Consultoría para adaptación a la Ley de Protección de Datos

Buscar en esta web (2)

Artículos

blog

El Reglamento de Protección de Datos en vídeo

Ratio:  / 1

El nuevo Reglamento General de Protección de Datos - RGPD será aplicable a partir de mayo de 2018, es hora de conocerlo y de planificar la estrategia adecuada para cumplir con las nuevas obligaciones del Reglamento UE 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)

En Browser Consultores queremos acercar a nuestros clientes y usuarios la información necesaria para que conozcan cuales serán estas nuevas obligaciones en materia de protección de datos y cuales serán los derechos de los residentes de la Unión Europea respecto de sus datos personales.  Para facilitar esta información os ofrecemos este vídeo sobre  el Reglamento General de Protección de Datos - RGDP.

-Esperamos que os sea útil y os guste.

 

La franquicia, los franquiciados, y la #LOPD.

A continuación queremos compartir algunas de las conclusiones que hemos alcanzado tras llevar a cabo algunos proyectos de adaptación a la normativa de protección de datos de franquicias y organizaciones similares.

Los responsables de los ficheros o bases de datos:

Lo primero sería decir que para poder iniciar el proyecto de adaptación de una franquicia, es capital comenzar con un profundo análisis de las relaciones entre el franquiciador y sus franquiciados, por lo que lo primero que es necesario tener en cuenta y les ha costado entender a alguno de nuestros clientes, es quienes son los responsables de las BBDD, quien es el Responsable de los Ficheros y quién está obligado a adaptarse a la LOPD.

Para aclarar esto, la AEPD dio respuesta a estas cuestiones en su informe 0263/2009. De este informe se puede deducir que tanto los franquiciados como el franquiciador al poseer diferentes personalidades jurídicas, son considerados responsables de sus propios ficheros y deben adaptarse a la LOPD Y RDLOPD.

En términos más fáciles de entender, podemos decir que cada franquiciado es el Responsable de los Ficheros relacionados con su facturación, de su propia contabilidad, de su propia gestión de los recursos humanos,.., al igual cualquier otra empresa que no está franquiciada. Por su parte, el franquiciador sería responsable del fichero compuesto por los datos de todos los clientes de su marca, siempre y cuando los franquiciados se los cedan con el necesario permiso de los clientes, y de los ficheros resultantes de la titularidad de los centros propios.

Cada centro es responsable del fichero de sus clientes y empleados.

-----

La franquicia es responsable del fichero de los datos cedidos por el franquiciado.

Los encargos del tratamiento de datos:

Por otro lado, están los ficheros y diversos tratamientos de datos personales que se realizan en el desarrollo de los servicios que la franquicia presta a los centros franquiciados: formación a empleados, mail-marketing, SAT, mantenimiento de software, etc…. Respecto de estos tratamientos de datos y ficheros, el franquiciador representaría la figura de un Encargado del Tratamiento, siempre que los tratamientos de datos que realice se encuentren dentro del marco de la prestación del servicio.

Si la franquicia le da soporte al franquiciado y por ello trata los datos de los clientes o empleados del fraquiciado, el franquiciador sería considerado Encargado del Tratamiento.

Las cesiones de datos:

También hay que tener en cuenta que hay cesiones de datos entre los mismos franquiciados, son habituales estas cesiones por la gestión de la bolsa de empleo, clientes que cambian de centro, prestación de servicios compartida, etc…

Otra cesión de datos muy habitual es la producida por la creación de una base de datos conjunta que englobe los datos de todos los clientes de los centros franquiciados para fines de mejora de calidad, estadísticos, promocionales, etc...

Es vital prever las cesiones de datos que serán necesarias para el crecimiento de la imagen de marca.

Recomendaciones específicas para la adaptación de franquicias a la LOPD

Además de las recomendaciones habituales para la adaptación de cualquier organización a la LOPD, estas son unas recomendaciones para que una franquicia implante con éxito la LOPD en su organización.

$11.      Entender la normativa de protección de datos como parte esencial para el crecimiento de la imagen de marca desde la fase inicial de la expansión y transmitirlo así a los franquiciados.

$12.      Incluir en el contrato marco de franquicia las responsabilidades, encargos del tratamiento y cesiones de datos que se harán en el marco de la relación entre los franquiciados y entre la franquicia con los franquiciados.

$13.      Desarrollar unas políticas de uso de datos y confidencialidad para todos los centros.

Algunos procedimientos sancionadores de la AEPD relacionadas con franquicias.

Procedimiento Nº PS/00695/2013

Procedimiento Nº PS/00058/2006

Procedimiento Nº PS/00203/2014

Procedimiento Nº PS/00298/2008

Procedimiento Nº PS/00699/2012

Procedimiento Nº PS/00222/2006

Procedimiento Nº PS/00130/2004

Procedimiento Nº PS/00467/2008

Procedimiento Nº PS/00221/2006

Procedimiento Nº PS/00587/2010

Procedimiento Nº PS/00224/2009

Las auditorías LOPD

Ratio:  / 0
¿Tiene obligación mi empresa de realizar una auditoría LOPD?
La obligación de someter los sistemas de tratamiento de datos personales a una auditoría no viene determinada por el tipo de empresa, tamaño o actividad de la misma, sino por los tratamientos de datos que se realizan, por las finalidades del tratamiento y el tipo de datos.
El Real Decreto 1720/2007, de 21 de diciembre (RDLOPD) establece la obligación de llevar a cabo la auditoría sobre los ficheros que les sea aplicable un nivel de seguridad medio o alto, como por ejemplo los ficheros que recojan datos curriculares a los que les debe aplicar las medidas de nivel medio, o datos de salud o afiliación sindical cuyas medidas deben ser las de nivel alto.
Esto hace que una gran mayoría de empresas estén obligadas a realizar estas auditorías.
¿Qué consecuencias tiene no realizar la auditoría?
Según el régimen sancionador de la LOPD, el incumplimiento del Deber de Seguridad (artículo 9), lo que conllevaría una sanción de entre 40.001€ y 300.000€ para los Responsables de Ficheros de titularidad privada.
¿Cuándo tiene mi empresa que hacer la auditoría LOPD?
En el artículo 96 del RLOPD que señala que la auditoría debe realizarse al menos cada dos años, a no ser que se produzcan modificaciones sustanciales en el sistema de tratamiento de la información que puedan repercutir en el cumplimiento de las medidas de seguridad, como por ejemplo: cambio de domicilio donde se realizan los tratamientos de datos personales, cambio de aplicaciones informáticas, automatización de un sistema en formato papel, etc…
¿En qué consiste la auditoría LOPD?
La auditoría en materia de protección de datos debe consistir en la realización de un profundo análisis legal, técnico y organizativo del sistema de tratamiento de los datos, de los protocolos de recogida, de las medidas de seguridad implantadas, de las garantías que se ofrecen para que no se vulneren los derechos de los afectados por los tratamientos, y del cumplimiento de las obligaciones administrativas de la empresa, para descubrir qué deficiencias tiene el sistema de tratamiento de la información y así poder solventarlas.
¿Para qué sirve una auditoría LOPD?
El objeto principal de la auditoría no es dictaminar si la empresa cumple o no con la LOPD y RDLOPD, sino identificar las posibles deficiencias en el tratamiento para implantar las medidas correctoras necesarias a fin de garantizar la seguridad de los datos personales, los Derechos de los afectados por el tratamiento y los Principios de la Protección de Datos
¿Quién puede hacer la auditoría LOPD?
El Real Decreto deja no determina un perfil o una titulación específica que pudiera ser necesaria para realizar la auditoría. No obstante, sí especifica que la auditoría puede ser interna o externa. Nuestra recomendación es que si la empresa no dispone de un experto en la materia, recurra a un auditor externo, que pueda acreditar la experiencia necesaria en proyectos similares, y que garantice un servicio personalizado y comprometido.
 

LOPD: Gimnasios y centros deportivos

Ratio:  / 1

LOPD: Los Gimnasios, los ficheros y la Solución.

La Ley Orgánica de Protección de Datos (LOPD), como ocurre en  la inmensa mayoría de los negocios, afecta directamente en su gestión y cumplimiento de las normas legales de los gimnasios, centros deportivos, clubs deportivos, etc….

Las claves y puntos específicos a destacar sobre la aplicación de la (LOPD) de este tipo de negocios pueden ser: el nivel de seguridad de los ficheros, los servicios auxiliares, los sistemas de videovigilancia, el envío de email y sms para promocionarse, el acceso de los distintos monitores a las aplicaciones informáticas, etc…

Nivel de protección de los ficheros – Fichero de usuarios:

Dejando al margen los ficheros habituales de una empresa (CONTABILIDAD, LABORAL, CURRICULUM, etc…), los gimnasios tienen un fichero que es bóveda de clave en su actividad comercial: EL FICHERO DE USUARIOS/SOCIOS.

En general este fichero debe ser considerado como un fichero de nivel básico, no obstante por en ocasiones la falta de criterio en cuanto al tipo de datos que se recaban puede hacer obligatoria la llevanza de medidas de seguridad de niveles superiores.

Solución: Aplica el Principio de Calidad y de Proporcionalidad para identificar que datos debes tener en tu base de datos


Servicios auxiliares: Los ficheros y su responsabilidad:

No podemos dejar de lado que en ocasiones para prestar servicios auxiliares (nutricionista, fisioterapeuta, rallos uva, etc..), se recaban datos de salud.

Esto hace obligatorio el crear otro fichero específico para estos servicios, que además en los casos de los servicios de carácter médico o sanitario deberá ser de nivel alto y acorde con la normativa estatal y/o autonómica en cuanto al contenido de la historia clínica. (ver resumen de obligaciones en la historia clínica)

En cuanto a la responsabilidad de estos ficheros de estos servicios auxiliares, se debería de tomar el tiempo necesario para identificar quien es el Responsable del Fichero, cuando estos servicios auxiliares son prestados por terceros dentro de las mismas instalaciones del gimnasio:

Caso habitual a): El fichero, el servicio y el cobro lo realiza directamente un Servicio Externo que el gimnasio lo ha contratado. En este caso el Servicio Externo es Responsable del Fichero, y el gimnasio un simple comisionista.

Caso habitual  b): El fichero y el servicio lo realiza un Servicio Externo que el gimnasio lo ha contratado; la gestión de cobro y gestión de citas lo lleva el gimnasio. En este caso el Servicio Externo es Responsable del Fichero, y el gimnasio puede ser incluso Encargado del Tratamiento.

En ambos casos el responsable máximo del fichero de gestión del servicio auxiliar, es particularmente del Servicio Externo/Fisioterapeuta/nutricionista/…. Esto supone una "liberación" sobre la responsabilidad del gimnasio, aunque supone también que el Servicio Externo es a quién pertenece la base de datos y puede suponer un problema en caso de rescindirse el contrato de colaboración

Caso habitual c): El fichero y el servicio lo realiza un Servicio Externo en nombre y bajo la titularidad del gimnasio;  la gestión de cobro y gestión de citas lo lleva el gimnasio.

En este caso el Responsable del Fichero sería el gimnasio, con el Servicio Externo como Encargado del Tratamiento.

Solución: Redacta un contrato específico en cada caso,  dirimiendo las responsabilidades y acorde con los intereses de las partes.


Los menores y el consentimiento

Obviamente, los menores también van a los gimnasios y por este motivo se deben de tener los protocolos adecuados para recabar los datos de los menores para poderles incluir en las bases de datos.

En este sentido no cabe destacar ninguna circunstancia que dificulte la recogida de datos y posterior tratamiento de los menores. Sin más tendremos que pedir a sus padres/tutores que firmen el documento de inscripción al igual que a los menores, habilitando en el mismo formulario un lugar adecuado.(Ver artículo relacionado)

Solución: confecciona debidamente los formularios de recogida de datos y habilita una casilla para la firma de los padres o tutores de los menores de 14 años.

Hay muchas mas cuestiones y la problemática es muy amplia. Si necesitas hacernos alguna consulta o quieres que te guiemos en la adaptación de tu gimnasio a la LOPD, no lo dudes ponte en contacto con nosotros. clientes@browserconsultores.es

LOPD: QUE ES UN SOPORTE

Dada la obligación de hacer un inventario de soportes, quizá queda un poco en el aire que se puede considerar un soporte.

La definición legal, según el artículo 5.2.ñ del RDLOPD, define como soporte "objeto físico que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar y recuperar datos.

Primero tenemos que entender que la finalidad de hacer este inventario, es la de indicar, DONDE ESTAN GUARDADOS LOS DATOS.

A los efectos, podemos decir que dos tipos de soportes:

  1. Físicos: Archivadores, carpetas, armarios, etc...
  2. Informáticos: Pendrive, CD, DVD, Tarjetas de memoria, aplicaciones,  plataformas, etc..

Teléfonos de contacto Browser Consultores