lopd archivos - DataProtectPlus

¿Haces llamadas comerciales en tu empresa?

Sylvia Fries — Thu, 19 Jun 2025 10:41:07 +0000

Esto es lo que puedes (y no puedes) hacer en 2025

¿Utilizas el teléfono para llamar a nuevos clientes? ¿Tu equipo comercial llama a particulares o empresas para ofrecer servicios? Entonces esto te interesa: desde junio de 2025, las reglas del juego han cambiado, y las multas pueden ser muy serias si no cumples con la normativa para tus llamadas comerciales.

En Data Protect Plus, asesoría especializada en protección de datos en Torrevieja, te contamos lo esencial para que puedas hacer marketing telefónico legal, eficaz y seguro.

¿Puedo seguir haciendo llamadas comerciales?

Sí, pero bajo ciertas condiciones muy claras. En 2025, ya no se puede llamar “a puerta fría” como antes. Estas son las claves:

Puedes llamar si:

Tienes el consentimiento previo y expreso del destinatario.
Ya es cliente tuyo, y la oferta está relacionada con productos/servicios similares.
Te diriges a una empresa (B2B) y tienes una base legítima para hacerlo, siempre que respetes los derechos del destinatario.

No puedes llamar si:

El contacto no ha dado su consentimiento, y no tienes otra base legal sólida.
La persona está inscrita en la Lista Robinson (obligatorio consultarla antes de cada campaña).
Llamas desde un número oculto o desde un móvil particular no autorizado.
No informas al inicio de la llamada sobre quién eres y por qué llamas.

¿Qué debes decir en la llamada?

Desde el primer momento, el receptor debe estar informado sobre:

Quién eres y de qué empresa llamas.
Que se trata de una llamada con fines comerciales.
Que tiene derecho a oponerse a futuras llamadas y revocar su consentimiento en cualquier momento.

Y si vas a grabar la llamada, también debes tener en cuenta:

Informar antes de empezar la grabación.
Obtener su consentimiento explícito.
Explicar para qué grabas, quién es el responsable, cuánto tiempo conservarás la grabación y cómo ejercer sus derechos (acceso, cancelación, oposición…).

¿Cuándo puedes llamar?

Solo en días laborables, de 9:00 a 21:00.

Nunca durante fines de semana o festivos, ni en horarios fuera de ese rango.

Identifícate siempre con un número fijo, comercial o gratuito (900/800). Llamar desde móviles normales está prohibido.

¿Qué pasa si incumples?

Desde 2023, con la nueva Ley General de Telecomunicaciones, y reforzado en 2025:

Las sanciones por llamadas ilegales pueden superar los 100.000 €.
Grabar sin informar puede considerarse una infracción muy grave bajo el RGPD.
Usar números ocultos, móviles no autorizados o saltarte la Lista Robinson puede ser motivo de denuncia ante la AEPD.

Y no olvides: la carga de la prueba recae en tu empresa. Si alguien denuncia, tendrás que demostrar que tenías consentimiento o base legal suficiente.

¿Y si llamo a otras empresas?

En entorno B2B, hay un poco más de margen, pero también hay normas:

Puedes contactar si hay una relación previa o si ofreces productos realmente relevantes para su actividad (comprobar la legitimación para ello).
Siempre debes informar claramente e identificarte.
Debes respetar las oposiciones y el derecho a no recibir publicidad (sincroniza tu sistema con las plataformas existentes).
También debes usar numeraciones válidas y respetar horarios (desde junio 2025).

¿Necesitas ayuda?

Contáctanos y revisamos juntos como adaptar tu proceso de venta a la normativa: www.dataprotectplus.com

CEO Data Protect Plus

Sylvia Fries

La entrada ¿Haces llamadas comerciales en tu empresa? se publicó primero en DataProtectPlus.

Ciberataques masivos en año nuevo 2024.

Sylvia Fries — Thu, 04 Jan 2024 15:04:15 +0000

¡Hola! ¡Bienvenido al artículo que te ayudará a entender la cruda realidad de los ciberataques en el año nuevo 2024 y la necesidad urgente de proteger tus datos personales! En la era digital actual, la festividad de año nuevo ha sido testigo de un aumento preocupante en los ciberataques. ¿Qué impacto tienen estos ataques? ¿Cómo podemos protegernos? ¡Descubre todo esto y más a continuación!

Sorpresas en Año Nuevo 2024

El comienzo del año 2024 trajo consigo no solo celebraciones, sino también una oleada de ciberataques masivos. Estos ataques informáticos han sacudido la seguridad en línea y planteado serias amenazas a la privacidad de los datos personales.

Impacto de los ciberataques

Los ciberataques durante la temporada de año nuevo han demostrado ser altamente perjudiciales, afectando no solo a individuos, sino también a empresas e incluso a entidades gubernamentales. ¿Qué consecuencias han dejado a su paso estos ataques? Pérdida de información sensible, vulnerabilidades expuestas y un cuestionamiento serio sobre la seguridad en línea.

Vulnerabilidades en el año nuevo 2024

Las festividades ofrecen un terreno fértil para los ciberdelincuentes: distracciones, aumento en transacciones en línea y menor vigilancia en la seguridad informática. Estos factores han creado un escenario propicio para los ataques cibernéticos, dejando a muchos vulnerables a la pérdida de datos y el robo de identidad.

La importancia de la protección de datos personales

Proteger nuestros datos personales es más que una precaución: es una necesidad. La seguridad en línea se convierte en un pilar fundamental para resguardar la identidad, la información financiera y la privacidad en general. ¿Cómo podemos tomar medidas para protegernos?

Medidas de seguridad recomendadas

¡No todo está perdido! Existen medidas que podemos implementar para fortalecer nuestra seguridad en línea. Desde el uso de contraseñas robustas hasta la autenticación de dos factores, estas prácticas pueden ser nuestras mejores aliadas en la protección de nuestros datos personales.

Conclusión

En conclusión, los ciberataques durante el año nuevo 2024 han generado una alarma sobre la importancia crítica de proteger nuestros datos personales. La conciencia y la adopción de prácticas de seguridad son nuestra mejor defensa contra las amenazas cibernéticas.

FAQs

1. ¿Por qué aumentan los ciberataques en año nuevo? Los ciberdelincuentes aprovechan la distracción y el aumento de actividad en línea durante las festividades para realizar ataques.

2. ¿Cómo puedo proteger mis datos personales? Usa contraseñas seguras, habilita la autenticación de dos factores y mantén tu software actualizado.

3. ¿Qué impacto tienen estos ataques en la seguridad digital? Los ataques afectan la confianza en la seguridad digital y exponen las vulnerabilidades existentes.

4. ¿Es necesario cambiar mis contraseñas después de estos ataques? Sí, es recomendable cambiar y fortalecer tus contraseñas para mejorar la seguridad.

5. ¿Las empresas también deben preocuparse por estos ataques? ¡Absolutamente! Las empresas deben reforzar sus medidas de seguridad para proteger los datos de sus clientes y su propia información confidencial.

¡No dejes que tu seguridad digital se convierta en un juego de azar! Protege tus datos personales hoy mismo. Si deseas más información y medidas preventivas, ¡accede aquí!

CEO Data Protect Plus®

Sylvia Fries

La entrada Ciberataques masivos en año nuevo 2024. se publicó primero en DataProtectPlus.

El Supremo establece que las empresas deben vigilar la efectividad de su política de protección de datos

Sylvia Fries — Sat, 05 Mar 2022 09:55:41 +0000

Los datos que las empresas tienen de todos nosotros son un material sensible que la Ley de Protección de Datos intenta proteger. Ahora, la Sala III del Tribunal Supremo ha concluido que la obligación de las empresas de garantizar la seguridad de los ficheros que contengan datos personales de sus clientes es de medios y no de resultado, aunque “es exigible la adopción e implantación de medidas técnicas y organizativas, que conforme al estado de la tecnología y en relación con la naturaleza del tratamiento realizado y los datos personales en cuestión, permitan razonablemente evitar su alteración, pérdida, tratamiento o acceso no autorizado”.

En sentencia de la que ha sido ponente el magistrado Diego Córdoba, la Sala confirma una sanción de 40.000 euros impuesta por la Agencia de Protección de Datos a una empresa distribuidora de productos de telefonía, como responsable de una infracción grave al permitir el acceso no autorizado por parte de terceros a, al menos, 14 solicitudes de financiación en la que figuraban datos personales de los clientes (nombre y apellidos, datos económicos, de domiciliación bancaria y firma).

La Audiencia Nacional confirmó la sanción, y el Supremo admitió el recurso de casación de la empresa para responder a la cuestión de si las infracciones de la Ley de Protección de Datos por fallos de las medidas de seguridad que puedan cometer los empleados de una persona jurídica deben examinarse en atención al resultado y, por lo tanto, imputarse a la persona jurídica de la que dependa el empleado, con independencia de los medios y medidas de prevención que hubiera podido adoptar.

La Sala contesta que la obligación de adoptar las medidas necesarias para garantizar la seguridad de los datos personales no puede considerarse una obligación de resultado, que implique que producida una filtración de datos personales a un tercero exista responsabilidad con independencia de las medidas adoptadas y de la actividad desplegada por el responsable del fichero o del tratamiento.

Añade que “ no basta con diseñar los medios técnicos y organizativos necesarios, también es necesaria su correcta implantación y su utilización de forma apropiada, de modo que también responderá (la empresa) por la falta de la diligencia en su utilización, entendida como una diligencia razonable atendiendo a las circunstancias del caso”.

En el supuesto examinado, el tribunal confirma la sanción a la empresa porque “el programa utilizado para la recogida de los datos de los clientes no contenía ninguna medida de seguridad que permitiese comprobar si la dirección de correo electrónico introducida era real o ficticia y si realmente pertenecía a la persona cuyos datos estaban siendo tratados y prestaba el consentimiento para ello. El estado de la técnica en el momento en el que se produjeron estos hechos permitía establecer medidas destinadas a comprobar la veracidad de la dirección de email, condicionando la continuación del proceso a que el usuario recibiese el contrato en la dirección proporcionada y solo desde ella prestase el consentimiento necesario para su recogida y tratamiento. Medidas que no se adoptaron en este caso”.

Es decir, que en el momento en que se produjeron estos hechos, existían medidas técnicas referidas al proceso de registro, que hubiesen evitado la filtración de datos personales producida. Ello implica que las medidas técnicas adoptadas incumplían las condiciones de seguridad en los términos exigidos.

Por último, la Sala señala que el hecho de que fuese la actuación negligente de una empleada la que provocó la brecha de seguridad no le exime de responsabilidad a la empresa en cuanto encargada de la correcta utilización de las medidas de seguridad que deberían haber garantizado la adecuada utilización del sistema de registro de datos diseñado.

Fuente: Diario de Sevilla

La entrada El Supremo establece que las empresas deben vigilar la efectividad de su política de protección de datos se publicó primero en DataProtectPlus.

El TJUE confirma el poder de las autoridades nacionales de protección de datos frente a Facebook

Sylvia Fries — Wed, 16 Jun 2021 17:42:47 +0000

La gran sala de la corte ha declarado que, en determinadas condiciones, la normativa “autoriza a una autoridad de control de un Estado miembro a ejercer su facultad de poner en conocimiento de los órganos jurisdiccionales de un Estado miembro cualquier supuesta infracción del RGPD

El Tribunal de Justicia de la Unión Europea (TJUE) ha dado la razón a la autoridad de protección de datos de Bélgica en un caso que le enfrentaba con la multinacional tecnológica Facebook a cuenta de las competencias de la primera para denunciar infracciones de las reglas comunitarias en la gestión de datos de los usuarios de la red social.

En concreto, el tribunal con sede en Luxemburgo ha dictaminado que “en determinadas condiciones”, una autoridad nacional de control “puede ejercer su facultad de poner en conocimiento de los órganos jurisdiccionales de un Estado miembro cualquier supuesta infracción” con respecto al tratamiento de datos transfronterizos incluso “aunque nos ea la autoridad de control principal” en dicha gestión.

El asunto fue elevado a la Justicia europea por el Tribunal de Apelación de Bruselas (Bélgica) y enfrenta a la Autoridad de Protección de datos belga, que alberga dudas sobre los efectos de la aplicación del mecanismo de ‘ventanilla única’ previsto en el reglamento general de protección de datos (RGPD).

El caso se remonta a 2015, cuando la autoridad belga de protección de datos demandó a Facebook Irlanda, Facebook y Facebook Bélgica para que se pusiera fina a una serie de infracciones que consistían en la recogida y utilización de información sobre hábitos de navegación de internautas belgas, fueran usuarios de la red social o no.

El tribunal que evaluó el caso dio la razón a la autoridad belga y argumentó que Facebook no había informado lo suficiente a los internautas de la recogida y uso de dicha información y además no consideró válido el consentimiento de los internautas. Esta sentencia, sin embargo, fue recurrida por Facebook y sus dos filiales europeas.

El Tribunal de Apelación de Bruselas solo se declaró competente para estudiar el recurso de Facebook Bélgica y preguntó al TJUE si la Autoridad de Protección de Datos belga puede iniciar acciones judiciales contra la empresa, puesto que la responsable del tratamiento de datos en cuestión es Facebook Irlanda.

Esto supone que, desde que se aplica el principio de ‘ventanilla única’ del reglamento europeo de protección de datos, el único competente es el Comisario irlandés de protección bajo el control de los tribunales belgas.

En su sentencia, la gran sala del Tribunal de Justicia de la UE ha declarado que, en determinadas condiciones, la normativa “autoriza a una autoridad de control de un Estado miembro a ejercer su facultad de poner en conocimiento de los órganos jurisdiccionales de un Estado miembro cualquier supuesta infracción del RGPD y de iniciar o ejercitar acciones judiciales con respecto a un tratamiento de datos transfronterizo aunque no sea la autoridad de control principal en lo referente a ese tratamiento”.

Esta sentencia ha sido celebrada por la Asociación Europea de Consumidores (BEUC), organización que ha asegurado que tendrá “importantes implicaciones” en la aplicación del reglamento europeo de protección de datos y “repercusiones positivas” en “la lucha para proteger mejor los datos personales de los consumidores”.

Fuente: Expansión

La entrada El TJUE confirma el poder de las autoridades nacionales de protección de datos frente a Facebook se publicó primero en DataProtectPlus.

EL HISTORIAL DE NAVEGACIÓN NO PODRÁ SER PRUEBA DE DESPIDO SI NO SE INFORMA ANTES AL TRABAJADOR

Sylvia Fries — Tue, 11 Jun 2019 15:18:28 +0000

La justicia rechaza que, de forma general, la empresa pueda acceder al historial de navegación del ordenador de sus empleados para controlar su desempeño laboral. En una reciente sentencia, el Tribunal Superior de Justicia (TSJ) de Andalucía establece que el listado de páginas web consultadas por el trabajador se encuentra protegido por el derecho a la protección de datos. En consecuencia, declara nula la prueba obtenida por una compañía que extrajo de la computadora las webs visitadas, información sobre la que sustentó el despido del afectado.

Según se relata en la resolución, tras constatar una reducción muy notable del rendimiento del empleado (la dirección aseguró que su producción había disminuido al 10%), el empresario consultó el historial de navegación del ordenador del taller en el que trabajaba. La investigación interna reveló una media de 130 accesos diarios a webs que nada tenían que ver con el trabajo, como páginas de contenido sexual, decodificadores de canales de pago o casas de apuestas online, datos que la compañía expuso en la carta de despido.

El juzgado de primera instancia declaró el cese procedente por “abuso de confianza y transgresión de la buena fe contractual”. Sin embargo, el TSJ andaluz rechaza dichos argumentos y estima que se ha producido la vulneración de los derechos del trabajador.

Según recuerdan los magistrados, el Tribunal Supremo rechazó en litigios anteriores que las compañías pudieran acceder a los archivos personales guardados en los ordenadores de trabajo o al email de los empleados. En este sentido, en relación con el uso privado los medios electrónicos en el ámbito del trabajo, explican, existe una “expectativa razonable de confidencialidad” que solo puede decaer si la empresa informa al trabajador de que puede acceder a ellos para controlar su actividad.

En este caso, concluye la sentencia, al no haberse establecido una prohibición expresa en el contrato de trabajo o en el convenio colectivo regulador, ni tampoco existir una comunicación al empleado informándole de que la empresa podía acceder al historial de navegación, dicha expectativa de confidencialidad permanecía intacta. Por lo tanto, el TSJ entiende vulnerado el derecho a la protección de datos (18.4 de la Constitución), por lo que la prueba debe ser declarada nula y debe repetirse el juicio en la instancia anterior teniendo en cuenta esta circunstancia.

Nueva LOPD

La sentencia del tribunal andaluz no desconoce la nueva Ley Orgánica de Protección de Datos, en vigor desde el 7 de diciembre, pero que no resulta de aplicación a este caso por tratarse de hechos anteriores. Sin embargo, la resolución del caso, a la vista del artículo 87 de la nueva norma (Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral), no hubiera sido muy distinta.

Dicho precepto determina que “el empleador podrá acceder a los contenidos derivados del uso de medios digitales facilitados a los trabajadores a los solos efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos”. Para ello, la empresa deberá establecer criterios de utilización de los dispositivos digitales respetando, en todo caso, los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente. Asimismo, “el acceso por el empleador al contenido de dispositivos digitales respecto de los que haya admitido su uso con fines privados requerirá que se especifiquen de modo preciso los usos autorizados y se establezcan garantías para preservar la intimidad de los trabajadores, tales como, en su caso, la determinación de los períodos en que los dispositivos podrán utilizarse para fines privados. Los trabajadores deberán ser informados de los criterios de utilización a los que se refiere este apartado”.

NUEVOS RETOS

Equilibrio. El uso de medios electrónicos en el trabajo ha puesto nuevos deberes a los especialistas en derecho laboral. Las nuevas formas de control que permite al empresario la esfera digital deben equilibrarse con el respeto a los derechos de los empleados porque las empresas no pueden convertirse en una suerte de Gran Hermano. Según un reciente informe del bufete BDO Abogados, el 76% de las compañías ya cuenta con medidas de control digital; sin embargo, solo cuatro de cada diez asevera cumplir con los requisitos del Reglamento Europeo de Protección de Datos.

Fuente: Cinco Días – El País

La entrada EL HISTORIAL DE NAVEGACIÓN NO PODRÁ SER PRUEBA DE DESPIDO SI NO SE INFORMA ANTES AL TRABAJADOR se publicó primero en DataProtectPlus.

Entra en vigor la nueva Ley Orgánica de Protección de Datos (LOPD)

Sylvia Fries — Mon, 10 Dec 2018 10:48:59 +0000

Ya está en vigor la nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD), que actualiza la legislación española de acuerdo con el Reglamento General de Protección de Datos (RGPD) y, además, revisa y amplía las obligaciones digitales de las organizaciones que lleven a cabo algún tipo de tratamiento. Su publicación en el Boletín Oficial del Estado (BOE) se ha hecho esperar más de la cuenta, pero ayer, coincidiendo con el Día de la Constitución, el texto, finalmente, vio la luz.

La LOPD cuenta con 97 artículos, repartidos en 10 títulos. El más novedoso, el que contiene el catálogo de derechos digitales (Título X, artículos 79 a 97), entre los que se encuentran el derecho a la actualización de informaciones en medios de comunicación digitales, el derecho a la intimidad y uso de dispositivos en el ámbito laboral o el derecho a la desconexión digital en el trabajo. Aunque, como ha advertido Mar España, directora de la Agencia Española de Protección de Datos (AEPD), no se ha precisado el Ministerio u organismo público encargado de garantizar el cumplimiento de muchos de ellos.

Las empresas que traten datos personales tendrán que proporcionar al afectado la siguiente información: la finalidad del tratamiento; y la posibilidad de ejercer los derechos contenidos en el RGPD. Y, además, debe facilitar el acceso de forma “sencilla e inmediata” (a través de una dirección electrónica o cualquier otro medio) al resto de datos que la normativa exige que sean ofrecidos por las organizaciones.

Los responsables de tratamiento están obligados, además, a informar a los afectados de los medios a su alcance para ejercer sus derechos. Vías que “deberán ser fácilmente accesibles”. La prueba del cumplimiento del deber de responder a la solicitud de ejercicio de un derecho recae sobre el responsable.

Fuente: https://cincodias.elpais.com

La entrada Entra en vigor la nueva Ley Orgánica de Protección de Datos (LOPD) se publicó primero en DataProtectPlus.

Aprobada la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales

Sylvia Fries — Mon, 26 Nov 2018 11:19:41 +0000

La Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales ha sido aprobada con un 93% de apoyo parlamentario. La nueva normativa, que adapta el derecho español al modelo establecido por el Reglamento General de Protección de Datos (RGPD), introduce novedades mediante el desarrollo de materias contenidas en el mismo.

La Ley facilita que los ciudadanos puedan ejercitar sus derechos al exigir, en particular, que los medios para hacerlo sean fácilmente accesibles. Además, se regula el modo en que debe informarse a las personas acerca del tratamiento de sus datos optándose, específicamente en el ámbito de internet, por un sistema de información por capas que permita al ciudadano conocer de forma clara y sencilla los aspectos más importantes del tratamiento, pudiendo acceder a los restantes a través de un enlace directo.

Otro de los aspectos novedosos incluidos en la nueva normativa es que se reconoce específicamente el derecho de acceso y, en su caso, de rectificación o supresión por parte de quienes tuvieran vinculación con personas fallecidas por razones familiares o de hecho y a sus herederos. La medida limita el ejercicio de estos derechos cuando el fallecido lo hubiera prohibido.

En cuanto a los menores, la Ley fija en 14 años la edad a partir de la cual se puede prestar consentimiento de manera autónoma. También se regula expresamente el derecho a solicitar la supresión de los datos facilitados a redes sociales u otros servicios de la sociedad de la información por el propio menor o por terceros durante su minoría de edad.

La Ley refuerza, como propuso la Agencia, las obligaciones del sistema educativo para garantizar la formación del alumnado en el uso seguro y adecuado de internet, incluyéndola de forma específica en los currículums académicos y exigiendo que el profesorado reciba una formación adecuada en esta materia. A tal efecto, el Gobierno deberá remitir en el plazo de un año desde la entrada en vigor de la Ley un proyecto de ley dirigido específicamente a garantizar estos derechos y las administraciones educativas tendrán el mismo plazo para la inclusión de dicha formación en los currículums.

El texto regula, asimismo, el derecho al olvido en redes sociales y servicios de la sociedad de la información equivalentes. Se exceptúa la supresión cuando los datos hubieran sido facilitados por terceros en el ejercicio de actividades personales o domésticas.

Por otra parte, la Agencia ha propuesto que se recogieran en la Ley los sistemas de denuncias internas anónimas, a través de los cuales puede ponerse en conocimiento de una entidad privada la comisión de actos o conductas que pudieran resultar contrarios a la normativa. Estos sistemas son imprescindibles para que las personas jurídicas puedan acreditar la diligencia necesaria para quedar exentas de responsabilidad penal. De este modo, la Ley dota a las empresas de un mecanismo que les permite conciliar su propio derecho con el derecho a la protección de datos de las personas.

Además, la Ley actualiza las garantías del derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo. Asimismo, refuerza las garantías del derecho a la intimidad en relación con el uso de dispositivos digitales puestos a disposición de los empleados, complementando la regulación del derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral, de los que deberán ser informados.

Otra novedad es la referida a la regulación de los sistemas de información crediticia (los conocidos como ficheros de morosos), que reducen de 6 a 5 años el periodo máximo de inclusión de las deudas y en los que se exige una cuantía mínima de 50 euros para la incorporación de las deudas a dichos sistemas. Con la anterior Ley, no existía una cantidad mínima.

Por último, se modifica la Ley de competencia desleal, regulando como prácticas agresivas las que tratan de suplantar la identidad de la Agencia o sus funciones y las relacionadas con el asesoramiento conocido como ‘adaptación a coste cero’ a fin de limitar asesoramientos de ínfima calidad a las empresas.

Fuente: https://aepd.es

La entrada Aprobada la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales se publicó primero en DataProtectPlus.