Pero, ¿te has parado a pensar qué implicaciones tiene eso en materia de protección de datos?

¿Es legal grabar un evento escolar?

Sí, es legal grabar este tipo de actos siempre que sea para uso personal o doméstico. La normativa de protección de datos no se aplica cuando la grabación se hace en el ámbito privado, como parte de actividades familiares o de amistad.

Por ejemplo:

• Grabar el evento para verlo más tarde en casa con la familia.
• Enviar el vídeo por WhatsApp al grupo familiar o a los abuelos.

Pero si estás pensando en subirlo a redes sociales, debes seguir leyendo.

¿Qué deben hacer los centros educativos?

Los colegios tienen un papel importante en este tipo de eventos. Se recomienda que:

• Informen claramente al inicio del acto (por ejemplo, mediante carteles o anuncios por megafonía) de que la grabación solo es válida para uso doméstico.
• Incluyan, en el permiso que solicitan a las familias para que los menores participen en el evento, una cláusula que informe de que otras familias podrán tomar imágenes con fines privados.

Esto ayuda a generar un entorno seguro y legal para todos los asistentes.

¿Y si quiero subir las imágenes a redes sociales?

Aquí es donde debes tener más cuidado. Publicar vídeos o fotos en Instagram, Facebook, TikTok o cualquier otra plataforma ya no se considera un uso doméstico. Estás difundiendo la imagen de otras personas y eso implica cumplir con la normativa de protección de datos.

¿Qué necesitas?

• Si aparecen personas mayores de 14 años, necesitas su consentimiento expreso.
• Si aparecen menores de 14 años, necesitas el consentimiento de sus padres o tutores legales.

Esto aplica incluso si el menor no es el protagonista directo de la imagen, pero aparece de forma reconocible. O sea, si aparecen otros niños de fondo, ya hace falta el consentimiento expreso.

¿Qué te recomendamos desde Data Protect Plus?

Disfruta del evento con tranquilidad y emoción.

Graba sin miedo, pero usa ese material solo en el entorno familiar.

Si tienes dudas sobre si puedes o no compartir un vídeo o una imagen, lo más prudente es pedir permiso.

Y si eres un centro educativo, asegúrate de contar con los avisos legales necesarios para proteger a tu alumnado y a sus familias.

También puedes consultar los canales oficiales de la AEPD sobre este tema.

¿Tienes preguntas? Contáctanos y te asesoramos sin compromiso.

CEO Data Protect Plus

Sylvia Fries

La entrada ¿Vas a grabar la función de fin de curso de tus hijos? Esto es lo que debes saber sobre protección de datos se publicó primero en DataProtectPlus.

Los datos de salud forman parte de las categorías especiales de datos personales recogidas en el artículo 9 del Reglamento General de Protección de Datos (RGPD). Estos datos merecen una protección reforzada debido a su sensibilidad, ya que permiten conocer o deducir aspectos íntimos de la salud física o mental de una persona.

Ejemplos de datos de salud:

• Información clínica o diagnóstica del paciente (resultados de pruebas, antecedentes, evolución médica).
• Número de historia clínica o identificador sanitario.
• Datos obtenidos a partir de muestras biológicas o pruebas genéticas.
• Información sobre discapacidades, enfermedades o riesgos de padecerlas.
• Hábitos de vida relacionados con la salud: alimentación, deporte, entorno geográfico, etc.

¿Qué profesionales pueden tratar datos de salud?

Los profesionales sanitarios están habilitados legalmente para tratar datos identificativos y datos de salud cuando sean necesarios para prestar asistencia sanitaria. Esto incluye médicos, enfermeros, fisioterapeutas, psicólogos y otros perfiles clínicos.

El principio clave: minimización de datos. Solo se deben tratar aquellos estrictamente necesarios para la finalidad asistencial.

¿Qué condiciones deben cumplirse para el tratamiento legal estos datos?

El tratamiento solo será lícito si se cumple alguna de las excepciones recogidas en el artículo 9.2 del RGPD. En el caso de los datos de salud, aplican especialmente:

• El consentimiento explícito del interesado, salvo que el tratamiento sea necesario por interés público en el ámbito de la salud pública o la medicina preventiva.
• El tratamiento necesario para fines médicos, prestado por un profesional sujeto al secreto profesional.
• El cumplimiento de obligaciones legales del responsable del tratamiento, como la conservación de la historia clínica.

Garantías imprescindibles para proteger los datos de salud:

Sistemas de control de accesos y gestión de usuarios sanitarios.

Cifrado de datos en tránsito y reposo.

Política de conservación de historiales clínicos conforme a legislación nacional.

Registro de actividades de tratamiento conforme al art. 30 del RGPD.

Formación continua a los profesionales sobre protección de datos y deber de secreto.

¿Cómo puede ayudarte Data Protect Plus?

En DataProtectPlus somos expertos en acompañar a clínicas, centros médicos y profesionales sanitarios a cumplir la normativa de protección de datos. Desde auditorías y análisis de riesgos hasta formación y políticas de privacidad adaptadas.

¿Necesitas apoyo para implementar un sistema de protección de datos sólido? ¡Estamos aquí para ayudarte a cumplir y proteger!

Contáctanos hoy mismo para una consultoría gratuita y protege la confianza de tus pacientes con la seguridad que merecen.

CEO Data Protect Plus

Sylvia Fries

La entrada Datos de salud: Qué son, cómo se tratan y por qué requieren máxima protección se publicó primero en DataProtectPlus.

El 31 de enero de 2025, la Agencia Española de Protección de Datos (AEPD) publicó la resolución SEP2024-003, reconociendo oficialmente la Lista Stop Publicidad como un sistema de exclusión publicitaria válido en el marco del cumplimiento de la LOPDGDD y el RGPD.

Este sistema, gestionado por la Asociación Española para la Privacidad Digital, ofrece a cualquier particular la posibilidad de inscribirse gratuitamente para no recibir comunicaciones comerciales no deseadas. En consecuencia, todas las empresas que realicen campañas publicitarias deben consultar esta lista y excluir de sus bases de datos a los inscritos pasados 30 días desde su alta.

Se trata de una herramienta que refuerza el derecho a la protección de datos personales y que, a partir de ahora, debe integrarse dentro de las prácticas de compliance normativo de cualquier organización que opere en España o dentro del Espacio Económico Europeo.

¿Qué implica para las empresas la Lista Stop Publicidad?

Este reconocimiento no solo es simbólico: impone obligaciones concretas que pueden derivar en sanciones si no se cumplen adecuadamente.

Obligación de consulta

Las empresas deben consultar la Lista Stop Publicidad antes de lanzar cualquier acción publicitaria dirigida a particulares, tanto por medios físicos (correo postal, llamadas, buzoneo) como digitales (emails, SMS, WhatsApp, etc.).

Plazo de aplicación

Se establece un plazo de 30 días desde que el particular se da de alta en la lista. Una vez transcurrido ese plazo, las empresas deben asegurarse de excluirlo de cualquier envío comercial.

Ámbito de aplicación

Esta obligación aplica a:

• Empresas españolas.
• Empresas extranjeras que traten datos de residentes en España.
• Agencias de marketing, publicidad o venta directa que actúen en nombre de terceros.

¿Cómo pueden adaptarse las empresas?

Integración con bases de datos

Es fundamental revisar periódicamente la Lista Stop Publicidad e integrarla con los sistemas de CRM o plataformas de automatización de marketing, de forma que se bloquee automáticamente cualquier envío a personas inscritas.

Registro de consultas

Se recomienda mantener un registro documental de cada consulta a la lista, con fecha y resultados, como evidencia en caso de inspección o requerimiento por parte de la AEPD.

Formación al personal

El equipo de marketing, atención al cliente y ventas debe ser formado en los nuevos requisitos, especialmente si realiza campañas directas o maneja datos de particulares.

Evaluación de impacto

En campañas de gran alcance, puede ser útil realizar una Evaluación de Impacto en Protección de Datos (DPIA) para identificar riesgos y adoptar medidas preventivas.

¿Qué riesgos hay por ignorar la Lista Stop Publicidad?

La infracción del deber de exclusión de personas inscritas en la Lista Stop Publicidad puede conllevar sanciones administrativas impuestas por la AEPD. Las multas, según el RGPD, pueden llegar hasta los 20 millones de euros o el 4 % del volumen de negocio global anual, dependiendo de la gravedad y persistencia de la infracción.

Además, el incumplimiento afecta negativamente a la imagen corporativa, la confianza del consumidor y la reputación digital de la marca.

¿Qué beneficios aporta cumplir con esta obligación?

Aunque pueda parecer una traba operativa, la correcta gestión de exclusiones publicitarias tiene beneficios importantes para la empresa:

• Mejora de la segmentación: al eliminar a los usuarios no interesados, se optimiza el retorno de las campañas.
• Cumplimiento normativo: evita sanciones y mejora la postura de cumplimiento ante auditorías.
• Confianza y transparencia: se refuerza la percepción positiva por parte del cliente, al respetar sus derechos.
• Reducción de quejas: disminuye la probabilidad de reclamaciones ante la AEPD.

¿Dónde se puede consultar la Lista Stop Publicidad?

La lista está disponible en la sede electrónica de la AEPD y también se puede acceder a través de la web oficial de la Asociación Española para la Privacidad Digital.

Empresas, agencias y entidades con fines comerciales pueden realizar consultas automatizadas o por lotes, cumpliendo con los procedimientos establecidos por la plataforma.

Lista Stop Publicidad: implicaciones clave para el marketing responsable

La entrada en vigor de esta lista representa un paso más hacia una publicidad ética, transparente y respetuosa con los derechos de los ciudadanos. A partir de ahora, la comunicación comercial en España deberá ajustarse a este nuevo estándar, alineado con los principios del RGPD europeo.

Preguntas frecuentes

¿La Lista Stop Publicidad es obligatoria para todas las empresas?
Sí, cualquier empresa que envíe publicidad a particulares debe consultarla y respetarla, sin importar su tamaño o sector.

¿Qué ocurre si ignoro esta lista y sigo enviando publicidad?
Puedes enfrentarte a sanciones por parte de la AEPD y a reclamaciones por parte de los afectados.

¿La lista aplica también a comunicaciones informativas?
No. Solo se aplica a comunicaciones de naturaleza comercial o publicitaria. Las informativas o necesarias para la prestación del servicio están excluidas.

¿Cada cuánto debo consultar la lista?
Se recomienda hacerlo al menos cada 30 días, aunque lo ideal es integrarlo en los procesos automáticos de validación de datos.

¿Qué pasa si contrato una agencia externa para mis campañas?
La responsabilidad sigue siendo de tu empresa. Debes asegurarte de que el proveedor también cumple con esta obligación.

¿Está relacionada esta lista con el sistema de derechos ARCO?
No directamente, pero se enmarca en el mismo espíritu de protección de derechos y control de los datos personales.

Desde DataProtectPlushttps://dataprotectplus.com/, te ayudamos a adaptar tus procesos y sistemas a esta nueva obligación. Consúltanos si necesitas apoyo en el cumplimiento normativo o en la integración técnica de estas exclusiones publicitarias.

CEO Data Protect Plus

Sylvia Fries

Fuente: AEPD

La entrada La Lista Stop Publicidad que toda empresa debe conocer se publicó primero en DataProtectPlus.

Ventajas de la NIS 2 para tu empresa

Mayor Protección de Datos: La NIS 2 obliga a las empresas a implementar medidas de seguridad más robustas, lo que reduce significativamente el riesgo de brechas de seguridad y ataques cibernéticos.

1. Cumplimiento Legal: Al seguir la NIS 2, tu empresa no solo cumple con la normativa vigente, sino que también demuestra su compromiso con la protección de datos y la ciberseguridad.
2. Reputación Mejorada: Cumplir con la NIS 2 puede mejorar la reputación de tu empresa, mostrando a clientes y socios que tomas la seguridad de sus datos en serio.
3. Reducción de Sanciones: La NIS 2 endurece las sanciones en caso de incumplimiento, pero también proporciona una guía clara para evitarlas.

¿Qué sectores están afectados por la normativa?

La Directiva NIS 2 afecta a una amplia gama de sectores considerados críticos para la infraestructura y seguridad de la Unión Europea. Estos sectores se dividen en dos categorías principales: sectores esenciales y sectores importantes.

Sectores Esenciales (altamente críticos)

1. Energético: Incluye la producción, distribución y suministro de energía.
2. Transporte: Incluye transporte aéreo, ferroviario, marítimo y por carretera.
3. Finanzas, Banca y mercados financieros: Instituciones financieras y servicios relacionados.
4. Sanitario: Parte del sector sanitario, como hospitales y clínicas, así como fabricación de material sanitario.
5. Agua potable y Residuales: Organizaciones encargadas de la gestión de aguas potables y residuales.
6. Infraestructuras Digitales: Servicios y redes críticos para la infraestructura digital.
7. Gestión TIC (B2B): Servicios de gestión de tecnologías de la información y la comunicación.
8. Administraciones públicas: Entidades de la Administración pública, con exclusión del poder judicial, los parlamentos y los bancos centrales.
9. Espacial: Organizaciones del sector espacial.

Sectores Importantes (sectores críticos)

1. Mensajería: Servicios postales y de mensajería.
2. Residuos: Gestión de residuos.
3. Seguros: Empresas de seguros y reaseguros.
4. Telecomunicaciones: Proveedores de servicios de telecomunicaciones.
5. Sector de la Automoción: Fabricantes y distribuidores de vehículos.
6. Manufactura: Sectores de manufactura crítica.
7. Agricultura y Alimentación: Producción y distribución de alimentos.
8. Sector de la Salud: Además del sector sanitario, también incluye la industria farmacéutica.
9. Educación: Instituciones educativas y de investigación.
10. Cultura: Instituciones culturales y de medios de comunicación.

Descarga la tabla con toda la información aquí.

Estos sectores deben cumplir con las obligaciones establecidas por la NIS 2, que incluyen la gestión de riesgos de ciberseguridad, la notificación de incidentes significativos y la implementación de medidas técnicas, operativas y organizativas para proteger sus sistemas y datos.

¿Cómo Data Protect Plus puede ayudarte?

En Data Protect Plus, ofrecemos servicios integrales de consultoría para asegurar que tu empresa cumple con la NIS 2 y otras normativas de protección de datos. Nuestro equipo de expertos te guiará a través del proceso de cumplimiento, ayudándote a implementar las medidas necesarias y a mantener la seguridad de tus datos.

Para ello contamos con nuestra solución CYBERNIS.EU, que reúne empresas altamente cualificadas del sector de datos para dar cumplimiento a la normativa NIS 2.

Solicita más información en este link: NIS 2

Byline: CEO Data Protect Plus

La entrada ¿Qué es la NIS 2 y qué empresas necesitan cumplir con esta normativa? se publicó primero en DataProtectPlus.

Siguen las ofertas irresistibles para implantar auditorías y servicios de Protección de Datos a través de cursos bonificados, de forma gratuita o casi gratuito. Si bien por ignorancia o por ganas de pagar lo menos posible, muchos caen en la trampa: es una estafa que sale cara si nos pilla una revisión. Y de esas hay muchas, constantemente. En definitivo, el servicio gratuito no existe.

Servicio gratuito de Protección de Datos

La Fundación Tripartita para la Formación en el Empleo ha emitido una nota informativa sobre la utilización de bonificaciones para la Ley Orgánica de Protección de Datos (LOPD). En esta nota, se advierte a las empresas y consultores que gestionan formación para el empleo sobre ciertas prácticas relacionadas con los servicios de implantación, auditoría y asesoría jurídica en materia de protección de datos personales.

Aquí están los puntos clave de la nota:

1. Entidades Gratuitas: Se alerta sobre la existencia de entidades que ofrecen servicios gratuitos en el ámbito de la LOPD. Estos servicios incluyen la implantación, auditoría y asesoría jurídica en protección de datos personales. Sin embargo, estas entidades financian estos servicios utilizando el crédito asignado para la formación, lo que puede considerarse un fraude.
2. Crédito Destinado a Formación: El Real Decreto 395/2007 y la Orden Ministerial 2307/2007. Establece que el crédito asignado está destinado exclusivamente a la realización de acciones formativas y permisos individuales de formación para los trabajadores.
3. Comprobación y Control: La Fundación Tripartita ha iniciado un proceso de comprobación de los hechos y ha implementado mecanismos de control. Por lo tanto, verifican las bonificaciones practicadas. El objetivo es evitar que las empresas beneficiarias se vean involucradas en errores y tengan que devolver las cuantías bonificadas.
4. Responsabilidad de las Empresas: Las empresas que se bonifiquen por la contratación de servicios de implantación, auditoría y asesoría jurídica en materia de LOPD deben devolver los importes correspondientes. Además, deben atenerse a las actuaciones pertinentes del Servicio Público de Empleo Estatal y la Inspección de Trabajo y Seguridad Social.
5. Llamamiento a los Usuarios: La Fundación Tripartita hace un llamamiento a todos los usuarios para que, en caso de recibir ofertas similares, contacten con el servicio al cliente de la Fundación mediante su formulario de contacto.

Por cierto:

Ya lo decían nuestros abuelos: lo barato sale caro.

Para más información, contáctanos aquí.

CEO DATA PROTECT PLUS

Sylvia Fries

La entrada El servicio gratuito de Protección de Datos no existe. se publicó primero en DataProtectPlus.

El Instituto Nacional de Ciberseguridad (Incibe) ha detectado un aumento de las llamadas de alerta por estafas de suplantación de identidad bancaria. En estas estafas, los timadores usurpan el número de teléfono oficial del banco y solicitan a la víctima que realice una serie de movimientos. Normalmente alegan que se trata de un problema de seguridad. Si la víctima acepta, puede perder varios miles de euros en pocos minutos.

¿Cuáles son las modalidades de estafa más frecuentes?

El Incibe ha identificado tres modalidades distintas de esta estafa:

1. Solicitud de códigos: Los atacantes piden a la víctima que proporcione unos códigos enviados a través de la app oficial del banco. Estos, en realidad, sirven para autorizar movimientos que ella no ha realizado.
2. Acceso a la app bancaria: Los timadores solicitan accesos a la app de la entidad bancaria para poder manejarla a su antojo.
3. Transferencias a un depósito “seguro”: Los ciberdelincuentes piden a la víctima que realice transferencias a un depósito “seguro” que han abierto a su nombre.

Estos son solo algunos ejemplos de las modalidades utilizadas por los estafadores. Es importante estar alerta y desconfiar de cualquier solicitud inusual o sospechosa por parte del banco.

Recuerde que los bancos nunca solicitarán información confidencial o realizarán movimientos a través de llamadas telefónicas.

¿Cuál es el público objetivo de estas estafas bancarias?

El público objetivo para las estafas bancarias es muy amplio y puede incluir a cualquier persona que tenga una cuenta bancaria o que realice transacciones financieras en línea. Los delincuentes cibernéticos utilizan diversas técnicas, como el phishing, para engañar a las personas y obtener información confidencial. Solicitan contraseñas y números de tarjetas de crédito, así como confirmación de datos personales. 

Es importante que los clientes bancarios estén al tanto de estas técnicas fraudulentas y tomen medidas para proteger su información personal.

Si sospecha de haber sido víctima de una estafa bancaria, recomendamos comunicarlo de forma inmediata a su entidad para que tomen las medidas necesarias para proteger su cuenta.

¿Cómo podemos prevenir la estafa por suplantación de identidad?

Para prevenir una estafa bancaria, es importante que los usuarios de servicios financieros tomen medidas para proteger su información personal. Aquí hay algunos consejos que pueden ayudar:

1. Mantener la información personal segura: No comparta información personal, como contraseñas o números de tarjetas de crédito, con nadie. Asegúrese de que su información personal esté protegida en línea y fuera de línea.
2. Mantenerse alerta ante el phishing: Los delincuentes cibernéticos utilizan técnicas de phishing para engañar a las personas y obtener información confidencial. Asegúrese de no hacer clic en enlaces sospechosos o descargar archivos adjuntos de correos electrónicos desconocidos.
3. Mantenerse actualizado sobre las últimas técnicas de estafa: Los delincuentes cibernéticos están siempre buscando nuevas formas de engañar a las personas. Manténgase informado sobre las últimas técnicas de estafa y tome medidas para protegerse.
4. Mantenerse alerta ante los cargos no autorizados: Revise regularmente sus estados de cuenta bancarios y tarjetas de crédito para detectar cargos no autorizados.
5. Comunicarse con su banco inmediatamente si sospecha que ha sido víctima de una estafa bancaria: Si sospecha que ha sido víctima de una estafa bancaria, es importante que se comunique con su banco inmediatamente para informarles del incidente y tomar medidas para proteger su cuenta.

Fuente. El País.

CEO DATA PROTECT PLUS®

Sylvia Fries

La entrada Estafas por suplantación de identidad bancaria se publicó primero en DataProtectPlus.

El artículo 58bis de la LOREG establece que los partidos  políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público. Por ende, el proceso electoral y mis datos están relacionados para la realización de actividades políticas durante el periodo electoral.

Estas actividades identificarán de modo destacado su naturaleza electoral, facilitándose al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición. Si ha recibido una de estas comunicaciones por correo electrónico y no desea recibir otras posteriores de la misma formación política debe oponerse a través del procedimiento indicado en la comunicación. Si tiene dificultades puede ponerse en contacto con el Delegado de Protección de Datos (DPD) de la formación política remitente.

¿Cómo evitar la recolección de datos  y el spam  político en la campaña electoral?

Inmersos en la campaña para las próximas elecciones generales a las que seguirá la de las municipales, autonómicas y europeas, los partidos ultiman sus mecanismos de propaganda. Su intención es hacer que su mensaje llegue a los votantes. Sin embargo, iniciativas oficiales y particulares buscan establecer garantías y herramientas para evitar estos envíos. También se intenta limitar el uso que los partidos puedan hacer de las redes sociales y las herramientas de análisis de Big Data para hacer perfiles del votante.

Pasos para no recibir propaganda electoral de ningún partido.

Los ciudadanos que quieran bloquear el envío de propaganda electoral tipo pasquines, folletos y demás documentos de cualquier partido político podrán tramitarlo online en la Sede electrónica del Instituto Nacional de Estadística (INE). Para ello el solicitante deberá tener un certificado electrónico válido o gestionarlo mediante el sistema Cl@ve. La Agencia Tributaria recomienda utilizar la App Cl@ve PIN en el móvil para obtener un PIN y código con el fin de iniciar el procedimiento

Más información relacionada

El Gobierno de Navarra, ha puesto en marcha una  página web sobre las Elecciones de 2023. El fin es poner a disposición de la ciudadanía toda la información relativa a los comicios de Municipios, Concejos y al Parlamento de Navarra que se celebran el próximo 28 de mayo. En la misma, se informará de los diferentes procedimientos y trámites que se vayan efectuando y se dará cuenta de los resultados electorales una vez se efectúe el escrutinio.

Así, la web incluye diferentes secciones para cada una de estas citas electorales y otros apartados dónde se explican cuestiones sobre la organización y funcionamiento. Así mismo, cuenta con un repositorio de Noticias donde se recopilan las comunicaciones efectuadas por el Gobierno de Navarra. Dispone de un calendario con las fechas más importantes que la ciudadanía debe tener en cuenta para ejercer su derecho a voto, tales como el plazo para solicitar el voto por correo desde España. 

Eso si, cualquier partido político debe cuidar los datos personales y la protección de datos. No introduzcas datos personales en formularios de páginas web que no informan de forma completa y debida sobre tus derechos. Para más información, puede contactarnos aquí.

CEO.

Sylvia Fries

La entrada PROCESO ELECTORAL Y MIS DATOS se publicó primero en DataProtectPlus.

¿Cesión de datos a terceros, o ceder datos a terceros, qué significa?

¿La cesión de datos a terceros no te afecta? Si tienes un negocio u organización / asociación, tratas con datos personales si quieres o no, o al menos en el 99,9% de los casos, y lo más seguro que la cesión de datos a terceros es un asunto a tratar.

Una excepción puede ser una pequeña tienda que no emite factura y solo cobra en efectivos (un TPV también recoge datos), sin empleados, ni videovigilancia, ni Redes Sociales o página Web, ni cualquier otro medio que pueda recoger datos personales.

Para la cesión de datos personales a terceros, tenemos que distinguir entre dos supuestos:

1. El acceso a datos personales para la prestación de un servicio.

Un ejemplo aquí es una asesoría, que se convierte en Encargado de Tratamiento de los datos de los empleados de todos sus clientes (los responsables del tratamiento de esos datos), tanto empresas como autónomos, asociaciones, federaciones, clubes, etc. Los responsables de los datos determinan en cualquier caso el tratamiento que pueda realizar la asesoría sobre dichos datos.

La base jurídica para el acceso a datos personales en este caso puede ser:

Ahora bien, para ceder datos de forma lícita su negocio deberá contar con el consentimiento previo, específico e inequívoco de los titulares de dichos datos.

• Que la cesión sea necesaria para la ejecución o desarrollo de una relación contractual.
• Que constituya una obligación legal para el cedente.
• Que obedezca a intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.
• Que sirva para salvaguardar el interés vital del interesado o de otras personas.

• La cesión de datos en el propio sentido de la palabra. Aquí cabe destacar que el tercero que recibe los datos puede aplicar sus propias finalidades, decidiendo sobre el objeto y finalidad del tratamiento.

Un ejemplo aquí es un sorteo de forma digital, cuyo acceso está sujeto a varios consentimientos para la participación. Uno de ellos es la aprobación de la política de privacidad (donde se debe recoger toda información sobre responsables, findes de tratamiento y posibles cesiones), además de la aprobación voluntaria e inequívoca de envío de publicidad (tanto propia como por terceros) y cualquier otro tratamiento o cesión previsto, bajo su aprobación por el usuario.

El mismo principio de cesión de datos, definido para el Ciudadano, sería el derecho a la portabilidad de sus datos

La finalidad de este nuevo derecho es reforzar aún más el control de tus datos personales, de forma que cuando el tratamiento se efectúe por medios automatizados, recibas tus datos personales en un formato estructurado, de uso común, de lectura mecánica e interoperable, y puedas transmitirlos a otro responsable del tratamiento, siempre que el tratamiento se legitime en base al consentimiento o en el marco de la ejecución de un contrato.

No obstante, este derecho, por su propia naturaleza, no se puede aplicar cuando el tratamiento sea necesario para el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos conferidos al responsable.

Más información sobre los derechos del Ciudadano en la guía de la AEPD .

En caso de actuar de forma correcta, las multas dependen de la gravedad de la infracción, como muestra el siguiente ejemplo, que es un claro ejemplo de cesión de datos a terceros sin el consentimiento de la persona correspondiente.

Infracción Art. 6 (1) GDPR, Art. 15 GDPR  

¿Qué lo que indica la AEPD sobre el acceso a datos personales?

“Artículo 2.4. Consentimiento de los interesados

El RGPD requiere que el consentimiento sea “inequívoco”, lo que supone que se preste mediante una manifestación del interesado o mediante una clara acción afirmativa. Esto excluye la utilización del llamado consentimiento tácito, que permitía la normativa española de protección de datos. Así, no se consideran formas válidas de obtener el consentimiento el uso de casillas ya marcadas o la inacción. En cambio, sí son acordes al RGPD, la utilización de una declaración por escrito, o la marcación de casillas en un sitio web de internet. El consentimiento en el marco del RGPD se caracteriza por lo siguiente:

• Puede ser para uno o varios fines.
• Debe ser prestado de forma libre.
• Revocable.
• El responsable debe poder probar en todo momento que ha obtenido el consentimiento.
• Utilizar un lenguaje claro y sencillo.

Por otra parte, también debe ser tenido en cuenta lo siguiente:

• Si se usa para obtenerlo una declaración escrita, debe quedar claramente diferenciada la parte referente a protección de datos del resto de declaraciones.
• Si se recaba el consentimiento para varias finalidades:
  • Sería posible agruparlas en virtud de su vinculación (por ejemplo, consentimiento para la recepción de publicidad propia o de terceros).
  • Pero deberían desagregarse cuando los tratamientos impliquen conductas distintas (por ejemplo, tratamiento por quien recaba los datos y cesión a terceros).”

Para más información al respecto, contacte con nuestros técnicos.

Fuente:

https://www.aepd.es/es/preguntas-frecuentes/1-tus-derechos

https://www.aepd.es/es

Sylvia Fries – CEO de Data Protect Plus®

Sylvia Fries

La entrada Cesión de datos personales y sus bases legales se publicó primero en DataProtectPlus.

Aunque bien es cierto, que muchos trabajadores por cuenta propia todavía dudan o tardan en incluir la APP en sus actividades por no saber cumplir correctamente con la ley de protección de datos.

Actualmente, la aplicación cuenta con más de 2.000 millones de usuarios activos, para hacer crecer el negocio, como herramienta útil para contactar con clientes y trabajadores.  La versión Whatsapp Business solo tiene 4 años, y fue introducida  como una versión dirigida a los negocios con funcionalidades concretas que faciliten el desarrollo de una actividad profesional.

Para su correcta utilización, se deben tener en cuenta cinco cuestiones fundamentales:

• El responsable del grupo deberá utilizar dispositivos seguros. Nadie, salvo que se haya firmado previamente un acuerdo de confidencialidad, podrá interactuar con el grupo.
• Se deberá formar a los miembros de la organización sobre el correcto tratamiento de los datos personales de los clientes. Lo mismo se refiere al uso adecuado de los grupos internos del negocio.
• En el caso de que un usuario quiera ejercer sus derechos, se contactará con Whatsapp para informar sobre el derecho que se desea ejercer. Se pondrá en copia a la persona interesada.
• A través de un Análisis de Riesgo, se deberán evaluar los riesgos para la protección de datos que implica la utilización de la aplicación antes de implementar su uso.
• Se deberán establecer medidas técnicas y organizativas para que el uso de Whatsapp Business sea lo más seguro posible.

Con el fin de que un autónomo utilice correctamente la aplicación Whatsapp Business dentro de la legalidad y evite una sanción económica que podría llegar a ser muy importante, debe cumplir con lo dispuesto en el Reglamento (UE) 2018/679 (RGPD) y la Ley Orgánica 3/2018 de protección de datos personales y garantía de los derechos digitales (LOPDGDD).

Por lo tanto, estos cinco consejos para el correcto uso de Whatsapp Business son fundamentales para no incurrir reclamaciones y/o sanciones.

Si necesitas más información, consúltanos y resolveremos todas tus dudas aquí.

Fuente: Autónomos y Emprendedor

CEO.

Sylvia Fries

La entrada Cinco consejos para WhatsApp Business se publicó primero en DataProtectPlus.