El consentimiento registro horario 2026 será un aspecto esencial para todas las empresas que deban implantar el registro digital obligatorio. Entender cuándo debe solicitarse, cómo se gestiona y por qué afecta directamente a la protección de datos es clave para cumplir el RGPD y reducir riesgos legales.

Aunque la base legal principal del tratamiento de esos datos se justifica por una obligación legal, hay razones clave —tanto jurídicas como operativas— para formalizar un consentimiento por trabajador. En este post, explicamos por qué es tan importante y cómo Data Protect Plus puede ayudarte a gestionar este aspecto correctamente.

Contexto legal: la regla general del registro horario

1. Obligación legal
   • Según el anteproyecto para la reducción de la jornada y el registro de horario, el registro diario deberá realizarse por medios digitales.
   • El registro digital de jornada será obligatorio para todas las empresas (sin importar el tamaño).
   • Los registros deben conservarse al menos 4 años y estar disponibles para la Inspección de Trabajo.
2. Protección de datos
   • Según la AEPD, para el control horario no se requiere necesariamente el consentimiento del trabajador: la base legal del tratamiento es el cumplimiento de una obligación legal (art. 6.1.c RGPD).
   • Sin embargo, la empresa tiene el deber de informar claramente a los trabajadores sobre la finalidad del tratamiento, qué datos se recopilan, cómo se almacenan y durante cuánto tiempo.
   • Además, la AEPD ha publicado una guía de protección de datos y relaciones laborales que incluye específicamente el registro de jornada.
3. Limitaciones en datos biométricos
   • La AEPD ha expresado restricciones sobre el uso de datos biométricos para el registro de presencia (como huella dactilar).
   • Por lo tanto, cualquier sistema que use datos biométricos debe estar muy bien justificado y cumplir con las reglas de protección de datos.

¿Por qué firmar un consentimiento por trabajador aunque no siempre sea obligatorio?

Aunque el consentimiento no es legalmente requerido para todos los usos del registro horario, hay muchas ventajas estratégicas y de cumplimiento al obtener un consentimiento explícito de cada empleado:

1. Transparencia y confianza
   • Pedir un consentimiento formal refuerza la transparencia: los trabajadores saben exactamente qué datos se recopilan, cómo se usan, quién accede a ellos y por cuánto tiempo.
   • Esto mejora la reputación de la empresa y la relación de confianza: los empleados perciben que su privacidad no está siendo vulnerada sin su conocimiento.
2. Mejora del cumplimiento normativo
   • Aunque la obligación legal legitime el tratamiento, un consentimiento firmado puede usarse para documentar que la empresa ha cumplido con las obligaciones informativas (RGPD: principio de transparencia).
   • En una auditoría de protección de datos, tener registros de los consentimientos firmados puede ser una prueba sólida de que la empresa ha hecho un esfuerzo adicional para proteger los derechos de los trabajadores.
3. Mitigación de riesgos legales
   • Si en el futuro se amplían las funciones del sistema (por ejemplo, para análisis de productividad, geolocalización, nuevas métricas), esos nuevos usos podrían necesitar una base legal distinta (no siempre la obligación legal basta). Tener un consentimiento previo facilita la adaptación.
   • Si hay un cambio en la legislación o en la tecnología usada, se puede pedir un consentimiento adicional (o renovado) de manera más organizada si ya existe una cultura de consentimiento formal.
4. Gestión interna más eficiente
   • Un consentimiento firmado permite gestionar mejor quién ha aceptado y quién no, lo que ayuda en la administración del sistema de control horario.
   • Facilita formación interna y políticas claras: puedes vincularlo con documentos internos, políticas de privacidad, manuales de empleados, etc.
5. Mejora de la gobernanza de datos
   • Permite un enfoque más maduro de gestión de datos: no solo cumplir con lo mínimo legal, sino establecer buenas prácticas (informar, documentar, auditar).
   • Ayuda en la evaluación de impacto (DPIA, Data Protection Impact Assessment) cuando se implementa un sistema de tratamiento de datos (por ejemplo, si se cambia el sistema o se introducen nuevas funciones).

Cómo implementar el consentimiento de forma correcta

Aquí algunos pasos prácticos para hacerlo bien y alineado con Data Protect Plus:

1. Redacción del consentimiento
   • Debe ser claro, específico y no estar mezclado con cláusulas contractuales ambiguas.
   • Incluir información sobre qué datos se van a recopilar (entrada, salida, pausas, total horas, quizás identificador de usuario,…).
   • Explicar la finalidad del tratamiento (cumplir la obligación legal de registro horario).
   • Indicar el período de retención (por ejemplo, 4 años) y quién tendrá acceso a esos datos (Inspección de Trabajo, representantes de los trabajadores, departamentos internos).
   • Incluir los derechos del trabajador: acceso, rectificación, supresión, limitación, oposición, retirada del consentimiento (si aplica para usos distintos a los obligatorios).
2. Proceso de firma
   • Integrar el consentimiento en el proceso de alta del trabajador (por ejemplo, al firmar su contrato, o en la bienvenida digital).
   • Utilizar firmas digitales si el proceso es remoto (Data Protect Plus puede ayudar a gestionar estos consentimientos digitalmente).
   • Guardar y versionar los consentimientos: tener un registro en el que se almacenen las versiones firmadas y las fechas para auditoría.
3. Comunicación y formación
   • Informar a los trabajadores sobre el sistema de registro horario y por qué se usa: emplear sesiones de formación o documentación interna (manuales, FAQs).
   • Proporcionar una política de privacidad laboral con lenguaje accesible para que todos los empleados entiendan cómo se usan sus datos.
   • Crear un canal para preguntas y derechos: designar a un delegado de protección de datos (DPO) o responsable interno al que los empleados puedan acudir.
4. Revisión y actualización
   • Revisar periódicamente el consentimiento (por ejemplo, cada vez que cambie la normativa, el sistema, o los propósitos de uso).
   • Documentar cualquier cambio y pedir un nuevo consentimiento si se modifican significativamente los términos.

Riesgos de no pedir el consentimiento formalmente

• Aunque legalmente se puede argumentar la base del cumplimiento de una obligación, no documentar de forma clara puede generar desconfianza o malentendidos.
• En caso de inspección de protección de datos, la empresa podría tener dificultades para demostrar que informó adecuadamente a los empleados si no hay un registro claro.
• Si la empresa decide ampliar el uso de los datos del registro (analítica, productividad, geolocalización), no tener un consentimiento claro puede implicar riesgo legal (cambio de base de legitimación).
• La falta de transparencia puede afectar la moral de los empleados y la cultura de la empresa, provocando rechazos, resistencias o quejas internas.

CEO Data Protect Plus

Sylvia Fries

Solicita información aquí: Formulario de contacto.

La entrada Consentimiento registro horario 2026: guía esencial para empresas se publicó primero en DataProtectPlus.

Pero, ¿te has parado a pensar qué implicaciones tiene eso en materia de protección de datos?

¿Es legal grabar un evento escolar?

Sí, es legal grabar este tipo de actos siempre que sea para uso personal o doméstico. La normativa de protección de datos no se aplica cuando la grabación se hace en el ámbito privado, como parte de actividades familiares o de amistad.

Por ejemplo:

• Grabar el evento para verlo más tarde en casa con la familia.
• Enviar el vídeo por WhatsApp al grupo familiar o a los abuelos.

Pero si estás pensando en subirlo a redes sociales, debes seguir leyendo.

¿Qué deben hacer los centros educativos?

Los colegios tienen un papel importante en este tipo de eventos. Se recomienda que:

• Informen claramente al inicio del acto (por ejemplo, mediante carteles o anuncios por megafonía) de que la grabación solo es válida para uso doméstico.
• Incluyan, en el permiso que solicitan a las familias para que los menores participen en el evento, una cláusula que informe de que otras familias podrán tomar imágenes con fines privados.

Esto ayuda a generar un entorno seguro y legal para todos los asistentes.

¿Y si quiero subir las imágenes a redes sociales?

Aquí es donde debes tener más cuidado. Publicar vídeos o fotos en Instagram, Facebook, TikTok o cualquier otra plataforma ya no se considera un uso doméstico. Estás difundiendo la imagen de otras personas y eso implica cumplir con la normativa de protección de datos.

¿Qué necesitas?

• Si aparecen personas mayores de 14 años, necesitas su consentimiento expreso.
• Si aparecen menores de 14 años, necesitas el consentimiento de sus padres o tutores legales.

Esto aplica incluso si el menor no es el protagonista directo de la imagen, pero aparece de forma reconocible. O sea, si aparecen otros niños de fondo, ya hace falta el consentimiento expreso.

¿Qué te recomendamos desde Data Protect Plus?

Disfruta del evento con tranquilidad y emoción.

Graba sin miedo, pero usa ese material solo en el entorno familiar.

Si tienes dudas sobre si puedes o no compartir un vídeo o una imagen, lo más prudente es pedir permiso.

Y si eres un centro educativo, asegúrate de contar con los avisos legales necesarios para proteger a tu alumnado y a sus familias.

También puedes consultar los canales oficiales de la AEPD sobre este tema.

¿Tienes preguntas? Contáctanos y te asesoramos sin compromiso.

CEO Data Protect Plus

Sylvia Fries

La entrada ¿Vas a grabar la función de fin de curso de tus hijos? Esto es lo que debes saber sobre protección de datos se publicó primero en DataProtectPlus.

El 31 de enero de 2025, la Agencia Española de Protección de Datos (AEPD) publicó la resolución SEP2024-003, reconociendo oficialmente la Lista Stop Publicidad como un sistema de exclusión publicitaria válido en el marco del cumplimiento de la LOPDGDD y el RGPD.

Este sistema, gestionado por la Asociación Española para la Privacidad Digital, ofrece a cualquier particular la posibilidad de inscribirse gratuitamente para no recibir comunicaciones comerciales no deseadas. En consecuencia, todas las empresas que realicen campañas publicitarias deben consultar esta lista y excluir de sus bases de datos a los inscritos pasados 30 días desde su alta.

Se trata de una herramienta que refuerza el derecho a la protección de datos personales y que, a partir de ahora, debe integrarse dentro de las prácticas de compliance normativo de cualquier organización que opere en España o dentro del Espacio Económico Europeo.

¿Qué implica para las empresas la Lista Stop Publicidad?

Este reconocimiento no solo es simbólico: impone obligaciones concretas que pueden derivar en sanciones si no se cumplen adecuadamente.

Obligación de consulta

Las empresas deben consultar la Lista Stop Publicidad antes de lanzar cualquier acción publicitaria dirigida a particulares, tanto por medios físicos (correo postal, llamadas, buzoneo) como digitales (emails, SMS, WhatsApp, etc.).

Plazo de aplicación

Se establece un plazo de 30 días desde que el particular se da de alta en la lista. Una vez transcurrido ese plazo, las empresas deben asegurarse de excluirlo de cualquier envío comercial.

Ámbito de aplicación

Esta obligación aplica a:

• Empresas españolas.
• Empresas extranjeras que traten datos de residentes en España.
• Agencias de marketing, publicidad o venta directa que actúen en nombre de terceros.

¿Cómo pueden adaptarse las empresas?

Integración con bases de datos

Es fundamental revisar periódicamente la Lista Stop Publicidad e integrarla con los sistemas de CRM o plataformas de automatización de marketing, de forma que se bloquee automáticamente cualquier envío a personas inscritas.

Registro de consultas

Se recomienda mantener un registro documental de cada consulta a la lista, con fecha y resultados, como evidencia en caso de inspección o requerimiento por parte de la AEPD.

Formación al personal

El equipo de marketing, atención al cliente y ventas debe ser formado en los nuevos requisitos, especialmente si realiza campañas directas o maneja datos de particulares.

Evaluación de impacto

En campañas de gran alcance, puede ser útil realizar una Evaluación de Impacto en Protección de Datos (DPIA) para identificar riesgos y adoptar medidas preventivas.

¿Qué riesgos hay por ignorar la Lista Stop Publicidad?

La infracción del deber de exclusión de personas inscritas en la Lista Stop Publicidad puede conllevar sanciones administrativas impuestas por la AEPD. Las multas, según el RGPD, pueden llegar hasta los 20 millones de euros o el 4 % del volumen de negocio global anual, dependiendo de la gravedad y persistencia de la infracción.

Además, el incumplimiento afecta negativamente a la imagen corporativa, la confianza del consumidor y la reputación digital de la marca.

¿Qué beneficios aporta cumplir con esta obligación?

Aunque pueda parecer una traba operativa, la correcta gestión de exclusiones publicitarias tiene beneficios importantes para la empresa:

• Mejora de la segmentación: al eliminar a los usuarios no interesados, se optimiza el retorno de las campañas.
• Cumplimiento normativo: evita sanciones y mejora la postura de cumplimiento ante auditorías.
• Confianza y transparencia: se refuerza la percepción positiva por parte del cliente, al respetar sus derechos.
• Reducción de quejas: disminuye la probabilidad de reclamaciones ante la AEPD.

¿Dónde se puede consultar la Lista Stop Publicidad?

La lista está disponible en la sede electrónica de la AEPD y también se puede acceder a través de la web oficial de la Asociación Española para la Privacidad Digital.

Empresas, agencias y entidades con fines comerciales pueden realizar consultas automatizadas o por lotes, cumpliendo con los procedimientos establecidos por la plataforma.

Lista Stop Publicidad: implicaciones clave para el marketing responsable

La entrada en vigor de esta lista representa un paso más hacia una publicidad ética, transparente y respetuosa con los derechos de los ciudadanos. A partir de ahora, la comunicación comercial en España deberá ajustarse a este nuevo estándar, alineado con los principios del RGPD europeo.

Preguntas frecuentes

¿La Lista Stop Publicidad es obligatoria para todas las empresas?
Sí, cualquier empresa que envíe publicidad a particulares debe consultarla y respetarla, sin importar su tamaño o sector.

¿Qué ocurre si ignoro esta lista y sigo enviando publicidad?
Puedes enfrentarte a sanciones por parte de la AEPD y a reclamaciones por parte de los afectados.

¿La lista aplica también a comunicaciones informativas?
No. Solo se aplica a comunicaciones de naturaleza comercial o publicitaria. Las informativas o necesarias para la prestación del servicio están excluidas.

¿Cada cuánto debo consultar la lista?
Se recomienda hacerlo al menos cada 30 días, aunque lo ideal es integrarlo en los procesos automáticos de validación de datos.

¿Qué pasa si contrato una agencia externa para mis campañas?
La responsabilidad sigue siendo de tu empresa. Debes asegurarte de que el proveedor también cumple con esta obligación.

¿Está relacionada esta lista con el sistema de derechos ARCO?
No directamente, pero se enmarca en el mismo espíritu de protección de derechos y control de los datos personales.

Desde DataProtectPlushttps://dataprotectplus.com/, te ayudamos a adaptar tus procesos y sistemas a esta nueva obligación. Consúltanos si necesitas apoyo en el cumplimiento normativo o en la integración técnica de estas exclusiones publicitarias.

CEO Data Protect Plus

Sylvia Fries

Fuente: AEPD

La entrada La Lista Stop Publicidad que toda empresa debe conocer se publicó primero en DataProtectPlus.

Referente a la privacidad, la ciberseguridad y la desconexión digital, el Reglamento General de Protección de Datos (RGPD) sigue evolucionando y, en 2025, las empresas en España deben estar más preparadas que nunca para cumplir con las nuevas normativas. La Agencia Española de Protección de Datos (AEPD) y las instituciones europeas han reforzado aspectos clave de la privacidad digital, la seguridad de los datos y los derechos de los trabajadores en el entorno digital, para la protección de sus datos en el entorno laboral.

A continuación, te explicamos los cambios más relevantes en privacidad, ciberseguridad y desconexión digital y cómo afectan a tu negocio.

Nuevas exigencias en ciberseguridad: más allá del cumplimiento

Con el aumento de ataques cibernéticos y filtraciones de datos, las autoridades han endurecido las medidas de seguridad exigidas a las empresas. En 2025, las organizaciones deben:

• Implementar sistemas de detección y respuesta ante incidentes de ciberseguridad.
• Realizar evaluaciones de impacto en protección de datos con más frecuencia.
• Garantizar el uso de medidas de cifrado y anonimización en los datos sensibles.

Las sanciones por incumplimiento han aumentado. Ahora la AEPD puede imponer multas más severas si una empresa no demuestra haber tomado medidas suficientes para proteger la información de clientes y empleados.

¿Tu empresa está preparada?

Un simple antivirus o firewall ya no es suficiente ante este panorama, por lo que es esencial contar con un plan de ciberseguridad robusto, adaptado a las nuevas exigencias del RGPD.

El derecho a la desconexión digital: obligación para todas las empresas

El derecho a la desconexión digital, regulado en la Ley de Trabajo a Distancia, cobra más importancia en 2025. Esto implica que las empresas deben garantizar que sus empleados no sean contactados fuera del horario laboral, salvo en casos de fuerza mayor.

Para cumplir con esta norma, las empresas deben:

• Definir políticas claras sobre desconexión digital en su normativa interna.
• Capacitar a los empleados y directivos sobre el derecho a la desconexión.
• Supervisar y evitar prácticas abusivas tales como correos electrónicos fuera de horario, mensajes en WhatsApp después del fin de la jornada.

No garantizar la desconexión puede traducirse en denuncias ante la Inspección de Trabajo y sanciones económicas para las empresas.

Regulado en el Real Decreto-ley 28/2020 y en la Ley de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).
BOE – Ley de Protección de Datos
BOE – Ley de Trabajo a Distancia

Beneficios para tu negocio

Respetar este derecho no solo evita sanciones mejora la productividad y el bienestar de los empleados, reduciendo el absentismo y el estrés laboral.

Protección de datos en la era de la inteligencia artificial

El uso de inteligencia artificial (IA) para procesar datos personales está en el punto de mira de los reguladores. En 2025, el RGPD se alinea con la Ley de IA de la UE, lo que significa que las empresas deben:

• Justificar el uso de IA en el tratamiento de datos personales.
• Garantizar la transparencia y explicabilidad de los algoritmos utilizados.
• Evitar la discriminación y sesgos en decisiones automatizadas.

Las empresas que usen herramientas de IA para la gestión de clientes, selección de personal o análisis de datos deben asegurarse de cumplir con estos nuevos requisitos.

Conclusión: No esperes a recibir una sanción

El cumplimiento del RGPD en 2025 no es solo una cuestión legal. Es una oportunidad para mejorar la confianza de tus clientes y fortalecer la seguridad de tu empresa.

• ¿Tu empresa cuenta con una estrategia de protección de datos sólida?
• ¿Tienes medidas de ciberseguridad adecuadas?
• ¿Respetas el derecho a la desconexión digital de tus empleados?

Si tienes dudas sobre cómo adaptarte a estos cambios, contáctanos. Nuestro equipo de expertos en protección de datos y ciberseguridad puede ayudarte.

Contáctanos hoy mismo y protege tu empresa de riesgos legales y de ciberseguridad.

CEO Data Protect Plus

Sylvia Fries

La entrada Todo lo nuevo sobre privacidad, ciberseguridad y la desconexión digital. se publicó primero en DataProtectPlus.

Ventajas de la NIS 2 para tu empresa

Mayor Protección de Datos: La NIS 2 obliga a las empresas a implementar medidas de seguridad más robustas, lo que reduce significativamente el riesgo de brechas de seguridad y ataques cibernéticos.

1. Cumplimiento Legal: Al seguir la NIS 2, tu empresa no solo cumple con la normativa vigente, sino que también demuestra su compromiso con la protección de datos y la ciberseguridad.
2. Reputación Mejorada: Cumplir con la NIS 2 puede mejorar la reputación de tu empresa, mostrando a clientes y socios que tomas la seguridad de sus datos en serio.
3. Reducción de Sanciones: La NIS 2 endurece las sanciones en caso de incumplimiento, pero también proporciona una guía clara para evitarlas.

¿Qué sectores están afectados por la normativa?

La Directiva NIS 2 afecta a una amplia gama de sectores considerados críticos para la infraestructura y seguridad de la Unión Europea. Estos sectores se dividen en dos categorías principales: sectores esenciales y sectores importantes.

Sectores Esenciales (altamente críticos)

1. Energético: Incluye la producción, distribución y suministro de energía.
2. Transporte: Incluye transporte aéreo, ferroviario, marítimo y por carretera.
3. Finanzas, Banca y mercados financieros: Instituciones financieras y servicios relacionados.
4. Sanitario: Parte del sector sanitario, como hospitales y clínicas, así como fabricación de material sanitario.
5. Agua potable y Residuales: Organizaciones encargadas de la gestión de aguas potables y residuales.
6. Infraestructuras Digitales: Servicios y redes críticos para la infraestructura digital.
7. Gestión TIC (B2B): Servicios de gestión de tecnologías de la información y la comunicación.
8. Administraciones públicas: Entidades de la Administración pública, con exclusión del poder judicial, los parlamentos y los bancos centrales.
9. Espacial: Organizaciones del sector espacial.

Sectores Importantes (sectores críticos)

1. Mensajería: Servicios postales y de mensajería.
2. Residuos: Gestión de residuos.
3. Seguros: Empresas de seguros y reaseguros.
4. Telecomunicaciones: Proveedores de servicios de telecomunicaciones.
5. Sector de la Automoción: Fabricantes y distribuidores de vehículos.
6. Manufactura: Sectores de manufactura crítica.
7. Agricultura y Alimentación: Producción y distribución de alimentos.
8. Sector de la Salud: Además del sector sanitario, también incluye la industria farmacéutica.
9. Educación: Instituciones educativas y de investigación.
10. Cultura: Instituciones culturales y de medios de comunicación.

Descarga la tabla con toda la información aquí.

Estos sectores deben cumplir con las obligaciones establecidas por la NIS 2, que incluyen la gestión de riesgos de ciberseguridad, la notificación de incidentes significativos y la implementación de medidas técnicas, operativas y organizativas para proteger sus sistemas y datos.

¿Cómo Data Protect Plus puede ayudarte?

En Data Protect Plus, ofrecemos servicios integrales de consultoría para asegurar que tu empresa cumple con la NIS 2 y otras normativas de protección de datos. Nuestro equipo de expertos te guiará a través del proceso de cumplimiento, ayudándote a implementar las medidas necesarias y a mantener la seguridad de tus datos.

Para ello contamos con nuestra solución CYBERNIS.EU, que reúne empresas altamente cualificadas del sector de datos para dar cumplimiento a la normativa NIS 2.

Solicita más información en este link: NIS 2

Byline: CEO Data Protect Plus

La entrada ¿Qué es la NIS 2 y qué empresas necesitan cumplir con esta normativa? se publicó primero en DataProtectPlus.

En el entorno actual, los despachos de servicios fiscales y laborales se enfrentan a la necesidad de garantizar la seguridad y privacidad de los datos personales de sus clientes. Una herramienta clave en este proceso es el uso de certificados digitales de personas físicas. Sin embargo, su implementación puede generar conflictos con el Reglamento General de Protección de Datos (RGPD). En esta entrada, exploraremos cómo se utilizan estos certificados y los desafíos que presentan en términos de cumplimiento normativo.

¿Qué son los Certificados Digitales de Personas Físicas?

Los certificados digitales de personas físicas son documentos electrónicos que permiten la identificación y autenticación de una persona en el entorno digital. Emitidos por autoridades de certificación reconocidas, estos certificados garantizan la integridad y confidencialidad de las transacciones electrónicas. El uso de Certificados Digitales de Personas Físicas en Despachos de Servicios Fiscales y Laborales se practica para firmar digitalmente documentos, acceder a plataformas gubernamentales y realizar trámites en línea de manera segura.

Beneficios del Uso de Certificados Digitales

1. Seguridad: Los certificados digitales aseguran que las transacciones electrónicas sean seguras y que la identidad del firmante sea auténtica.
2. Eficiencia: Facilitan la realización de trámites en línea, reduciendo el tiempo y los costos asociados a los procesos manuales.
3. Confidencialidad: Garantizan que la información transmitida esté protegida contra accesos no autorizados.

Conflictos con el RGPD

El RGPD establece estrictas normas sobre la protección de datos personales, y el uso de certificados digitales no está exento de estas regulaciones. Algunos de los principales conflictos incluyen:

1. Consentimiento y Transparencia: Es crucial que los clientes sean informados y den su consentimiento explícito para el uso de sus datos personales en la emisión y uso de certificados digitales.
2. Minimización de Datos: El principio de minimización de datos del RGPD exige que solo se recopilen los datos estrictamente necesarios. Los despachos deben asegurarse de que los certificados digitales no contengan información innecesaria.
3. Derechos de los Interesados: Los clientes tienen derecho a acceder, rectificar y eliminar sus datos personales. Los despachos deben implementar mecanismos para facilitar estos derechos en el contexto del uso de certificados digitales.

Buenas Prácticas para el Cumplimiento del RGPD

1. Evaluación de Impacto: Realizar evaluaciones de impacto sobre la protección de datos (DPIA) para identificar y mitigar riesgos asociados al uso de certificados digitales.
2. Políticas de Privacidad: Desarrollar y mantener políticas de privacidad claras y accesibles que expliquen el uso de certificados digitales y los derechos de los clientes.
3. Formación y Concienciación: Capacitar al personal sobre las obligaciones del RGPD y las mejores prácticas en el manejo de certificados digitales.

Conclusión

El uso de certificados digitales de personas físicas en despachos de servicios fiscales y laborales ofrece numerosos beneficios en términos de seguridad y eficiencia.

No obstante, es fundamental abordar los conflictos con el RGPD para garantizar el cumplimiento normativo y proteger los derechos de los clientes.

Adoptar buenas prácticas y mantenerse informado sobre las regulaciones vigentes es esencial para navegar este complejo panorama.

CEO de DATA PROTECT PLUS ®

Sylvia Fries

La entrada Uso de Certificados Digitales de Personas Físicas en Despachos de Profesionales: Conflictos con el RGPD se publicó primero en DataProtectPlus.

Siguen las ofertas irresistibles para implantar auditorías y servicios de Protección de Datos a través de cursos bonificados, de forma gratuita o casi gratuito. Si bien por ignorancia o por ganas de pagar lo menos posible, muchos caen en la trampa: es una estafa que sale cara si nos pilla una revisión. Y de esas hay muchas, constantemente. En definitivo, el servicio gratuito no existe.

Servicio gratuito de Protección de Datos

La Fundación Tripartita para la Formación en el Empleo ha emitido una nota informativa sobre la utilización de bonificaciones para la Ley Orgánica de Protección de Datos (LOPD). En esta nota, se advierte a las empresas y consultores que gestionan formación para el empleo sobre ciertas prácticas relacionadas con los servicios de implantación, auditoría y asesoría jurídica en materia de protección de datos personales.

Aquí están los puntos clave de la nota:

1. Entidades Gratuitas: Se alerta sobre la existencia de entidades que ofrecen servicios gratuitos en el ámbito de la LOPD. Estos servicios incluyen la implantación, auditoría y asesoría jurídica en protección de datos personales. Sin embargo, estas entidades financian estos servicios utilizando el crédito asignado para la formación, lo que puede considerarse un fraude.
2. Crédito Destinado a Formación: El Real Decreto 395/2007 y la Orden Ministerial 2307/2007. Establece que el crédito asignado está destinado exclusivamente a la realización de acciones formativas y permisos individuales de formación para los trabajadores.
3. Comprobación y Control: La Fundación Tripartita ha iniciado un proceso de comprobación de los hechos y ha implementado mecanismos de control. Por lo tanto, verifican las bonificaciones practicadas. El objetivo es evitar que las empresas beneficiarias se vean involucradas en errores y tengan que devolver las cuantías bonificadas.
4. Responsabilidad de las Empresas: Las empresas que se bonifiquen por la contratación de servicios de implantación, auditoría y asesoría jurídica en materia de LOPD deben devolver los importes correspondientes. Además, deben atenerse a las actuaciones pertinentes del Servicio Público de Empleo Estatal y la Inspección de Trabajo y Seguridad Social.
5. Llamamiento a los Usuarios: La Fundación Tripartita hace un llamamiento a todos los usuarios para que, en caso de recibir ofertas similares, contacten con el servicio al cliente de la Fundación mediante su formulario de contacto.

Por cierto:

Ya lo decían nuestros abuelos: lo barato sale caro.

Para más información, contáctanos aquí.

CEO DATA PROTECT PLUS

Sylvia Fries

La entrada El servicio gratuito de Protección de Datos no existe. se publicó primero en DataProtectPlus.

El Instituto Nacional de Ciberseguridad (Incibe) ha detectado un aumento de las llamadas de alerta por estafas de suplantación de identidad bancaria. En estas estafas, los timadores usurpan el número de teléfono oficial del banco y solicitan a la víctima que realice una serie de movimientos. Normalmente alegan que se trata de un problema de seguridad. Si la víctima acepta, puede perder varios miles de euros en pocos minutos.

¿Cuáles son las modalidades de estafa más frecuentes?

El Incibe ha identificado tres modalidades distintas de esta estafa:

1. Solicitud de códigos: Los atacantes piden a la víctima que proporcione unos códigos enviados a través de la app oficial del banco. Estos, en realidad, sirven para autorizar movimientos que ella no ha realizado.
2. Acceso a la app bancaria: Los timadores solicitan accesos a la app de la entidad bancaria para poder manejarla a su antojo.
3. Transferencias a un depósito “seguro”: Los ciberdelincuentes piden a la víctima que realice transferencias a un depósito “seguro” que han abierto a su nombre.

Estos son solo algunos ejemplos de las modalidades utilizadas por los estafadores. Es importante estar alerta y desconfiar de cualquier solicitud inusual o sospechosa por parte del banco.

Recuerde que los bancos nunca solicitarán información confidencial o realizarán movimientos a través de llamadas telefónicas.

¿Cuál es el público objetivo de estas estafas bancarias?

El público objetivo para las estafas bancarias es muy amplio y puede incluir a cualquier persona que tenga una cuenta bancaria o que realice transacciones financieras en línea. Los delincuentes cibernéticos utilizan diversas técnicas, como el phishing, para engañar a las personas y obtener información confidencial. Solicitan contraseñas y números de tarjetas de crédito, así como confirmación de datos personales. 

Es importante que los clientes bancarios estén al tanto de estas técnicas fraudulentas y tomen medidas para proteger su información personal.

Si sospecha de haber sido víctima de una estafa bancaria, recomendamos comunicarlo de forma inmediata a su entidad para que tomen las medidas necesarias para proteger su cuenta.

¿Cómo podemos prevenir la estafa por suplantación de identidad?

Para prevenir una estafa bancaria, es importante que los usuarios de servicios financieros tomen medidas para proteger su información personal. Aquí hay algunos consejos que pueden ayudar:

1. Mantener la información personal segura: No comparta información personal, como contraseñas o números de tarjetas de crédito, con nadie. Asegúrese de que su información personal esté protegida en línea y fuera de línea.
2. Mantenerse alerta ante el phishing: Los delincuentes cibernéticos utilizan técnicas de phishing para engañar a las personas y obtener información confidencial. Asegúrese de no hacer clic en enlaces sospechosos o descargar archivos adjuntos de correos electrónicos desconocidos.
3. Mantenerse actualizado sobre las últimas técnicas de estafa: Los delincuentes cibernéticos están siempre buscando nuevas formas de engañar a las personas. Manténgase informado sobre las últimas técnicas de estafa y tome medidas para protegerse.
4. Mantenerse alerta ante los cargos no autorizados: Revise regularmente sus estados de cuenta bancarios y tarjetas de crédito para detectar cargos no autorizados.
5. Comunicarse con su banco inmediatamente si sospecha que ha sido víctima de una estafa bancaria: Si sospecha que ha sido víctima de una estafa bancaria, es importante que se comunique con su banco inmediatamente para informarles del incidente y tomar medidas para proteger su cuenta.

Fuente. El País.

CEO DATA PROTECT PLUS®

Sylvia Fries

La entrada Estafas por suplantación de identidad bancaria se publicó primero en DataProtectPlus.

El artículo 58bis de la LOREG establece que los partidos  políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público. Por ende, el proceso electoral y mis datos están relacionados para la realización de actividades políticas durante el periodo electoral.

Estas actividades identificarán de modo destacado su naturaleza electoral, facilitándose al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición. Si ha recibido una de estas comunicaciones por correo electrónico y no desea recibir otras posteriores de la misma formación política debe oponerse a través del procedimiento indicado en la comunicación. Si tiene dificultades puede ponerse en contacto con el Delegado de Protección de Datos (DPD) de la formación política remitente.

¿Cómo evitar la recolección de datos  y el spam  político en la campaña electoral?

Inmersos en la campaña para las próximas elecciones generales a las que seguirá la de las municipales, autonómicas y europeas, los partidos ultiman sus mecanismos de propaganda. Su intención es hacer que su mensaje llegue a los votantes. Sin embargo, iniciativas oficiales y particulares buscan establecer garantías y herramientas para evitar estos envíos. También se intenta limitar el uso que los partidos puedan hacer de las redes sociales y las herramientas de análisis de Big Data para hacer perfiles del votante.

Pasos para no recibir propaganda electoral de ningún partido.

Los ciudadanos que quieran bloquear el envío de propaganda electoral tipo pasquines, folletos y demás documentos de cualquier partido político podrán tramitarlo online en la Sede electrónica del Instituto Nacional de Estadística (INE). Para ello el solicitante deberá tener un certificado electrónico válido o gestionarlo mediante el sistema Cl@ve. La Agencia Tributaria recomienda utilizar la App Cl@ve PIN en el móvil para obtener un PIN y código con el fin de iniciar el procedimiento

Más información relacionada

El Gobierno de Navarra, ha puesto en marcha una  página web sobre las Elecciones de 2023. El fin es poner a disposición de la ciudadanía toda la información relativa a los comicios de Municipios, Concejos y al Parlamento de Navarra que se celebran el próximo 28 de mayo. En la misma, se informará de los diferentes procedimientos y trámites que se vayan efectuando y se dará cuenta de los resultados electorales una vez se efectúe el escrutinio.

Así, la web incluye diferentes secciones para cada una de estas citas electorales y otros apartados dónde se explican cuestiones sobre la organización y funcionamiento. Así mismo, cuenta con un repositorio de Noticias donde se recopilan las comunicaciones efectuadas por el Gobierno de Navarra. Dispone de un calendario con las fechas más importantes que la ciudadanía debe tener en cuenta para ejercer su derecho a voto, tales como el plazo para solicitar el voto por correo desde España. 

Eso si, cualquier partido político debe cuidar los datos personales y la protección de datos. No introduzcas datos personales en formularios de páginas web que no informan de forma completa y debida sobre tus derechos. Para más información, puede contactarnos aquí.

CEO.

Sylvia Fries

La entrada PROCESO ELECTORAL Y MIS DATOS se publicó primero en DataProtectPlus.

¿Cesión de datos a terceros, o ceder datos a terceros, qué significa?

¿La cesión de datos a terceros no te afecta? Si tienes un negocio u organización / asociación, tratas con datos personales si quieres o no, o al menos en el 99,9% de los casos, y lo más seguro que la cesión de datos a terceros es un asunto a tratar.

Una excepción puede ser una pequeña tienda que no emite factura y solo cobra en efectivos (un TPV también recoge datos), sin empleados, ni videovigilancia, ni Redes Sociales o página Web, ni cualquier otro medio que pueda recoger datos personales.

Para la cesión de datos personales a terceros, tenemos que distinguir entre dos supuestos:

1. El acceso a datos personales para la prestación de un servicio.

Un ejemplo aquí es una asesoría, que se convierte en Encargado de Tratamiento de los datos de los empleados de todos sus clientes (los responsables del tratamiento de esos datos), tanto empresas como autónomos, asociaciones, federaciones, clubes, etc. Los responsables de los datos determinan en cualquier caso el tratamiento que pueda realizar la asesoría sobre dichos datos.

La base jurídica para el acceso a datos personales en este caso puede ser:

Ahora bien, para ceder datos de forma lícita su negocio deberá contar con el consentimiento previo, específico e inequívoco de los titulares de dichos datos.

• Que la cesión sea necesaria para la ejecución o desarrollo de una relación contractual.
• Que constituya una obligación legal para el cedente.
• Que obedezca a intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.
• Que sirva para salvaguardar el interés vital del interesado o de otras personas.

• La cesión de datos en el propio sentido de la palabra. Aquí cabe destacar que el tercero que recibe los datos puede aplicar sus propias finalidades, decidiendo sobre el objeto y finalidad del tratamiento.

Un ejemplo aquí es un sorteo de forma digital, cuyo acceso está sujeto a varios consentimientos para la participación. Uno de ellos es la aprobación de la política de privacidad (donde se debe recoger toda información sobre responsables, findes de tratamiento y posibles cesiones), además de la aprobación voluntaria e inequívoca de envío de publicidad (tanto propia como por terceros) y cualquier otro tratamiento o cesión previsto, bajo su aprobación por el usuario.

El mismo principio de cesión de datos, definido para el Ciudadano, sería el derecho a la portabilidad de sus datos

La finalidad de este nuevo derecho es reforzar aún más el control de tus datos personales, de forma que cuando el tratamiento se efectúe por medios automatizados, recibas tus datos personales en un formato estructurado, de uso común, de lectura mecánica e interoperable, y puedas transmitirlos a otro responsable del tratamiento, siempre que el tratamiento se legitime en base al consentimiento o en el marco de la ejecución de un contrato.

No obstante, este derecho, por su propia naturaleza, no se puede aplicar cuando el tratamiento sea necesario para el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos conferidos al responsable.

Más información sobre los derechos del Ciudadano en la guía de la AEPD .

En caso de actuar de forma correcta, las multas dependen de la gravedad de la infracción, como muestra el siguiente ejemplo, que es un claro ejemplo de cesión de datos a terceros sin el consentimiento de la persona correspondiente.

Infracción Art. 6 (1) GDPR, Art. 15 GDPR  

¿Qué lo que indica la AEPD sobre el acceso a datos personales?

“Artículo 2.4. Consentimiento de los interesados

El RGPD requiere que el consentimiento sea “inequívoco”, lo que supone que se preste mediante una manifestación del interesado o mediante una clara acción afirmativa. Esto excluye la utilización del llamado consentimiento tácito, que permitía la normativa española de protección de datos. Así, no se consideran formas válidas de obtener el consentimiento el uso de casillas ya marcadas o la inacción. En cambio, sí son acordes al RGPD, la utilización de una declaración por escrito, o la marcación de casillas en un sitio web de internet. El consentimiento en el marco del RGPD se caracteriza por lo siguiente:

• Puede ser para uno o varios fines.
• Debe ser prestado de forma libre.
• Revocable.
• El responsable debe poder probar en todo momento que ha obtenido el consentimiento.
• Utilizar un lenguaje claro y sencillo.

Por otra parte, también debe ser tenido en cuenta lo siguiente:

• Si se usa para obtenerlo una declaración escrita, debe quedar claramente diferenciada la parte referente a protección de datos del resto de declaraciones.
• Si se recaba el consentimiento para varias finalidades:
  • Sería posible agruparlas en virtud de su vinculación (por ejemplo, consentimiento para la recepción de publicidad propia o de terceros).
  • Pero deberían desagregarse cuando los tratamientos impliquen conductas distintas (por ejemplo, tratamiento por quien recaba los datos y cesión a terceros).”

Para más información al respecto, contacte con nuestros técnicos.

Fuente:

https://www.aepd.es/es/preguntas-frecuentes/1-tus-derechos

https://www.aepd.es/es

Sylvia Fries – CEO de Data Protect Plus®

Sylvia Fries

La entrada Cesión de datos personales y sus bases legales se publicó primero en DataProtectPlus.