fbpx

Estos últimos días la mayoría de organizaciones hemos vivido una situación de “estrés empresarial” ante la entrada en vigor de la nueva normativa aplicable a la protección de datos. Un caos provocado por la desinformación y por una gran avalancha de emails, todos ellos con un redactado diferente.

La aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, ya había entrado en vigor en mayo de 2016. Es decir, hemos tenido dos años para adaptarnos a sus exigencias. Lo cierto es que la gran mayoría no hemos hecho “los deberes” hasta los días previos a que empiece a ser exigido (25 de mayo).

En nuestro país ya se garantizaba y protegía, en lo que concierne al tratamiento de los datos personales, los derechos fundamentales del honor e intimidad personal y familiar mediante la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su Reglamento de desarrollo de 21 de diciembre de 2007. Es decir, ya teníamos la obligación de tener registradas las diferentes bases de datos en la Agencia de Protección de Datos correspondiente e informar fehacientemente a nuestros clientes (usuarios, abonados, socios, interesados, etc.) de la existencia de los ficheros y de sus derechos de acceso, rectificación, cancelación y oposición. De no ser así podíamos ser sancionados con multas de hasta 600.000 euros.

¿Qué novedades trae el nuevo Reglamento? Como no podía ser de otra manera: más control sobre los datos. Vivimos en una sociedad extremadamente preocupada por proteger la intimidad, el tratamiento de los datos y la cesión a terceros. Proteger los datos lógicamente a costa de elevar las obligaciones de los responsables y encargados de su tratamiento. Además, unifica toda la normativa existente en los distintos países de la Unión Europea lo que beneficia a aquellas empresas con presencia o relaciones comerciales en varios países.

La principal diferencia es que la cesión de los datos debe hacerse de forma expresa mediante un acto afirmativo y tiene que ser libre, especifico, informado e inequívoco. Por eso cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales. Ya no vale la omisión, se exige una clara acción positiva. Y si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. En estos días muchas de las notificaciones que hemos recibido no cumplen con esta exigencia. Este incumplimiento podría ocasionar consecuencias negativas por ejemplo si una persona recibe algún tipo de notificación sin haber renovado expresamente su autorización.

Los derechos de los interesados se amplían. Es importante que conozcamos que el responsable del tratamiento ha de facilitar al interesado la siguiente información:

a) El plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo. Los datos sólo se deben conservar durante el plazo estrictamente necesario para cumplir con los fines que se establezcan.
b) El derecho al acceso a sus datos personales, y su rectificación o supresión, o la limitación de su tratamiento, y a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.
c) La existencia del derecho a retirar el consentimiento en cualquier momento.
d) El derecho a presentar una reclamación ante una autoridad de control.
e) La fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público.
f) La existencia de decisiones automatizadas, incluida la elaboración de perfiles.

La mayoría de centros deportivos tendremos que registrar las actividades de tratamiento ya que vamos a utilizar datos biométricos dirigidos a identificar de manera unívoca a nuestros clientes y además solicitaremos datos relativos a la salud de la persona para valorar su aptitud o para proponerle programas de actividad física específicos y personalizados. En estos casos deberemos evaluar los posibles riesgos de protección de los datos y tomar las medidas previstas. Respecto a los datos de salud física es recomendable que utilicemos códigos numéricos que impidan identificar a la persona y/o relacionarla con la información que nos ha facilitado.

Podremos solicitar datos personales a mayores de 16 años sin la necesidad del consentimiento de sus padres, aunque la futura Ley de protección de datos en España podrá establecer una edad inferior que, en ningún caso, podrá ser inferior a 13 años. Todos los trabajadores que tengan acceso a los datos deberán firmar un compromiso de confidencialidad obligándose a no facilitar ninguna información a terceros.

Las sanciones por infracciones a la nueva normativa se elevan hasta 20.000.000 euros o, tratándose de una empresa, de una cantidad equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio fiscal anterior, optándose por la de mayor cuantía.

Os recomendamos visitar la web de la Agencia Española de Protección de Datos que pone a disposición la herramienta “FACILITA” destinada a las empresas que realizan tratamientos de datos personales que, a priori, implicarían escaso nivel de riesgos como por ejemplo: tratamientos de datos de contacto y facturación de los clientes o proveedores de una pequeña empresa, o el tratamiento de los datos de sus empleados con la finalidad del mantenimiento de una relación laboral.

En mi opinión, respecto a todo este tema de la protección de datos personales creo que “estamos matando moscas a cañonazos”. La realidad es que para controlar a las grandes multinacionales como Google o Facebook que manejan millones de nuestros datos se imponen a las pequeñas empresas obligaciones de difícil o costoso cumplimiento.

Propuesta cláusula informativa: 
De conformidad con la normativa vigente en Protección de Datos, se informa a los usuarios, clientes e interesados que los datos de carácter personal que faciliten mediante correo electrónico, enviados a través de formularios web, áreas privadas o por cualquier otro medio ubicado en este sitio web serán incorporados al sistema de tratamiento titularidad de XXX (en adelante, XXX) con NIF XXX y domicilio social sito en XXX con la finalidad de gestionar, administrar, ampliar y mejorar los servicios prestados, así como para enviar por medios tradicionales y electrónicos información técnica, operativa y comercial acerca de productos y servicios que puedan resultar de interés a los usuarios, clientes o interesados. En cumplimiento con la normativa vigente, informamos que los datos serán conservados durante el plazo estrictamente necesario para cumplir con los fines indicados.

Mientras los usuarios, clientes o interesados no nos comuniquen lo contrario, entenderemos que los datos no han sido modificados, que se comprometen a notificarnos cualquier variación y que tenemos su consentimiento para utilizarlos para las finalidades mencionadas. XXX informa que procederá a tratar los datos de manera lícita, leal, transparente, limitada, adecuada, pertinente, exacta y actualizada. Es por ello que nos comprometemos a adoptar todas las medidas razonables para que éstos se supriman o rectifiquen sin dilación cuando sean inexactos.

De acuerdo con los derechos que confiere la normativa vigente en Protección de Datos, los usuarios podrán ejercer los derechos de acceso, rectificación, supresión, limitación de tratamiento, portabilidad y oposición al tratamiento de sus datos de carácter personal, así como del consentimiento prestado para el tratamiento de los mismos, dirigiendo su petición a la dirección postal más arriba referenciada o al correo electrónico XXX. Los usuarios podrán dirigirse a la Autoridad de Control competente para presentar las reclamaciones que consideren oportunas. Con el envío del formulario de recogida de datos los usuarios aceptan la política de privacidad de XXX.

Etiquetas:
0 veces compartido

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.