Protección de Datos
La protección de datos como garantía de derechos fundamentales
La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.
Los principios y normas relativos a la protección de las personas físicas en lo que respecta al tratamiento de sus datos de carácter personal deben, cualquiera que sea su nacionalidad o residencia, respetar sus libertades y derechos fundamentales, en particular el derecho a la protección de los datos de carácter personal.
Regulación normativa en materia de protección de datos personales
- REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
- LEY ORGÁNICA 3/2018, DE 5 DE DICIEMBRE, DE PROTECCIÓN DE DATOS PERSONALES Y GARANTÍA DE LOS DERECHOS DIGITALES
Cualquier empresa que en el desempeño de su actividad trate con datos personales, debe cumplir obligatoriamente con la normativa de protección de datos, vigente, es decir, con el RGPD y la LOPDGDD.
A través de la adaptación RGPD y LOPDGDD, las empresas garantizan la protección de los datos personales de sus usuarios y clientes.
Se entiende por dato personal, toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
Se entiende por tratamiento de datos de carácter personal, cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
¿Por qué debo estar adaptado al Reglamento General de Protección de Datos?
Las empresas, autónomos, Administraciones Públicas, Comunidades de Propietarios, Organizaciones, etc. que manejen datos personales están obligadas a cumplir con el RGPD-LOPD.
Para evitar cuantiosas sanciones en caso de inspección o denuncia ante las autoridades de control (AEPD). El incumplimiento de esta normativa deriva en sanciones económicas bastante elevadas que pueden llegar a ser del 4% del volumen anual del negocio en cuestión o hasta 20 millones de euros.
- Principio de “licitud, transparencia y lealtad”, que consiste en que los datos deben ser tratados de manera lícita, leal y transparente para el interesado.
- Principio de “finalidad” que implica, por una parte, la obligación de que los datos sean tratados con una o varias finalidades determinadas, explícitas y legítimas y, por otra, que se prohíbe que los datos recogidos con unos fines determinados, explícitos y legítimos sean tratados posteriormente de una manera incompatible con esos fines.
- Principio de “minimización de datos”, es decir, aplicar medidas técnicas y organizativas para garantizar que sean objeto de tratamiento los datos que únicamente sean precisos para cada uno de los fines específicos del tratamiento reduciendo, la extensión del tratamiento, limitando a lo necesario el plazo de conservación y su accesibilidad.
- Principio de “exactitud”, que obliga a los responsables a disponer de medidas razonables para que los datos se encuentren actualizados, se supriman o modifiquen sin dilación cuando sean inexactos con respecto a los fines para los que se tratan.
- Principio de “limitación del plazo de conservación” que constituye una de las materializaciones del principio de minimización. La conservación de esos datos debe limitarse en el tiempo al logro de los fines que persigue el tratamiento. Una vez que esas finalidades se han alcanzado, los datos deben ser borrados, bloqueados o, en su defecto, anonimizados, es decir, desprovistos de todo elemento que permita identificar a los interesados.
- Principio de “seguridad” que impone a quienes tratan datos el necesario análisis de riesgos orientado a determinar las medidas técnicas y organizativas necesarias para garantizar la integridad, la disponibilidad y la confidencialidad de los datos personales que traten.
- Principio de “responsabilidad activa” o “responsabilidad demostrada” que obliga a los responsables a mantener diligencia debida de manera permanente para proteger y garantizar los derechos y libertades de las personas físicas cuyos datos son tratados en base a un análisis de los riesgos que el tratamiento representa para esos derechos y libertades, de modo que el responsable pueda, tanto garantizar como estar en condiciones de demostrar que el tratamiento se ajusta a las previsiones del RGPD y la LOPDGD.
La normativa de protección de datos permite ejercer ante el responsable del tratamiento los derechos de acceso, rectificación, oposición, supresión (“derecho al olvido”), limitación del tratamiento, portabilidad y de no ser objeto de decisiones individualizadas.
- El Derecho de Acceso: se traduce en la posibilidad que tiene el interesado de obtener del Responsable, confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho a acceder y obtener una copia de los datos personales objeto de tratamiento.
- El Derecho de Rectificación: se traduce en la posibilidad que tiene el interesado a obtener del Responsable la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.
- El Derecho de Supresión (Olvido): supone el derecho del interesado a obtener del Responsable la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir los datos personales bajo determinadas circunstancias.
- El Derecho a la Limitación del Tratamiento: se traduce en la posibilidad que tiene el interesado de obtener del Responsable la limitación del tratamiento de sus datos cuando se produzcan determinadas circunstancias.
- El Derecho a la Portabilidad: se traduce en la posibilidad del interesado a recibir del Responsable, cuando sea técnicamente posible, los datos personales que le incumban, y que le haya facilitado, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento, cuando el tratamiento se efectúe por medios automatizados y esté basado en el consentimiento del interesado.
- El Derecho de Oposición: se traduce en la posibilidad de que dispone el interesado a oponerse en cualquier momento a que datos personales que le conciernan sean objeto de tratamiento, incluida la elaboración de perfiles.
- El Derecho a no ser objeto de Decisiones Individuales Automatizadas: se traduce en la posibilidad que tienen los interesados de no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.
Cuando se ejercitan estos derechos, el responsable del tratamiento debe responder en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes.
Se entiende por Responsable toda aquella persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.
Obligaciones del Responsable del tratamiento
- Observancia del principio de responsabilidad proactiva
- Decisión sobre fines y medios del tratamiento
- Análisis de riesgo
- Mantener Registro de Actividades de Tratamiento
- Protección de Datos desde el Diseño y por Defecto
- Medidas de seguridad
- Elección de encargados con garantías mediante Contratos/actos jurídicos de Encargo de tratamiento
- Notificación de violaciones de seguridad de los datos a autoridad de control y, en su caso, al interesado
- Evaluación de impacto sobre la Protección de Datos / Consulta previa
- Designar un Delegado de Protección de Datos en los casos previstos por el RGPD
- Designación de un Representante en la Unión, cuando éste no esté establecido en la misma
- Cooperar con las Autoridades de Control
- Atender las consultas que los interesados realicen a la entidad
Se considera Encargado, aquella persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
Obligaciones del Encargado del tratamiento
- Firmar un Encargo de Tratamiento con el Responsable
- Mantener un Registro de Actividades de Tratamiento
- Determinar medidas de seguridad
- Designar un Delegado de Protección de Datos en los casos legalmente previstos
- Tratamiento de datos acorde a las instrucciones del responsable
- Garantía de confidencialidad
- Notificación de violaciones de seguridad de los datos a responsable
- Asistirá al responsable, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados
- Ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del RGPD
- A elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros
- Pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable
- Cooperar con las Autoridades de Control
Será obligatorio designar un DPD en los siguientes casos:
- El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
- Cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
- Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con y de datos relativos a condenas e infracciones penales
El delegado de protección de datos, tendrá como mínimo las siguientes funciones:
- Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud de las disposiciones de protección de datos
- Supervisar el cumplimiento de lo dispuesto en la regulación de la protección de datos y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
- Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con la normativa;
- Cooperar con la autoridad de control;
- Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa y realizar consultas, en su caso, sobre cualquier otro asunto.
Las sanciones establecidas en esta materia el RGPD las dividen en 2 bloques:
- Multa de hasta 10 millones de euros (o el 2% de la facturación anual, aplicando la cuantía que resulte más alta).
- Multa de hasta 20 millones de euros (o el 4% de la facturación anual, aplicando la cuantía que resulte más alta).
Por su parte, la LOPGDD distingue 3 tipos de infracciones:
- Infracciones leves: multa de hasta 40.000 €
- Infracciones graves: multa de 40.001 € a 300.000 €
- Infracciones muy graves: multa entre 300.001 € a 20.000.000 €
En la Memoria anual publicada para 2021 por la Agencia Española de Protección de Datos publica las reclamaciones presentadas ante esta autoridad de control aumentaron un 35%. Las reclamaciones planteadas con mayor frecuencia por los ciudadanos corresponden a servicios de internet, videovigilancia, recepción de publicidad e inserción indebida en ficheros de morosidad.
Por su parte, las áreas de actividad con mayor importe de multas impuestas son la publicidad, telecomunicaciones, entidades financieras/acreedoras, ficheros de morosidad, contratación fraudulenta y asuntos laborales, que aglutinan más del 90% de la cifra global de sanciones.
Las seis áreas de actividad con mayor importe global de multas han sido la publicidad (8.659.200 euros), telecomunicaciones (6.500.000 euros), entidades financieras/ acreedoras (6.243.000 euros), ficheros de morosidad (4.209.000 euros), contratación fraudulenta (3.674.000 euros) y asuntos laborales (2.625.900 euros).
Adicionalmente, el incumplimiento de la normativa puede llevar aparejado daño reputacional, indemnizaciones a los afectados, así como responsabilidad penal.
- Principio de “licitud, transparencia y lealtad”, que consiste en que los datos deben ser tratados de manera lícita, leal y transparente para el interesado.
- Principio de “finalidad” que implica, por una parte, la obligación de que los datos sean tratados con una o varias finalidades determinadas, explícitas y legítimas y, por otra, que se prohíbe que los datos recogidos con unos fines determinados, explícitos y legítimos sean tratados posteriormente de una manera incompatible con esos fines.
- Principio de “minimización de datos”, es decir, aplicar medidas técnicas y organizativas para garantizar que sean objeto de tratamiento los datos que únicamente sean precisos para cada uno de los fines específicos del tratamiento reduciendo, la extensión del tratamiento, limitando a lo necesario el plazo de conservación y su accesibilidad.
- Principio de “exactitud”, que obliga a los responsables a disponer de medidas razonables para que los datos se encuentren actualizados, se supriman o modifiquen sin dilación cuando sean inexactos con respecto a los fines para los que se tratan.
- Principio de “limitación del plazo de conservación” que constituye una de las materializaciones del principio de minimización. La conservación de esos datos debe limitarse en el tiempo al logro de los fines que persigue el tratamiento. Una vez que esas finalidades se han alcanzado, los datos deben ser borrados, bloqueados o, en su defecto, anonimizados, es decir, desprovistos de todo elemento que permita identificar a los interesados.
- Principio de “seguridad” que impone a quienes tratan datos el necesario análisis de riesgos orientado a determinar las medidas técnicas y organizativas necesarias para garantizar la integridad, la disponibilidad y la confidencialidad de los datos personales que traten.
- Principio de “responsabilidad activa” o “responsabilidad demostrada” que obliga a los responsables a mantener diligencia debida de manera permanente para proteger y garantizar los derechos y libertades de las personas físicas cuyos datos son tratados en base a un análisis de los riesgos que el tratamiento representa para esos derechos y libertades, de modo que el responsable pueda, tanto garantizar como estar en condiciones de demostrar que el tratamiento se ajusta a las previsiones del RGPD y la LOPDGD.
La normativa de protección de datos permite ejercer ante el responsable del tratamiento los derechos de acceso, rectificación, oposición, supresión (“derecho al olvido”), limitación del tratamiento, portabilidad y de no ser objeto de decisiones individualizadas.
- El Derecho de Acceso: se traduce en la posibilidad que tiene el interesado de obtener del Responsable, confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho a acceder y obtener una copia de los datos personales objeto de tratamiento.
- El Derecho de Rectificación: se traduce en la posibilidad que tiene el interesado a obtener del Responsable la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.
- El Derecho de Supresión (Olvido): supone el derecho del interesado a obtener del Responsable la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir los datos personales bajo determinadas circunstancias.
- El Derecho a la Limitación del Tratamiento: se traduce en la posibilidad que tiene el interesado de obtener del Responsable la limitación del tratamiento de sus datos cuando se produzcan determinadas circunstancias.
- El Derecho a la Portabilidad: se traduce en la posibilidad del interesado a recibir del Responsable, cuando sea técnicamente posible, los datos personales que le incumban, y que le haya facilitado, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento, cuando el tratamiento se efectúe por medios automatizados y esté basado en el consentimiento del interesado.
- El Derecho de Oposición: se traduce en la posibilidad de que dispone el interesado a oponerse en cualquier momento a que datos personales que le conciernan sean objeto de tratamiento, incluida la elaboración de perfiles.
- El Derecho a no ser objeto de Decisiones Individuales Automatizadas: se traduce en la posibilidad que tienen los interesados de no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.
Cuando se ejercitan estos derechos, el responsable del tratamiento debe responder en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes.
Se entiende por Responsable toda aquella persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.
Obligaciones del Responsable del tratamiento
- Observancia del principio de responsabilidad proactiva
- Decisión sobre fines y medios del tratamiento
- Análisis de riesgo
- Mantener Registro de Actividades de Tratamiento
- Protección de Datos desde el Diseño y por Defecto
- Medidas de seguridad
- Elección de encargados con garantías mediante Contratos/actos jurídicos de Encargo de tratamiento
- Notificación de violaciones de seguridad de los datos a autoridad de control y, en su caso, al interesado
- Evaluación de impacto sobre la Protección de Datos / Consulta previa
- Designar un Delegado de Protección de Datos en los casos previstos por el RGPD
- Designación de un Representante en la Unión, cuando éste no esté establecido en la misma
- Cooperar con las Autoridades de Control
- Atender las consultas que los interesados realicen a la entidad
Se considera Encargado, aquella persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
Obligaciones del Encargado del tratamiento
- Firmar un Encargo de Tratamiento con el Responsable
- Mantener un Registro de Actividades de Tratamiento
- Determinar medidas de seguridad
- Designar un Delegado de Protección de Datos en los casos legalmente previstos
- Tratamiento de datos acorde a las instrucciones del responsable
- Garantía de confidencialidad
- Notificación de violaciones de seguridad de los datos a responsable
- Asistirá al responsable, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados
- Ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del RGPD
- A elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros
- Pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable
- Cooperar con las Autoridades de Control
Será obligatorio designar un DPD en los siguientes casos:
- El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
- Cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
- Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con y de datos relativos a condenas e infracciones penales
El delegado de protección de datos, tendrá como mínimo las siguientes funciones:
- Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud de las disposiciones de protección de datos
- Supervisar el cumplimiento de lo dispuesto en la regulación de la protección de datos y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
- Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con la normativa;
- Cooperar con la autoridad de control;
- Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa y realizar consultas, en su caso, sobre cualquier otro asunto.
Las sanciones establecidas en esta materia el RGPD las dividen en 2 bloques:
- Multa de hasta 10 millones de euros (o el 2% de la facturación anual, aplicando la cuantía que resulte más alta).
- Multa de hasta 20 millones de euros (o el 4% de la facturación anual, aplicando la cuantía que resulte más alta).
Por su parte, la LOPGDD distingue 3 tipos de infracciones:
- Infracciones leves: multa de hasta 40.000 €
- Infracciones graves: multa de 40.001 € a 300.000 €
- Infracciones muy graves: multa entre 300.001 € a 20.000.000 €
En la Memoria anual publicada para 2021 por la Agencia Española de Protección de Datos publica las reclamaciones presentadas ante esta autoridad de control aumentaron un 35%. Las reclamaciones planteadas con mayor frecuencia por los ciudadanos corresponden a servicios de internet, videovigilancia, recepción de publicidad e inserción indebida en ficheros de morosidad.
Por su parte, las áreas de actividad con mayor importe de multas impuestas son la publicidad, telecomunicaciones, entidades financieras/acreedoras, ficheros de morosidad, contratación fraudulenta y asuntos laborales, que aglutinan más del 90% de la cifra global de sanciones.
Las seis áreas de actividad con mayor importe global de multas han sido la publicidad (8.659.200 euros), telecomunicaciones (6.500.000 euros), entidades financieras/ acreedoras (6.243.000 euros), ficheros de morosidad (4.209.000 euros), contratación fraudulenta (3.674.000 euros) y asuntos laborales (2.625.900 euros).
Adicionalmente, el incumplimiento de la normativa puede llevar aparejado daño reputacional, indemnizaciones a los afectados, así como responsabilidad penal.
Nuestros servicios
IG Asesores. Estamos especializados en las áreas fiscal, laboral, contable y mercantil tanto para empresas como para autónomos y particulares.
Ofrecemos a nuestros clientes asesoramiento y soluciones globales de gestión y administración empresarial.
Realizamos gestiones ante la D.G.T, Legalizaciones de documentos, Declaración de la renta, Elaboración de contratos de alquiler y compra-venta.
Contacte con su asesor ahora y recibe información sin compromiso.
Nos encargamos de toda la gestión necesaria para el correcto funcionamiento de la Finca:
- Tramitación de impuestos (IRPF, IVA, etc.)
- Gestión de incidencias y siniestros con la Compañía de Seguros
- Confección, emisión y gestión de recibos ordinarios y extraordinarios
- Llevanza de la contabilidad integral y elaboración del presupuesto del año siguiente
- Preparación y asistencia a las juntas de Propietarios, así como la redacción de las Actas correspondientes
- Guarda y custodia de todos los documentos comunitarios
- Preparación y distribución de circulares informativas
- Gestión de cobro e impagos por vía judicial
Asesoramos todas las cuestiones relacionadas con la actividad mercantil de empresas y pymes. Nuestros expertos en asesoría mercantil gestionan cambio del domicilio social o la denominación de una sociedad, hasta el desarrollo de grandes actuaciones corporativas (procesos de fusión o compraventa de empresas). Ver más
Así como la realización consultoría financiera, donde se realiza el análisis de la situación financiera y la correcta planificación del futuro del empresario, independientemente del volumen de su negocio.
Todo lo relativo al gestiones fiscales, desde el cumplimiento de las obligaciones fiscales y el pago de impuestos hasta la estrategia tributaria, es clave para el correcto desarrollo de cualquier emprendimiento profesional y la gestión de ahorros e inversiones.
Análisis, asesoramiento y gestión de la contabilidad
La gestión contable constituye la columna vertebral de cualquier empresa.
Brindamos asesoramiento general y completo a tonos nuestros clientes. Contacte con su asesor ahora