantía de las sanciones varía en función de la gravedad de la vulneración y el tipo de infracción cometida, así como del número de interesados afectados, cuánto tiempo ha durado y si la empresa u organización se ha beneficiado por ello.
La LOPDGDD establece el siguiente baremo para las sanciones en protección de datos:
- Sanción hasta 40.000 euros por infracciones leves (art. 74)
- Sanción de 40.001 a 300.000 euros por infracciones graves (art. 73)
- Sanción de 300.001 a 20 millones de euros o el 4% de la facturación anual por infracciones muy graves (art. 72)
Además, el artículo 82 del RGPD establece el derecho de los interesados a solicitar una indemnización por vulneración de datos, si esta les ha provocado daños o perjuicios materiales o inmateriales de alguna clase.
Cumple con la protección de datos en Internet con la ayuda de expertos
Empresas y organizaciones cada vez realizan más procesos en o a través de Internet (por ejemplo, cuando emplean servicios de almacenamiento y gestión en la nube), gestionan aplicaciones o tienen perfiles corporativos en redes sociales. Todo ello implica cumplir con las obligaciones de protección de datos en Internet, que pueden resultar complejas y consumir más tiempo del que quisieran dedicarle.
Por esos motivos, la mejor solución es contratar la protección de datos con Grupo Atico34, cuyo equipo de expertos en la normativa y en todas las obligaciones que esta implica, se asegurará de que tu empresa u organización cumple con cada una de ellas y resolverán cualquier duda o problema relacionado con la protección de datos en Internet que puedas tener.