• +34 957 780 342
  • info@atlantyan.com

Te ayudamos a cumplir la Ley de Protección de Datos

Asesoramiento, adaptación y soporte

¿Qué son datos personales?

Los datos personales son toda aquella información que se relaciona con nuestra persona y que nos identifica o nos hace identificables.
Es decir, los datos de carácter personal son cualquier tipo de datos que se pueden utilizar para identificar directa o indirectamente a una persona. Cualquier información que puede ser utilizada para distinguir una persona de otra, y que puede ser usada para quitarle el anonimato a los datos anónimos, puede ser considerada información de identificación personal, como por ejemplo: nombre y apellidos, DNI, edad, domicilio, email, cuenta bancaria, teléfono, fotografías o grabaciones de audio o video, fecha de nacimiento, características físicas, ubicación, número de pasaporte, número de Seguridad Social, número de carnet de conducir, número de tarjeta de crédito, número de identificación de un vehículo, una IP de conexión a internet o un nombre de usuario, currículums, puesto de trabajo, número de empleado, firma/escritura, ... Se considerarán, además, como datos especialmente protegidos los relacionados con orígenes étnicos o culturales, creencias u opiniones religiosas, políticas o filosóficas, sexo, género, orientación sexual, afiliación sindical, datos médicos o de salud, biométricos, genéticos, de naturaleza penal

No se consideran datos personales los referidos a personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto. No obstante, sí se consideran datos personales los referidos a empresarios individuales y a los profesionales liberales que podrán tratarse sobre la base del interés legítimo, siempre y cuando no se haga para entablar una relación con los mismos fuera de dicha condición. Es decir, debe cumplirse el RGPD y la LOPDGDD cuando esos datos se tratan como personas físicas.

 

¿Quién tiene que implementar la protección de datos personales?

Tanto el Reglamento General de Protección de Datos (RGPD) como la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD-GDD) obligan a todas aquellas empresas y profesionales que traten datos personales (clientes, trabajadores, usuarios web, video-vigilancia...) a cumplir una serie de requisitos formales y documentales, para que este tratamiento se realice de forma correcta y legal.

¿Qué significa hacer un tratamiento/procesamiento de datos personales?

La ley de protección de datos rige las situaciones en las que se ‘procesan’ datos personales. El procesamiento básicamente significa usar datos personales de cualquier manera, incluyendo: recopilar, almacenar, recuperar, consultar, divulgar o compartir con otra persona o entidad, borrar o destruir datos personales.

Según esta normativa, no es posible el uso con fines publicitarios o comerciales de datos personales sin consentimiento del titular.

Si embargo, la ley de protección de datos no se aplica cuando esto se hace para actividades puramente personales o domésticas.

 

¿Cuáles son las multas asociadas a no cumplir la normativa?

Las sanciones por no cumplir la ley de protección de datos pueden alcanzar hasta los 20 millones de euros. Según la Ley Orgánica 3/2018, las infracciones LOPD pueden ser consideradas leves, graves y muy graves.

Algunas de estas infracciones pueden ser:
  - Sanciones para infracciones Leves: multa de hasta 40.000 €

  • Incumplimiento del principio de transparencia de la información o el derecho de información del afectado por no facilitar toda la información que exigen los artículos 13 y 14 del RGPD.
  • Pedir un pago al interesado para poder acceder a la información que exigen los artículos 13 y 14 del RGPD o para atender las solicitudes de ejercicio de derechos contempladas en los artículos 15 a 22 del citado Reglamento.
  • No atender las solicitudes de los ejercicios de los derechos que se establecen en los artículos 15 a 22 del RGPD.
  • No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o portabilidad de los datos cuando no se requiera la identificación del afectado.
  • No cumplir con la obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento que exige el artículo 19 del RGPD
  • No cumplir con la obligación de informar al afectado de los destinatarios a los que se haya comunicado la rectificación, supresión o limitación del tratamiento.
  • No cumplir con la supresión de datos referidos a una persona fallecida cuando así lo exige el artículo 3 de la LOPDGDD.
  • Incumplimiento de las obligaciones de los responsables y encargados del tratamiento.
  • Que el registro de actividades de tratamiento no contenga toda la información que exige el artículo 30 del RGPD.
  • Informar tarde o de forma incompleta a la AEPD de una brecha de seguridad.
  • Dar información inexacta a la AEPD en los supuestos en los que el responsable del tratamiento debe elevar una consulta previa, de acuerdo al artículo 36 del RGPD.
  • No publicar los datos de contacto del delegado de protección de datos o comunicarlos a la AEPD.


  - Sanciones Graves: multa de 40.001 € a 300.000 € 

  • Tratar datos de menores de edad sin recabar su consentimiento, cuando tenga edad para ello, o de sus padres o tutores. En materia de protección de datos, se considera menor de edad el límite de 14 años. A partir de esta edad la persona podrá dar su propio consentimiento.
  • No acreditar esfuerzos razonables para verificar la validez del consentimiento del menor o de sus padres o tutores.
  • No atender de forma reiterada u obstaculizar la solicitud de los derechos de acceso, rectificación, supresión, limitación del tratamiento o portabilidad de los datos en los tratamientos en los que no se requiere la identificación del afectado.
  • No adoptar las medidas técnicas y organizativas apropiadas para aplicar la protección de datos desde el diseño.
  • No adoptar las medidas técnicas y organizativas que garanticen el tratamiento de los datos personales necesarios para cada uno de los fines específicos del tratamiento.
  • No adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos.
  • Brechas de seguridad ocurridas por no haber adoptado las medidas adecuadas de seguridad.
  • No designar un representante del responsable o encargado del tratamiento no establecido en territorio de la UE, de acuerdo al artículo 27 del RGPD.
  • No atender las solicitudes de las agencias de protección de datos.
  • Contratar un encargado del tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas necesarias, de acuerdo al Capítulo IV del RGPD.
  • Encargar el tratamiento de datos a un tercero sin el debido contrato.
  • Contratación por parte del encargado del tratamiento de otros encargados sin contar con la autorización del responsable.
  • Infracción de lo dispuesto en el artículo 28.10 del RGPD respeto a la determinación de los fines y los medios de tratamiento por parte del encargado.
  • No disponer del registro de actividades.
  • No cooperar con la AEPD u otras autoridades de control en el desempeño de sus funciones en los supuestos no previstos en el artículo 72 de la LOPDGDD.
  • El tratamiento de datos personales sin cumplir con lo recogido en el artículo 28 de la LOPDGDD.
  • Incumplir el deber de informar de las violaciones de seguridad por parte del encargado del tratamiento al responsable.
  • No informar de las violaciones de seguridad a la AEPD, según el artículo 33 del RGPD.
  • No informar al afectado de una violación de seguridad de datos personales.
  • Llevar a cabo el tratamiento de datos sin realizar una evaluación de impacto cuando esta es exigible.
  • Tratar datos personales sin haber realizado consulta previa a la AEPD cuando esta sea obligatoria.
  • No designar a un delegado de protección de datos cuando sea obligatorio.
  • No permitir que el delegado de protección de datos pueda cumplir con sus funciones.


  - Sanciones Muy Graves: multa entre 300.001 € a 20.000.000 € 

  • Tratamiento de datos personales que vulneren las garantías y principios establecidos en el artículo 5 del RGPD.
  • Tratamiento de datos personales sin la legitimación establecida en el artículo 6 del RGPD.
  • No cumplir con los requisitos exigidos en el artículo 7 del RGPD para la validez del consentimiento.
  • Utilizar los datos personales recogidos con una finalidad diferente para la que se dio el consentimiento.
  • Tratamiento de datos personales de las categorías recogidas en el artículo 9 del RGPD sin que concurra alguna de las circunstancias previstas de dicho artículo y del artículo 9 de la LOPDGDD.
  • Tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas fuera de los supuestos del artículo 10 del RGPD y el artículo 10 de la LOPDGDD.
  • Tratamiento de datos personales relacionados con infracciones y sanciones administrativas fuera de los supuestos establecidos en el artículo 27 de la LOPDGDD.
  • La omisión del deber de informar al afectado sobre el tratamiento de sus datos personales.
  • Vulnerar el deber de confidencialidad.
  • Exigir el pago de un canon para facilitar la información al afectado a la que se refieren los artículos 13 y 14 del RGPD.
  • No atender u obstaculizar la solicitud del ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD.
  • Transferencias internacionales de datos personales sin las debidas garantías.
  • Incumplir las resoluciones dictadas por la AEPD.
  • Incumplir con la obligación del bloqueo de datos.
  • No facilitar el acceso a la AEPD a los datos personales, información, locales, equipos y medios de tratamiento cuando así sea requerido durante una investigación.
  • Obstruir una inspección de la AEPD.
  • Reversión deliberada de un proceso de anonimización para que se pueda reindentificar a los afectados.


La Agencia Española de Protección de Datos (AEPD), la entidad encargada de gestionar las sanciones relativas a protección de datos en España, puede operar de oficio o a partir de una denuncia externa, que puede ser anónima.

 

¿En qué consiste nuestro servicio de Adaptación a la normativa de Protección de Datos?

En Atlantyan Software Consulting® contamos con un departamento especializado en Protección de Datos, que te ayudará a realizar todo lo necesario para asegurar tu adaptación a la normativa de Protección de Datos.

Este trabajo incluye:

  • Toma de datos y el preceptivo análisis de riesgos (y, si procede, la Evaluación de Impacto)
  • Redacción y asesoramiento sobre el Registro de Tratamientos (antes conocido como «inscripción de Ficheros»), Documento de Seguridad, cláusulas (para consentimiento de clientes, empleados, CV…), contratos de acceso a datos, ejercicios de derechos, textos legales para página web, escritos para recabar datos de clientes, guías para empleados, texto para el pie del email, cartel para grabación de imágenes (si procede), para su adecuación a las siguientes normativas:
    • Reglamento General de Protección de Datos UE 2016/679 (RGPD), de 27 de abril.
    • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos de Carácter Personal y Garantía de los Derechos Digitales (LOPD-GDD).
    • Ley 34/2002, de 11 de julio de Servicios de la Sociedad de Información y Comercio Electrónico (LSSICE), para cualquier tipo de página web.
    • Ley 03/2014, de 27 de marzo, General para la Defensa de los Consumidores y Usuarios (LGDCU), en caso de existir contratación electrónica (tiendas online).
  • Inclusión de texto legales en la plataforma web y el correo electrónico corporativo si tienes la web con nosotros.
  • Sesión de formación para presentar toda la documentación y explicarte de manera muy sencilla qué hacer con ella.
  • Si lo deseas, además, te ayudamos a modificar tu documentación interna (contratos, avisos, etc) con el material que te proporcionaremos, o podrás hacerlo tú mismo de manera muy sencilla (con copia y pega) gracias a nuestras instrucciones.

 

Pídenos presupuesto sin compromiso y deja en nuestras manos tu adaptación a la normativa de protección de datos.