+ 34 968 900 300

PROTECCIÓN DE DATOS

Lopd

Consultoria técnico-jurídica: REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y L Ley de protección de datos (LOPD) y Ley de servicios deey de servicios de la Sdad. de la Información y Comercio Electrónico ( LSSICE ).

Con este Reglamento, la Unión Europea aboga por ampliar el espectro de los mecanismos para la protección de ese derecho fundamental de los ciudadanos cual es la protección de sus datos personales.

El Reglamento Europeo de Protección de Datos tendrá repercusiones, no sólo a nivel europeo sino a nivel nacional, con un nivel de impacto bastante elevado en todas las organizaciones, ya sean empresas privadas o entidades públicas.

1.1 Naturaleza jurídica del Nuevo Reglamento

Probablemente lo primero que llama la atención con este Reglamento es precisamente la naturaleza jurídica del instrumento bajo el que nace.

En  efecto, su naturaleza es la de Reglamento y no la de Directiva. Es, por tanto,  una norma adoptada por el Consejo en colaboración con el Parlamento Europeo o bien únicamente por la Comisión, en este caso la Comisión de Libertades Civiles, Justicia y Asuntos de Interior, LIBE.

Los reglamentos son un acto general del cual todos sus elementos son obligatorios, sin necesidad de transposición al ordenamiento jurídico nacional. Se   aplican a todos los Estados miembros y no es necesario que se publiquen en los diarios oficiales de los Estados miembros por ser de obligado cumplimiento.

Mientras que las Directivas son vinculantes para los Estados miembros en cuanto a los resultados que deben obtenerse, pero les deja la elección del instrumento  jurídico a emplear en cada país, los Reglamentos, como se ha dicho, son instrumentos de directa aplicación, no trasponibles y vigentes simultáneamente en todos los países miembros.
Además, es prevalente sobre nuestro actual sistema de protección de datos personales (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y Real Decreto 1720/2007, derogando a partes de los dos.

Presentamos a continuación los principales cambios que se producirán por la entrada en vigor del Nuevo Reglamento Europeo de Protección de Datos Personales.

2.2 Implicaciones y cambios

•    Rendición de Cuentas: Se exigirá a las organizaciones la implantación de mecanismos que garanticen y aseguren el cumplimiento de las obligaciones en materia de protección de datos y que permitan demostrar documentalmente su eficacia.
•    Transparencia: Se exigirá la conservación de la documentación de todas las operaciones de tratamiento de datos efectuadas por el responsable o encargado del tratamiento.
•    Menores de edad: Se fija la edad de los menores en menos de 13 años (frente a la actual regulación española que la fija en menos de 14), en relación a la oferta directa de servicios de la sociedad de la información (comercio electrónico). Además el tratamiento de los datos de estos menores solamente será lícito si el padre o tutor del menor ha prestado su consentimiento previo.
•    Derecho al olvido: Este derecho consiste en la supresión de datos bien porque ya no son necesarios conforme a la finalidad para la que fueron recabados ya sea porque el interesado ha revocado su consentimiento para el tratamiento; porque ha expirado el plazo para el tratamiento legal de los datos; porque el interesado ha ejercitado su derecho de oposición, o bien porque el tratamiento de los datos no se está realizando conforme al nuevo Reglamento. Los responsables de los datos que han cedido o comunicado la información a terceros estarán obligados a comunicarles la obligación de suprimir cualquier enlace a los datos publicados, así como a eliminar cualquier copia o réplica de dichos datos.
•    Medidas de Seguridad: El Reglamento no hace un desglose de las medidas ni establece diversos niveles de seguridad en función del tipo de datos personales que se trate, sino que impone al responsable y al encargado que las implementen asegurar un nivel de protección adecuado atendiendo a tres criterios:
•    los riesgos que se presenten
•    la naturaleza de los datos
•    los costes de implementación.
•    El Delegado de Protección de Datos: La propuesta de Reglamento le dedica una sección entera a esta nueva figura, dada la relevancia que tiene para el futuro. Se establece la obligatoriedad de contar con un “Data Protection Officer” (DPO) o Delegado de Protección de Datos, por un plazo mínimo de 2 años, en los siguientes casos:
•    Autoridades y organismos públicos
•    Empresas con al menos 250 empleados
•    Cuando las actividades del responsable o del encargado consistan en el tratamiento de categorías de datos sensibles; tales como raza, sexo, salud, origen étnico, opiniones políticas, etc.
•    En el tratamiento de datos de localización
•    En el tratamiento de datos de menores
•    En el tratamiento de empleados a gran escala.

Se permite contar con un solo DPO en los casos de grupos de empresas.

Las características del Delegado de Protección de Datos deberán ser las siguientes:
•    El DPO deberá ser un profesional que actué con independencia
•    Deberá tener un amplio conocimiento legal de la materia y de la aplicación de la normativa, y un dominio de los requisitos técnicos para la protección de datos.
•    El DPO podrá ser empleado del responsable del tratamiento, que será designado por un periodo mínimo de cuatro años.
•    Podrá también ser un profesional externo, que será designado por un periodo mínimo de dos años, con posibilidad de que pueda ser nombrado nuevamente y podrá desempeñar sus funciones a tiempo completo o parcial.
•    Su nombramiento debe comunicarse a la autoridad en materia de protección de datos (en nuestro caso a la Agencia Española de Protección de Datos) y comunicarlo al público en general básicamente a través de la cláusula de información puesta a disposición de los interesados en el momento de recabar sus datos.
En cuanto a las funciones que le serán encomendadas se encuentran:

•    Supervisar la implementación y aplicación de las políticas internas
•    Impartir la formación al personal
•    Realizar las auditorías
•    Registrar las operaciones de tratamiento que hayan sido realizadas por el responsable del tratamiento y notificar a la autoridad supervisora (la AEPD) las operaciones que pudiesen presentar riesgos en materia de protección de datos de carácter personal.
•    Emitir Evaluación de Impacto previo a la fase de diseño, contratación, desarrollo y lanzamiento de sistemas para el tratamiento automatizado de datos personales
•    Proporcionar información a los interesados
•    Gestionar las solicitudes presentadas en el ejercicio de los derechos
•    Velar por la conservación de la documentación
•    Actuar como punto de contacto para la autoridad de control

•    La Evaluación de Impacto: Será obligatorio realizar una evaluación de riesgos por parte del responsable o el encargado del tratamiento, con carácter previo al tratamiento, que permita implementar las medidas necesarias para evitar la pérdida de datos, los accesos y cesiones no autorizados. Los casos en los que será necesaria esta Evaluación de Impacto son los siguientes:

•    Cuando el tratamiento sirva para la creación de perfiles de los interesados
•    En el tratamiento de datos sensibles (lo que hoy conocemos como Nivel Alto de seguridad)
•    Cuando se traten datos genéticos o biométricos
•    En los sistemas de vídeo-vigilancia
•    En el tratamiento de datos de menores.

Así pues, las medidas supondrán la adopción de técnicas y métodos así como algunos cambios en la organización de los  trabajos que afecten a los datos de carácter personal. Por otra parte, las medidas deben aplicarse a todo el conjunto que forman los sistemas de información.

En cumplimiento de la Lopd se realizamos  las auditorías bienales y se recomiendo realizar una anual para corregir desviaciones.

Además en  los últimos tiempos se ha incrementado la necesidad de disponer de sistemas que permitan la grabación y gestión de imágenes de nuestras instalaciones. En la mayoría de los casos estas instalaciones han sido realizadas sin prever el impacto legal y moral que las mismas generan sobre las personas (trabajadores, clientes, menores de edad, etc.).

Los consultores legales  de ISOTADER llevan tratando estos temas hace ya  bastante tiempo. En la actualidad disponemos de los conocimientos técnicos y jurídicos que aseguran una legal y correcta implantación de sus sistemas de grabación y video vigilancia corroborada con la Agencia de Protección de Datos. El necesario respeto de las normativas que sobre datos personales existen, regula sobre manera la captación de imágenes , su archivo y difusión.  De igual manera y por probada experiencia son los trabajadores de la propia organización los más expuestos y quien más reclamaciones presentan al respecto.

Es el momento de completar o actualizar este apartado y comprobar si efectivamente estamos cumpliendo la ley. El desconocimiento no impedirá una sanción.

CANAL DENUNCIAS

La Directiva (UE) 2019/1937 es una normativa destinada a la protección de las personas que informen sobre infracciones legales, reglamentarias o normativas en el seno interno de las empresas, públicas o privadas pertenecientes a la Unión Europea.

Establece las siguientes obligaciones:

  1. Creación de un Canal interno en la organización para presentar y recibir denuncias.
  2. Establecimiento de un Procedimiento de Gestión de Denuncias.
  3. Creación de un Registro de Denuncias.
  4. Designación de un responsable de Gestión de las Denuncias. Puede ser interno o externo.

 

PLAZOS para la aplicación:

  • Entidades públicas: 17 de diciembre 2021
  • Entidades privadas de 50 a 249 empleados: 17 de diciembre de 2023

Desde ISOTADER, ofrecemos un CANAL INTERNO para la gestión de las denuncias con las siguientes características:

  • Establecimiento del Canal de denuncias interno en la organización para presentar y recibir denuncias, en una plataforma de pago por uso (SAS) con las siguientes funcionalidades:
    • Establecimiento y Configuración de una cuenta de correo corporativa para recibir denuncias
    • Activación de una app para que se puedan poner denuncias y ser dirigidas a la organización.
    • Redacción de textos informativos sobre el Canal Whistleblowing de la Corporación o empresa, para informar en:
      • App
      • Página Web Home
      • Cartelería.

 

Esta solución consta de los canales de entrada para el registro de las denuncias a través de formularios web accesibles a través de una app, y de la propia web corporativa más una Base de datos de registro y gestión para las denuncias.

Las principales características de la Base de Datos del Registro de Denuncias son:

  • Gestión en la nube
  • Ubicación única con sus correspondientes autorizaciones de acceso
  • Almacenamiento: de archivos
  • El Periodo de conservación, será el estipulado por el RGPD (3 meses para las denuncias que no lleguen a finalización) y bloqueo de aquellas que hayan escalado a las autoridades, según procedimiento de la organización.
  • La BASE DE DATOS constará de las siguientes tablas configurables según las necesidades de la organización:
    • Tabla de Denuncias
    • Tabla de Expedientes
    • Tabla de Tramites/Movtos de Expedientes

La Base de Datos permitirá el Anexado de documentos electrónicos a todas las tablas del la Base de Datos (Denuncias, Expedientes/Tramites-Movtos de Expedientes
Esta plataforma se instala y configura con las características (cargos y flujos de trabajo, específicos de la organización) y se da la formación necesaria al cliente (las personas encargadas para su uso y gestión).

Servicio de redacción del Procedimiento Corporativo de Gestión de Denuncias, cuyo contenido alcanzará al menos:

  • Método para presentar denuncias: canal, fórmulas, documentos, etc.
  • Plazo de remisión de acuse de recibo
  • Plazos máximos para emitir Propuesta de Resolución y Resolución
  • Definición de Roles empresariales o corporativos, Usuarios y Funciones
  • Definición de obligaciones de confidencialidad
  • Método por el que se dará a conocer la existencia del Canal de Denuncias
  • Gestión de averiguación.
  • Propuestas de Resolución
  • Sistema de notificaciones a denunciante, afectado/s, autoridades

 

Una vez redactado el Procedimiento se someterá a revisión por la Corporación y, una vez subsanadas las faltas o deficiencias, se deberá aprobar por la Alta Dirección de la Corporación mediante la correspondiente Resolución.

Si la organización no precisara este servicio no es obligatorio su contratación, pero sí que posea este Procedimiento o información y contenido para poder configurar la plataforma y activarla para el cumplimiento de los requisitos del Whistleblowing.

 

Servicio de Asunción de las funciones de responsable de Gestión de las Denuncias (Responsable Whistleblowing).

Este servicio, es opcional y la organización lo elegirá si es de su conveniencia.

Las tareas que se desarrollarán dentro de dicho servicio, son las siguientes:

  • Atención a los canales de denuncias
  • Recepción de denuncias por los canales establecidos
  • Registro de denuncias en el Registro de Denuncias (Base de Datos)
  • Emisión de Acuses de Recibo.
  • Averiguaciones sobre la denuncia presentada
  • Redacción de Propuesta de Resolución
  • Gestión de Notificaciones a interesados
  • Informe Anual del sistema Whistleblowing

La atención será en remoto, siendo posible la atención presencial para las gestiones de Averiguación.

Nuestro CANAL INTERNO DE DENUNCIAS, cumple las exigencias del RGPD al respecto:

NOTAS EXTENDIDAS

REGLAMENTACIONES OBJETO DE DENUNCIAS (ART.2)

  • Contratación pública
  • Servicios, mercados y productos financieros
  • Seguridad y conformidad de productos
  • Seguridad del transporte
  • Protección del medio ambiente
  • Radiaciones y seguridad nuclear
  • Seguridad alimentaria y bienestar animal
  • Salud pública
  • Protección del consumidor
  • Privacidad de datos personales
  • Seguridad de sistemas de información

 

NO SE APLICA A (Art.3):

  • Información clasificada
  • Secreto profesional
  • Deliberaciones judiciales
  • Enjuiciamiento criminal
  • Derecho de los trabajadores a su relación con sindicatos

 

PROTEGIDOS (Art.4): Sector público o privado: funcionarios, asalariados, no asalariados, accionistas, en prácticas, voluntarios, subcontratados, con relación aún no iniciada, en vigor o ya terminada

EXTENSIÓN DE LA PROTECCIÓN (Art. 4.4):

  • denunciante, facilitador, terceros relacionados con denunciante (compañeros, familiares), entidades con las que el denunciante se relaciona por su trabajo
    DENUNCIAS: Internas (empresa) Externas (autoridades)

 

DESCARGA NUESTRO FOLLETO

Campus de Espinardo. Edificio CEEIM, Módulo 6. 30100 Espinardo – Murcia