Asesoramiento y adaptación a la normativa de Protección de Datos

Llámanos 902 119 651   Solicite presupuesto

Protección de datos

Stericycle realiza servicio de consultoría sobre Protección de datos en base al  Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, ayudando al cumplimiento del mismo.

Podemos desplazar a un técnico a cualquier punto de España para el estudio a medida de sus necesidades en materia de protección de datos de carácter personal.

Las empresas, profesionales o cualquier tipo de organización recogen y tratan datos de personas físicas (clientes, pacientes, empleados, etc.) y son, por tanto, responsables de la seguridad y protección de dichos datos.

La protección de las personas físicas en relación con el tratamiento de sus datos personales es un derecho fundamental que ha sido regulado a lo largo de los años en diversas normativas y recientemente actualizado a través del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD).

Esta nueva normativa de la Unión Europea busca un equilibrio entre los derechos de los ciudadanos a la protección de sus datos personales y la libre circulación de los mismos, e intenta lograr una regulación más uniforme del derecho fundamental a la protección de datos en el marco de una sociedad cada vez más globalizada y tecnológica.

Las principales novedades que establece esta normativa son las siguientes:

-         Nuevos principios de protección de datos:

  • Principio de responsabilidad (accountability): se deberá acreditar que se han adoptado todas las medidas necesarias para tratar los datos personales como exige la norma.
  • Protección de datos por defecto y desde el diseño: se deberán adoptar medidas que garanticen el cumplimiento de la norma desde el mismo momento en que se diseñe una empresa, producto, servicio o actividad que implique tratamiento de dato.
  • Principio de transparencia: los avisos legales y políticas de privacidad deberán ser más simples e inteligibles, facilitando su comprensión, además de más completos.

-         Nuevas obligaciones para el responsable del tratamiento:

  • El enfoque del riesgo: se deberán aplicar medidas en función del riesgo que pueda producirse.
  • Notificación de quiebras de seguridad: cuando se produzca un problema de seguridad (robos, virus, pérdidas de datos, fenómenos externos, etc.), se deberá notificar a la autoridad de control en un plazo máximo de 72 horas (salvo ciertos supuestos).
  • Delegado de Protección de Datos (DPD): persona física o jurídica, interna o externa, que asiste a las organizaciones en el proceso de cumplimiento normativo. Debe tener conocimientos especializados en Derecho y en la práctica en materia de protección de datos.
  • Registro de las actividades de tratamiento: se deberá mantener un registro de todas las actividades de tratamiento de datos personales que se realice en la organización.
  • Evaluación de impacto: las organizaciones que lleven a cabo tratamientos de datos que puedan entrañar un alto riesgo realizarán, antes de iniciarlos, una evaluación de impacto relativa a la protección de datos.

-         Nuevos derechos para los ciudadanos:

  • Derecho de supresión o “Derecho al olvido”: se podrá revocar el consentimiento prestado para el tratamiento de datos personales en cualquier momento.
  • Derecho a la limitación del tratamiento: Permite al ciudadano solicitar el bloqueo temporal del tratamiento de sus datos cuando existan controversias sobre su licitud.
  • Derecho a la portabilidad de los datos: El ejercitar este derecho el interesado podrá solicitar que los datos personales se transmitan directamente de Responsable a Responsable cuando sea posible.
  • Derecho de información: Se añaden nuevos extremos sobre los que hay que informar a los interesados cuando se recogen sus datos:

¿Interesado en nuestra soluciones? Podemos ayudarle call us902 119 651

Otra de las novedades se encuentra en el ámbito de las infracciones y sanciones, estableciendo la cuantía máxima por incumplimiento de la norma en “10.000.000 € o 2% del volumen de negocio total anual global del ejercicio financiero anterior” para las infracciones tipificadas como leves; y en “20.000.000 € o 4% del volumen de negocio total anual global del ejercicio financiero anterior”, para las infracciones graves.

Actualmente se encuentra en fase de tramitación parlamentaria el Proyecto de una nueva Ley Orgánica de Protección de Datos de Carácter Personal, que derogará a la actual Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).

Stericycle dispone de un servicio de adaptación a la normativa vigente sobre protección de datos que comprende las siguientes actuaciones en diversas fases:

Fase 1.- Análisis inicial de riesgos para los derechos y libertades de los interesados cuyos datos trata el Cliente.

Fase 2.- Visita técnica a las instalaciones del Cliente para la recopilación de todos los datos necesarios según la normativa vigente en Protección de Datos.

Fase 3.- Generación de toda la documentación necesaria para el cumplimiento de la normativa (Registro de Actividades, informes, contratos, cláusulas y consentimientos, auditorías, notificaciones), en base a los datos obtenidos en la Fase 2. Se realizará Evaluación de Impacto sólo en caso de que el análisis de riesgos efectuado en la fase 1 determine la necesidad de realizarlo.

Fase 4.- Suministro al Cliente de la documentación generada en la Fase 3.

Fase 5.- Con carácter anual, nueva visita a las instalaciones del Cliente para la revisión y toma de datos de las modificaciones encontradas, y generación posterior de nuevos informes que serán remitidos al Cliente.

El Servicio de Protección de Datos incluye Delegado de Protección de Datos, en todos aquellos casos en que dicha designación o nombramiento sea obligatorio en virtud de lo dispuesto en el artículo 37.1 del RGPD y en el artículo 34.1 del Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, así como en todos aquellos casos en que las partes acuerden dicha designación con carácter voluntario.

La nueva norma es compleja y los datos deben tratarse de forma segura. Para lograr la adaptación de nuestros clientes a esta nueva normativa, será necesaria no sólo la adopción de nuevas medidas de seguridad, y la redacción de nuevos informes, sino también una mayor concienciación, implicación y compromiso por parte de las organizaciones para analizar y minimizar el riesgo resultante del tratamiento de datos personales.

Con la adaptación a la normativa en protección de datos se consigue una mejora en la confidencialidad, integridad y disponibilidad de los datos personales que maneja, además de aportar a sus clientes o pacientes la tranquilidad de saber que sus datos personales contarán con la protección adecuada.



Preguntas frecuentes

    • Con la aplicación del RGPD, ¿sigue siendo obligatoria la inscripción de ficheros?

      Desde el 25 de mayo de 2018 ha desaparecido la obligación de inscribir ficheros, tanto de responsables públicos o privados, en el Registro de Ficheros de la Agencia Española de Protección de Datos, y en los registros de las autoridades autonómicas competentes.
    • ¿Se debe cumplir con el contenido del derecho de información del RGPD para los tratamientos realizados antes de su aplicación?

      Respecto a los afectados a quienes se les haya recabado sus datos de carácter personal con anterioridad a la aplicación del RGPD (25 de mayo de 2018), y que por tanto, se haya informado en los términos descritos por la LOPD, el responsable no tiene que enviar una comunicación al respecto con el contenido del derecho de información del RGPD. Es decir, este derecho de información del RGPD no se aplica de forma retroactiva.

      No obstante, desde la aplicación del RGPD todos los formularios o medios de recogida de datos personales, deberán adecuarse a la citada norma en aras de cumplir con el contenido del derecho de información.
    • ¿Qué actuaciones hay que realizar para adecuarse al RPGD?

      - Designar al delegado de protección de datos si es obligatorio o si se asume voluntariamente.
      - Elaborar el registro de actividades de tratamiento.
      - Analizar las bases jurídicas de los tratamientos.
      - Efectuar un análisis de riesgos.
      - Revisar las medidas de seguridad en función del análisis de riesgos realizado.
      - Establecer mecanismos y procedimientos de gestión de quiebras de seguridad.
      - Llevar a cabo, cuando sea necesario, una evaluación de impacto de la protección de datos.
      - Adecuar los formularios de recogida de datos personales al contenido del derecho a la información del RGPD.
      - Adaptar los procedimientos para atender a los derechos de los afectados en relación al tratamiento de sus datos personales.
      - Valorar si los encargados de tratamiento ofrecen garantías de cumplimiento del RGPD.
      - Adoptar los contratos con encargados de tratamiento al contenido que dispone el RGPD.
      - Confeccionar e implantar políticas de protección de datos.

    • Con el RGPD, ¿sigue vigente la LOPD y su Reglamento de desarrollo?

      En la actualidad se está tramitando una nueva ley orgánica de protección de datos que contiene una disposición derogatoria única por la cual se deroga la LOPD así como cualquier otra disposición de igual o inferior rango que contradigan, se opongan, o resulten incompatibles con lo dispuesto en el RGPD.

      No obstante lo anterior, desde que es aplicable el RGPD, la mayor parte del contenido de la LOPD y su Reglamento de desarrollo es desplazado por la norma comunitaria. Si seguirán vigentes algunos de los preceptos tanto de la LOPD como de su Reglamento de desarrollo, como por ejemplo aquellos que regulan los tratamientos de solvencia patrimonial.
    • ¿Qué derechos reconoce el RPGD a los afectados?

      Además del derecho de información, el RGPD permite que los afectados puedan ejercitar los derechos de acceso, rectificación, supresión ("derecho al olvido"), oposición, portabilidad, limitación del tratamiento, y derecho de oposición a las decisiones automatizadas (incluyendo la elaboración de perfiles). Estos derechos se ejercitarán ante el responsable del tratamiento. También es posible ejercitarlos en los casos de que existiese un encargado de tratamiento ante éste, siempre y cuando el responsable y dicho encargado así lo hubiesen convenido.

      Cuando se ejercitan estos derechos, el responsable del tratamiento debe responder en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. Si se prorrogase, el responsable informará al afectado de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.
    • ¿Qué es una violación de seguridad de los datos ("quiebra de seguridad")? 

      El RGPD define las violaciones de seguridad de los datos, más comúnmente conocidas como "quiebras de seguridad", de una forma muy amplia, e incluye todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

      Sucesos como la pérdida de un ordenador portátil, el acceso no autorizado a las bases de datos de una organización (incluso por su propio personal) o el borrado accidental de algunos registros constituyen violaciones de seguridad a la luz del RGPD y deben ser tratadas como la norma establece. Los daños producidos por una quiebra de seguridad pueden ser materiales o inmateriales, e ir desde la posible discriminación de los afectados como consecuencia de su uso por quien ha accedido a ellos de forma no autorizada hasta usurpación de identidad, pasando por perjuicios económicos o la exposición pública de datos confidenciales.

      Se considera que se tiene constancia de una quiebra de seguridad cuando hay una certeza de que se ha producido y se tiene un conocimiento suficiente de su naturaleza y alcance. La mera sospecha de que ha existido una quiebra o la constatación de que ha sucedido algún tipo de incidente sin que se conozcan mínimamente sus circunstancias no deberían dar lugar, todavía, a la notificación, dado que en esas condiciones no sería posible, en la mayoría de los casos, determinar hasta qué punto puede existir un riesgo para los derechos y libertades de los interesados.
    • ¿Son válidos los contratos con encargados de tratamiento anteriores al RGPD? 

      Los contratos con encargados de tratamiento concluidos con anterioridad a la aplicación del RGPD en mayo de 2018 deben modificarse y adaptarse para respetar este contenido, sin que sean válidas las remisiones genéricas al artículo del RGPD que los regula.

      Indicar al respecto que la Disposición transitoria quinta, Contratos de encargado del tratamiento, del Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, que se está tramitando en el Congreso (la norma todavía no ha sido aprobada), dice que: “Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y, en caso de haberse pactado de forma indefinida, hasta transcurridos cuatro años desde la citada fecha.”

      En caso de que los contratos previesen su prórroga al término de su vencimiento, ya fuera por mutuo acuerdo entre las partes o en ausencia de denuncia por cualquiera de ellas, deberá producirse su adaptación con anterioridad al momento en que estuviera prevista dicha prórroga.
    • ¿Qué obligaciones se deben cumplir para la instalación de videocámaras?

      La videovigilancia sólo debe utilizarse cuando no sea posible acudir a otros medios que causen menos impacto en la privacidad. No se podrán captar imágenes de la vía pública con fines de seguridad, ya que es competencia de las Fuerzas y Cuerpos de Seguridad, salvo el caso que resulte imprescindible para la finalidad que se pretende o resulte imposible evitarlo por razón de la ubicación de las cámaras. En todo caso, deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida. Está prohibida la instalación en baños, vestuarios, o lugares análogos.

      El tratamiento de las imágenes con fines de seguridad mediante la videovigilancia debe adecuarse al RGPD, de manera que hay que configurar el registro de actividades de tratamiento regulado en el artículo 30 del RGPD.

      Asimismo, se tiene que dar cumplimiento al derecho de información del artículo 13. Para ello se puede optar por un sistema de capas de la siguiente forma:
      - Colocar un cartel donde aparezca que es una zona videovigilada, la identidad del responsable y la posibilidad del ejercicio de los derechos previstos en los artículos 15 a 22 del RGPD.
      - Mantener a disposición de los afectados el resto de información referida en el artículo 13.

      También se deberán adoptar las medidas de seguridad, teniendo en cuenta lo siguiente: El artículo 32 del RGPD determina que se establezcan las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo. Por otra parte, si se encarga a un tercero la gestión de las cámaras, estaremos ante la figura del encargado del tratamiento, quién deberá cumplir los requisitos que regula el artículo 28 del RGPD.

      En aquellos supuestos en que las cámaras no graban imágenes pero sí se permite la reproducción en tiempo real de las mismas, también supone un sometimiento a lo dispuesto en el RGPD, debido a que existe un tratamiento de datos personales. De esta forma, hay que cumplir con la citada norma. Entre las obligaciones que hay que adoptar estarían, por ejemplo, lo referente tanto al registro de actividades de tratamiento como el derecho el derecho de información, a los que nos hemos referido anteriormente.
    • ¿Cuál es la edad para que los menores puedan prestar consentimiento para tratar sus datos personales?

      El RGPD permite a los estados miembros establecer una edad inferior, siempre que no sea menor de 13 años. En el caso de España, el Reglamento de Desarrollo de la LOPD fija la edad a partir de la que el consentimiento de los menores es válido en los 14 años con carácter general. Será la nueva ley orgánica de protección de datos, norma que todavía está en tramitación, la que fije dicha edad. Hasta que se apruebe la misma, y en base al considerando 41 del RGPD, seguirá siendo aplicable lo dispuesto en el Reglamento de desarrollo de la LOPD, es decir, 14 años.
    • ¿Pueden acceder los padres a las historias clínicas de sus hijos mayores de 14 años? 

      El artículo 154 del Código Civil habilitaría el acceso de los padres a la información sanitaria de sus hijos sobre los que ostenten la patria potestad para velar adecuadamente por su salud en cumplimiento de las obligaciones que impone el ejercicio de la patria potestad.

      La habilitación para acceder al historial clínico se refiere sólo a los titulares de la patria potestad y no a cualesquiera familiares. A su vez, el menor de edad también podría ejercer el derecho de acceso a su historia clínica a partir de los 14 años, si bien este ejercicio no puede entenderse como limitación al derecho de los titulares de la patria potestad del menor no emancipado a acceder a su historia clínica.

      Las reclamaciones en los casos de la negativa a entregar las historias clínicas de los menores a los progenitores que ostenten la patria potestad habrán de dirigirse a las autoridades sanitarias o judiciales correspondientes.

Proteger a las personas y a las empresas, reducir los riesgos y proteger el medio ambiente es nuestro compromiso constante con usted y con todos nuestros clientes.

call us
Llámanos

Llámanos al 902 119 651
estaremos encantados de atenderle.

contact
Enviar consulta

Conctacte con nosotros a través de nuestro formulario

Servicios - Protección de datos