19601, canal de denuncias, Compliance, DPD, DPO, Encargado del tratamiento, ISO 19601, UNE 19601

Boletín agosto 2022: Canales de denuncia y designación de DPO

Hasta ahora los canales de denuncia eran más bien propios en empresas u organizaciones que tenían implantados sistemas de cumplimiento normativo o Compliance. La plena exigibilidad de la Directiva (UE) 2019/1937, más conocida como Directiva Whistleblowing -que formará parte de nuestro ordenamiento jurídico a través de una norma de rango legal- obligará a las empresas de más de 50 empleados a contar con canales de denuncia habilitados para la comunicación interna y externa de posibles conductas delictivas. Toda organización con más de 50 empleados deberá contar con un canal de denuncias Toda organzación con canal de denuncias debe contar con un DPO Estos canales de denuncia deben ser efectivos, confidenciales y seguros. Y se deben adoptar medidas de protección de los denunciantes que utilicen esos canales internos frente a posibles represalias de su empresa o de sus superiores. Un DPO externo tiene considerables ventajas como sus costes o su independencia Los canales de denuncias pueden ser gestionados por servicios externos…

Leer más

Accountability, AEPD, Compliance, Cumplimiento normativo, Medidas de seguridad, Principios LOPD, Sanciones

Boletín junio 2022: La formación debe demostrarse

Recientemente un Tribunal de la ciudad de Cluj (Rumanía) ha impuesto una sanción de 100.000 euros a una entidad financiera porque algunos de sus empleados revelaron (y compartieron entre ellos) datos de clientes a través de whatsapp. El Tribunal entendió que se vulneró el art 32 del RGPD al no haber aplicado las medidas de seguridad adecuadas en lo relativo a la concienciación y comunicación de funciones y obligaciones a los empleados. Además, la sentencia insiste en que no se ha podido demostrar que los empleados recibiesen formación o que se pudiese contrastar la adquisición de conocimientos por su parte. En este sentido, cobra vital importancia el principio de Accountability que establece la normativa y que no es otro que ser capaz de demostrar en todo momento que se cumple con lo que exige la norma. Hago cosas y soy capaz de demostrarlo. Atdata dispone de un campus online en el que trabajadores y directivos se pueden formar a en…

Leer más

AEPD, Agencia Española de Protección de Datos, Sin categoría

Boletín abril 2022: Publicada la memoria de la AEPD

Como todos los años por estas fechas la Agencia Española de Protección de Datos ha presentado su memoria anual sobre el resultado del ejercicio de año 2021. Las memorias de la Agencia Española de Protección de Datos son una herramienta útil y precisa para conocer el estado de cumplimiento de la normativa en nuestro entorno. 82.249 entidades han comunicado su Delegado de Protección de Datos (DPD) Se han notificado 76 brechas de seguridad ante la AEPD En 2021 se resolvieron más de 14.000 reclamaciones Durante el año anterior, el número de denuncias se ha incrementado sustancialmente en un 35% hasta llegar a un número de 13.905, ascendiendo el volumen de sanciones totales impuestas por la Agencia de 35.074.800 euros. La AEPD ha impuesto 258 sanciones por valor de 35 millones de euros Vodafone ha recibido sanciones récord por 8 millones de euros Más allá de las cuantiosas sanciones a entidades como Caixabank, BBVA o Vodafone, donde por fin se han…

Leer más

AEPD, Agencia Española de Protección de Datos, cookies, LOPD, LOPDGDD, RGPD, Sanciones

Boletín febrero 2022: Cookies analytics y otros servicios en el punto de mira de las autoridades de protección de datos

Hasta el año 2020 las transferencias de datos a EEUU se encontraban sujetas al marco-acuerdo Privacy Shield que permitía a empresas europeas transferir datos al otro lado del océano siempre que se cumpliesen ciertos requisitos. Ese mismo año, y a raíz de que el abogado austriaco Max Schrems interpusiera reclamaciones en varias autoridades de protección de datos europeas por del uso de cookies en 101 páginas web europeas, el Tribunal de Justicia de la Comunidad Europea falló que el acuerdo Privacy Shield incumplía el RGPD. Desde entonces la Autoridad Europea de protección de datos (EDPB) establecía que, para poder seguir operando de este modo, se necesitaban garantías adicionales en los contratos de transferencia. Por ello, servicios como Google o Facebook, actualizaron sus condiciones. El uso de analytics sin anonimizar supone una transferencia de datos a EEUU sin amparo en el RGPD Existen alternativas Europeas a Analytics y otros servicios que cumplen el RGPD Google no permitirá las cookies de terceros…

Leer más

ecommerce

Boletín de navidad especial ecommerce

Foto pixabay - ecommerce

Unos de los sectores que más crecimiento ha tenido a causa de la pandemia causada por el virus Covid-19 ha sido el comercio electrónico. Las ventas a distancia se han convertido en una actividad presente en prácticamente todos los sectores de actividad. Es importante conocer las implicaciones que tiene hacer comercio electrónico desde nuestra página web o desde nuestro espacio en redes sociales. Por ello cualquier ecommerce debe disponer de: Condiciones generales de contratación que deben ser propias y ajustadas a nuestra actividad, donde se detallen cosas tan importantes como plazos de entrega, gastos de envío, ejercicio del derecho de desistimiento, cómo se procesan devoluciones o la descripción del proceso de compra. Aviso legal que nos identifique ante el consumidor y cualquier usuario de la red, con nuestros datos fiscales y de contacto. Proceso de compra descrito y detallado, identificado en cada una de sus partes para que el consumidor sepa en qué punto se encuentra del proceso. Adaptación al…

Leer más

Agencia Española de Protección de Datos, base legal, Bases jurídicas, Consentimiento, Deber de información, Legitimación, LOPDGDD, RGPD, Sanciones

Boletín septiembre 2021. El tratamiento de datos de currículum

Recientemente las noticias se han hecho eco de una sanción de 2.000 euros a una empresa que recibió un curriculum por Whatsapp y no contestó al interesado informándole de sus derechos. El titular, por supuesto sensacionalista, ocultaba lo que es relevante conocer para entender el motivo de la sanción. En este caso, la empresa (el responsable del tratamiento) había publicado una oferta de empleo y como medio de envío del CV facilitó un número de Whatsapp. Una vez decidido esto, el responsable debía haber informado de los derechos de las personas solicitantes en la propia oferta o mediante respuesta a los mensajes recibidos. Dicho esto, debemos tener en cuenta que: Un responsable de tratamiento decide si va a guardar y archivar cv o no lo va a hacer, no existe esa obligación. Un responsable de tratamiento decide el medio por el que recibe los cv y puede redirigirnos a ese medio (por ejemplo, indicando que solo se reciben por email…

Leer más

Armas de destrucción matemática, intimidad, Legitimación, LOPDGDD, RGPD

Primero vinieron…a por el certificado de vacunación

Sí, reconozco que acudir al famoso poema de Martin Niemöller [i] para comenzar un artículo sobre protección de datos -y privacidad y otras cosas- puede ser “demasiado” dramático, pero permítanme la licencia a la espera de que cuando lleguen al final se entienda mejor. Desde que, a comienzos del pasado año 2020, los gobiernos y naciones del mundo -especialmente los occidentales- comenzaron a adoptar medidas para controlar la expansión de la pandemia causada por el virus SARS CoV-2 o simplemente Covid-19, hemos asistido a un choque sin precedentes entre libertades y derechos fundamentales por un lado y medidas de control -legislativas o no, gubernamentales o corporativas- por otro. Baste simplemente pensar, por ejemplo, en la no precisamente pacífica cuestión sobre la elección de la figura del estado de alarma como medio idóneo para restringir el derecho de movilidad o de reunión en nuestro país y sobre la que se ha pronunciado el Tribunal Constitucional en la Sentencia 110/2021[ii] En mi…

Leer más

Agencia Española de Protección de Datos, Compliance, Cumplimiento normativo, Encargado del tratamiento, Evaluación de impacto, Privacidad desde el diseño, Transferencia internacional de datos

Esas transferencias de las que usted me habla

Aprovechando la reciente publicación por parte de la Comisión Europea de las nuevas cláusulas tipo actualizadas para contratos de encargados del tratamiento y para las transferencias internacionales de datos (echa un vistazo aquí a la Decisión), derivadas de las acciones del señor Schrems ante los Tribunales de Justicia (sí, otra vez), vamos a tratar de las transferencias esas a las que nadie conoce. A estas alturas el tema de los encargados del tratamiento se va teniendo claro: son aquellos terceros que prestan un servicio que supone o puede suponer el acceso a tratamientos de datos. El caso típico es el de la asesoría laboral que hace las altas de los trabajadores, las nóminas… a partir de ahí a veces la cosa se complica e identificar cuándo estamos ante un encargo del tratamiento o una comunicación de datos (vulgarmente una cesión de datos) no es tan sencilla o requiere darle una vuelta a esto de la protección de datos. En el…

Leer más

AEPD, Agencia Española de Protección de Datos, base legal, Bases jurídicas, Control horario, Legitimación, Principios LOPD, Privacidad desde el diseño, RGPD

Boletín mayo 2021. Tratamiento de datos biométricos

Los tratamientos de datos de categorías especiales, es decir, aquellos que a los que la normativa de protección de datos dedica más cuidado, son cada vez es más frecuentes. No solo son datos de categorías especiales los de salud o creencias; tratamientos de datos como la huella dactilar o el reconocimiento facial se encuentran en este supuesto. En el caso, por ejemplo, del reconocimiento facial usado para llevar un control horario, el tratamiento de datosdebería superar este juicio: Idoneidad: El método elegido para llevar a cabo el control debe ser el adecuado, no habiendo otra alternativa menos lesiva en la intimidad de las personas. Necesidad: Debe existir una necesidad real de llevarlo a cabo, por ejemplo, una norma legal que imponga ese deber. Proporcionalidad: Debe existir un equilibrio entre la intromisión realizada y el objetivo perseguido, tratando los datos indispensables para lograr la finalidad perseguida. Por tanto, en el caso concreto del control horario, si existe otro método para llevarlo…

Leer más

Control horario, Desconexión digital, LOPD, LOPDGDD, Teletrabajo

Boletín especial teletrabajo y desconexión digital

Una de las desconocidas novedades de la Ley Orgánica 2/2018 es todo el Título X dedicado a los llamados derechos digitales. Estos derechos digitales no solo afectan a nuestro día a día como ciudadanos (derecho a la educación digital o acceso a internet) sino que especialmente afectan a las relaciones con trabajadores y empleados. Todas las empresas están obligadas a elaborar y aprobar planes de desconexión digital para sus empleados, algo que con el estado de emergencia en el que nos encontramos y el auge del teletrabajo se manifiesta más importante si cabe. A la hora de elaborar estos planes debe tenerse en cuenta: Derecho a la intimidad: Se debe garantizar el derecho a la intimidad del trabajador cuando usa dispositivos de la empresa. Control laboral: Solo se permite el acceso a los dispositivos de trabajo para el control de las obligaciones laborales por parte del empleador. Criterios de uso: La empresa debe establecer de acuerdo con los trabajadores los…

Leer más