Desde AYCE Laborytax queremos explicarte qué es y cómo funciona la nueva LOPD-GDD, para que así conozcas todas las claves que no deberás pasar por alto en tu empresa al aplicarla.
La nueva Ley de Protección de Datos y Garantía de Derechos Digitales entró en vigor el pasado 7 de diciembre de 2018, y tiene como objetivo principal regular el correcto uso de datos de carácter personal de terceros, así como adaptar el ordenamiento español al Reglamento europeo de Protección de Datos.
Hay que destacar que es una ley totalmente obligatoria para todo tipo de empresas y negocios que traten con datos sensibles (bases de datos de clientes, datafono, envío de newsletters, cámaras de videovigilancia, etc.), para tratar de garantizar una mayor protección de la intimidad en el entorno digital actual, en el que la privacidad resulta mucho más vulnerable.
¿Cómo implantar la nueva LOPD-GDD en tu empresa?
Cualquier tipo de empresa o negocio que trate con datos sensibles de terceros, deberá cumplir con todos y cada uno de los requisitos establecidos en la nueva normativa de la Ley de Protección de Datos Personales y Garantías de Derechos Digitales.
Dicho esto, implantar la nueva LOPD-GDD es mucho más que un mero trámite que debas llevar a cabo para evitar duras sanciones en tu empresa. Con su implantación estarás realizando una declaración de intenciones a todas aquellas personas que hayan accedido a ofrecerte datos de carácter personal, haciendo tu empresa mucho más competitiva, mejorando su imagen y, aumentando la confianza de tus clientes.
Te interesa:
Aprende a aplicar la nueva Ley RGPD en tu web para evitar sanciones millonarias
Aunque toda empresa ya debería cumplir con el Reglamento Europeo de Protección de Datos (RGPD) desde el pasado 25 de mayo, con la nueva LOPD-GDD llegan una serie de novedades que no debes pasar por alto.
¿Qué novedades trae la nueva LOPD-GDD?
Marco de aplicación
La LOPD-GDD se aplicará cuando se den los siguientes tratamientos:
- Tratamiento de datos de empresarios individuales y de profesionales liberales.
- Operaciones mercantiles.
- Utilización de sistemas de vigilancia.
- Sistemas de exclusión publicitaria.
- Canales de comunicación y denuncias.
- Sistemas de información crediticia.
Protección de menores
La LOPD-GDD hace un especial hincapié en la protección de datos de menores. El consentimiento de un menor únicamente será válido cuando sea mayor de catorce años, siendo necesaria la autorización del padre, madre o tutor si no lo fuera.
Control de datos personales
Para evitar la utilización de los datos personales para uso comercial sin consentimiento previo, la LOPD-GDD establece que el control de los datos personales recae directamente sobre el usuario, exigiendo siempre su consentimiento para poder utilizarlos.
Información clara sobre el uso de datos
Las empresas deberán informar de manera clara, sencilla y concisa a los usuarios, sobre la posible utilización de los datos personales que les hayan cedido. De lo contrario, una empresa podría ser sancionada con una multa de hasta 20 millones de euros.
Conservación de los datos
Los datos personales cedidos a las empresas, deberán conservarse de manera consecuente con su utilización. Esto significa que si una persona quiere acceder a esos datos mientras se encuentra almacenada, tendrá pleno derecho a ello, pudiendo incluso exigir una copia de los mismos.
Te interesa:
Intimidad de los empleados
La nueva LOPD-GDD protege el derecho a la intimidad de los empleados, de cara a la utilización de sistemas de videovigilancia o grabación de sonido en el área laboral. De esta forma, queda prohibido tomar grabaciones en las áreas destinadas al descanso de los trabajadores, aseos y otros lugares destinados al ocio.
Derecho al olvido
Uno de los puntos clave de la LOPD-GDD es el derecho al olvido, el cual establece el derecho a eliminar datos en redes sociales y otros servicios equivalentes.
Datos de personas fallecidas
En caso de fallecimiento, cualquier familiar vinculado a la persona fallecida podrá solicitar el acceso, la rectificación o supresión de los datos compartidos.
Ficheros de morosidad
Con la LOPD-GDD se establece en 50 euros la cantidad mínima para incluir en un fichero de morosidad a una persona. Además, se reduce de 6 a 5 años el periodo máximo para la inclusión de deudas.
Problemas de seguridad
Si una empresa sufriese un problema de seguridad, y perdiera datos personales dentro del ámbito empresarial, deberá comunicar el incidente en un máximo de 72 horas, desde el conocimiento de la situación. Esta comunicación deberá realizarse a través de la Agencia Española de Protección de Datos (AEPD).
Delegado de Protección de Datos
Las empresas no están obligadas a designar un Delegado de Protección de Datos (DPO), pudiendo desempeñar esta función una persona física o jurídica; pero sí existen determinados casos en los que existe esta obligatoriedad.
Según los criterios fijados por la normativa europea y, más concretamente, por la Agencia Española de Protección de Datos, respecto a en los casos en los que es obligatorio implantar en una empresa la figura del Delegado de Protección de Datos (DPO), se pueden establecer tres tipos de supuestos:
- En los casos en los que se trate de una autoridad o un organismo público;
- cuando la actividad principal del responsable o responsables de l tratamiento de los datos de clientes consista en operaciones que requieran un seguimiento regular y sistemático;
- o cuando las actividades principales del responsable o responsables consistan en el tratamiento a gran escala de determinados datos personales relacionados con condenas o delitos.
Contabilidad
En cuanto a la contabilidad, cualquier tipo de transacción monetaria, bancaria o creditaria realizada por la empresa, deberá quedar registrada, incluyendo todos y cada uno de los movimientos de tesorería.
Régimen sancionador de la LOPD-GDD
El RGPD establecía sanciones a las empresas que podrían alcanzar entre 10 y 20 millones de euros, o entre el 2 y el 4% del volumen anual del negocio, siempre que la sanción sea considerada como muy grave. Lo que no quedaba muy claro eran los casos en los que una empresa podría ser sancionada, y por cuánta cantidad, algo para lo que la LOPD-GDD ha sido mucho más precisa e inequívoca.
Sanciones muy graves
Una empresa sería sancionada de manera muy grave cuando realice un incumplimiento sustancial del tratamiento de datos personales, relacionado con:
- El uso de datos para una finalidad diferente a la anunciada.
- Omisión de la obligatoriedad de informar a la persona afectada.
- Exigencia de un pago para poder acceder a los datos propios almacenados.
- Transferencias internacionales de información sin garantías.
Este tipo de infracciones muy graves prescriben a los tres años.
Sanciones graves
Las sanciones graves se aplican cuando se vulnera sustancialmente el tratamiento, y tenga que ver con:
- Datos de menores obtenidos sin consentimiento.
- Falta de medidas técnicas y organizativas para proteger los datos de manera efectiva.
- Incumplir la obligación de nombrar un responsable o encargado del tratamiento de datos.
Las infracciones graves prescriben a los dos años.
Sanciones leves
Las sanciones leves serían todas aquellas que no aparecen en los dos grupos anteriores:
- Ofrecer información de manera poco transparente.
- No informar a los usuarios cuando así lo hayan solicitado.
- No cumplir con las obligaciones correspondientes.
Las sanciones leves prescriben al año de cometerse.
Conclusión
La nueva LOPD-GDD llega para adaptar el ordenamiento español al Reglamento Europeo de Protección de Datos, teniendo como principal objetivo garantizar la protección de la intimidad de terceras personas en el entorno digital. Es importante conocer todas las novedades que presenta, tanto para garantizar la intimidad de los datos con carácter personal, como para evitar las duras sanciones por su incumplimiento.
