En el mundo empresarial, los detalles importan. Y cuando se trata de la protección de datos personales, un error puede costar muy caro. La reciente sanción de 70.000 euros a LVMH Iberia por añadir a una trabajadora a un grupo de WhatsApp de empresa usando su móvil personal sin consentimiento previo es un claro ejemplo.

El problema del uso de móviles personales en el trabajo

Muchas PYMEs, por falta de recursos o desconocimiento, recurren a los teléfonos personales de sus empleados para comunicaciones internas o con clientes. Esta práctica, aunque común, vulnera el Reglamento General de Protección de Datos (RGPD) y el derecho a la desconexión digital.

La sanción de la AEPD y sus consecuencias para empresas

La AEPD dejó claro que usar el número personal de un empleado sin consentimiento es un tratamiento ilícito de datos. Además, interrumpir sus vacaciones añadiéndolo a un grupo de WhatsApp laboral violó su derecho a la desconexión.

¿El resultado? Una sanción de 70.000 euros que, tras reducciones, quedó en 42.000 €. Un importe que podría poner en riesgo la estabilidad de muchas PYMEs.

Soluciones prácticas para cumplir con el RGPD

En DataProtectPlus ayudamos a tu PYME a evitar sanciones gracias a:

Auditorías de cumplimiento RGPD adaptadas a tu negocio.
Protocolos internos claros sobre el uso de dispositivos y canales de comunicación.
Formación a empleados para prevenir riesgos legales.
Soporte legal y técnico continuo para garantizar la tranquilidad de tu empresa.

Proteger los datos personales de tus empleados no es solo una obligación legal, es una forma de cuidar la confianza y la reputación de tu empresa.

¿Quieres blindar tu PYME frente a sanciones de la AEPD?

Añade valor a tu marca, para empleados y clientes:

Contacta con DataProtectPlus y evita que un simple grupo de WhatsApp se convierta en un problema de 70.000€.

CEO Data Protect Plus ®

Sylvia Fries

La entrada Sanción AEPD por WhatsApp en empresas: protege tu PYME se publicó primero en DataProtectPlus.

Lo que necesitas saber sobre el registro laboral en 2025

La nueva ley de registro laboral en España, que entrará en vigor en 2025, introduce importantes cambios que todas las empresas deben tener en cuenta para cumplir con las nuevas obligaciones y evitar sanciones.

Nuevas Obligaciones

Registro Digital Obligatorio: Todas las empresas deberán implementar un sistema de registro digital para controlar las horas de trabajo de sus empleados.

Accesibilidad y Transparencia: El sistema de registro debe ser accesible para cada trabajador, sus representantes y la Inspección de Trabajo, permitiendo el acceso remoto.

Control de Horas Extra: Se busca evitar la proliferación de horas extraordinarias ilegales e impagadas mediante un control más estricto.

Fechas Clave

Mediados de 2025: Se espera que la ley esté completamente implantada para el verano de 2025.

Consecuencias de Incumplimiento para las empresas

Multas Elevadas: Las sanciones por no cumplir con el registro digital pueden alcanzar hasta los 7.500 euros por trabajador.

Inspecciones Rigurosas: La Inspección de Trabajo tendrá la capacidad de revisar los registros en tiempo real, lo que aumentará la probabilidad de detectar incumplimientos. Esto significa que las empresas estarán bajo un escrutinio constante, aumentando la probabilidad de detectar incumplimientos.

Problemas Legales: Además de las multas, las empresas pueden enfrentarse a problemas legales adicionales, incluyendo demandas por parte de empleados que no reciban el pago adecuado por sus horas trabajadas.

Consecuencias de Incumplimiento para los empleados

Advertencias y Sanciones: Inicialmente, el trabajador puede recibir advertencias por parte de la empresa. Si el incumplimiento persiste, la empresa puede imponer sanciones disciplinarias, que pueden incluir desde amonestaciones hasta suspensiones.

Despido: En casos de desobediencia reiterada o incumplimiento grave, el trabajador puede enfrentarse al despido. Esto está contemplado en el artículo 58 del Estatuto de los Trabajadores.

Pérdida de Beneficios: El incumplimiento de la normativa puede llevar a la pérdida de ciertos beneficios laborales, como bonificaciones o incentivos que estén vinculados al cumplimiento de horarios y registros.

Impacto en la Evaluación del Rendimiento: El incumplimiento puede afectar negativamente la evaluación del rendimiento del trabajador, lo que podría influir en futuras promociones o incrementos salariales.

¿Quién tiene que cumplir con el registro?

Empleados: Todos los trabajadores por cuenta ajena deben registrar sus horas de trabajo, incluyendo las horas de inicio y finalización de la jornada, así como las pausas y descansos.

Empresas con Empleados: Todas las empresas que tengan empleados, sin importar el número de trabajadores, deben implementar un sistema de registro horario.

Socios Trabajadores: En el caso de cooperativas y sociedades laborales, los socios trabajadores también están obligados a registrar sus horas de trabajo. Esto se debe a que, aunque sea autónomo, al tener una nómina y estar vinculado a una empresa, se le considera un trabajador por cuenta ajena en ese contexto. Por lo tanto, debe registrar sus horas de trabajo de acuerdo con la nueva ley.

Autónomos con Empleados: Los trabajadores autónomos que tengan empleados a su cargo deben asegurarse de que estos cumplan con la normativa de registro horario.

Excepciones

Autónomos sin Empleados: Los trabajadores autónomos que no tienen empleados no están obligados a llevar un registro horario de su propia jornada laboral.

¿Y cómo afecta a los datos personales y los tratamientos de los mismos?

Uso Proporcional: Los datos de geolocalización deben ceñirse exclusivamente al horario laboral y ser necesarios para la actividad de la empresa. La finalidad del uso de la geolocalización debe estar claramente definida y ser proporcional a las necesidades de la empresa.

Información Previa: La empresa debe informar de manera expresa, clara e inequívoca a los trabajadores sobre la existencia y características de los dispositivos de geolocalización.

Consentimiento: No es necesario el consentimiento del trabajador, pero sí es obligatorio informarles previamente.

Derechos de los Trabajadores: Los trabajadores tienen derecho a conocer quién dispone de sus datos personales y a qué uso se someten, así como a ejercer sus derechos de acceso, rectificación, limitación del tratamiento y supresión. La geolocalización debe respetar el derecho a la intimidad de los trabajadores y no puede utilizarse fuera del horario laboral sin una justificación adecuada.

¿Necesitas una APP que cumpla con todos los requisitos?

¡La tenemos! Solo tienes que pedir información aquí.

CEO Data Protect Plus®

Sylvia Fries

La entrada Nueva Ley de Registro Laboral en España: A quién afecta y cómo. se publicó primero en DataProtectPlus.

La Huella Dactilar en el Trabajo: ¿Qué dice el RGPD?

En la era digital, la ciberseguridad y la protección de datos son fundamentales para cualquier empresa, especialmente para las pequeñas y medianas empresas (PYME) que están en proceso de digitalización. Una de las tecnologías emergentes en el ámbito laboral es el uso de la huella dactilar para la identificación de trabajadores. Sin embargo, su implementación debe estar en estricta conformidad con el Reglamento General de Protección de Datos (RGPD).

Consentimiento y Transparencia: Pilares del Uso de Datos Biométricos como la huella

El RGPD establece directrices claras para el tratamiento de datos personales, y los datos biométricos, como las huellas dactilares, requieren una atención especial debido a su naturaleza sensible. Para que las PYME utilicen estas tecnologías de forma segura y legal, es esencial obtener el consentimiento explícito de los trabajadores y asegurarse de que exista una finalidad legítima para su uso.

Evaluación de Impacto en la Protección de Datos: Un Paso Crucial

Además, es crucial realizar una evaluación de impacto sobre la protección de datos para identificar posibles riesgos y establecer medidas de seguridad adecuadas. Estas medidas no solo protegen la información sensible de los empleados, sino que también salvaguardan la reputación de la empresa y evitan posibles sanciones legales.

Implementando Medidas de Seguridad Robustas para Datos Sensibles como huella dactilar, según regula la AEPD

La Agencia Española de Protección de Datos (AEPD) ha emitido resoluciones que clarifican cómo debe tratarse la huella dactilar en el entorno laboral. En una resolución, la AEPD enfatiza que la huella dactilar debe ser considerada como un dato biométrico. Por tanto, es una categoría especial según el RGPD. Esto implica que su tratamiento está sujeto a restricciones adicionales para garantizar la protección de los derechos de los individuos.

El Artículo 9.1 del RGPD: Este artículo prohíbe el tratamiento de datos personales que revelen datos biométricos dirigidos a identificar de manera unívoca a una persona física, a menos que se cumplan ciertas condiciones. Esto significa que las empresas deben tener una base legal sólida para procesar datos biométricos, como el consentimiento explícito y voluntario del trabajador.

La AEPD ha publicado una guía sobre protección de datos y relaciones laborales que ofrece orientación práctica para las organizaciones. Esta guía aborda temas como el registro de la jornada laboral y el uso de tecnologías de control, incluyendo la identificación biométrica. La guía también detalla los principios de minimización y los límites al tratamiento de datos en los procesos de selección y contratación de personal. Esta guía ha sido modificada, según la guía de control publicada en noviembre 2023.

Antes de implementar sistemas de identificación biométrica, las empresas deben realizar una evaluación de impacto sobre la protección de datos para identificar y mitigar los riesgos asociados al tratamiento de datos biométricos.

Es fundamental que las empresas implementen medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales, incluyendo los datos biométricos.

Derecho a la Información: El RGPD establece que los trabajadores tienen derecho a ser informados sobre el tratamiento de sus datos personales. En el caso de huella dactilar como medio de identificación de “categoría especial de información personal”, hay que tener muy claro dónde se guarda la información y qué tratamientos se realizan realmente, e informar al trabajador sobre ello para su consentimiento.

conclusión

Para poder utilizar la huella dactilar en tu empresa de acuerdo con el RGPD, debes tener en cuenta los siguientes términos y obligaciones:

1. Consentimiento de los interesados: Es necesario recabar el consentimiento expreso de los trabajadores para poder llevar a cabo el tratamiento de sus datos biométricos.
2. Base legitimadora: Si el consentimiento no es la base para el uso de la huella dactilar, se debe contar con alguna de las excepciones del artículo 6.1 y 9.2 del RGPD.
3. Deber de información: Debes proporcionar a los trabajadores toda la información relativa al tratamiento de sus datos personales, según lo establecido en los artículos 13 y 14 del RGPD y el artículo 11 de la LOPDGDD.
4. Cumplimiento de los principios de necesidad, idoneidad y proporcionalidad: La recogida de la huella dactilar debe ser para fines determinados, proporcionales y no excesivos. Además, estos datos no pueden utilizarse para realizar tratamientos distintos a aquellos para los que el interesado prestó su consentimiento.
5. Medidas de seguridad: Implementar medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales, incluyendo los datos biométricos.
6. Evaluación de impacto: Realizar una evaluación de impacto sobre la protección de datos para identificar y mitigar los riesgos asociados al tratamiento de datos biométricos.
7. Registro de actividades de tratamiento: Incluir el uso de la huella dactilar en el registro de actividades de tratamiento.

Es importante que sigas estos términos para asegurar que el uso de la huella dactilar en tu empresa cumple con la normativa vigente y protege los derechos de tus trabajadores. Para una implementación adecuada y conforme a la ley, se recomienda buscar asesoramiento legal profesional.

¿Está su PYME preparada para la era de la identificación biométrica? Contáctenos para una consultoría personalizada y asegúrese de que su empresa cumple con el RGPD.

La entrada El Uso de la Huella Dactilar y el RGPD se publicó primero en DataProtectPlus.

El Instituto Nacional de Ciberseguridad (Incibe) ha detectado un aumento de las llamadas de alerta por estafas de suplantación de identidad bancaria. En estas estafas, los timadores usurpan el número de teléfono oficial del banco y solicitan a la víctima que realice una serie de movimientos. Normalmente alegan que se trata de un problema de seguridad. Si la víctima acepta, puede perder varios miles de euros en pocos minutos.

¿Cuáles son las modalidades de estafa más frecuentes?

El Incibe ha identificado tres modalidades distintas de esta estafa:

1. Solicitud de códigos: Los atacantes piden a la víctima que proporcione unos códigos enviados a través de la app oficial del banco. Estos, en realidad, sirven para autorizar movimientos que ella no ha realizado.
2. Acceso a la app bancaria: Los timadores solicitan accesos a la app de la entidad bancaria para poder manejarla a su antojo.
3. Transferencias a un depósito “seguro”: Los ciberdelincuentes piden a la víctima que realice transferencias a un depósito “seguro” que han abierto a su nombre.

Estos son solo algunos ejemplos de las modalidades utilizadas por los estafadores. Es importante estar alerta y desconfiar de cualquier solicitud inusual o sospechosa por parte del banco.

Recuerde que los bancos nunca solicitarán información confidencial o realizarán movimientos a través de llamadas telefónicas.

¿Cuál es el público objetivo de estas estafas bancarias?

El público objetivo para las estafas bancarias es muy amplio y puede incluir a cualquier persona que tenga una cuenta bancaria o que realice transacciones financieras en línea. Los delincuentes cibernéticos utilizan diversas técnicas, como el phishing, para engañar a las personas y obtener información confidencial. Solicitan contraseñas y números de tarjetas de crédito, así como confirmación de datos personales. 

Es importante que los clientes bancarios estén al tanto de estas técnicas fraudulentas y tomen medidas para proteger su información personal.

Si sospecha de haber sido víctima de una estafa bancaria, recomendamos comunicarlo de forma inmediata a su entidad para que tomen las medidas necesarias para proteger su cuenta.

¿Cómo podemos prevenir la estafa por suplantación de identidad?

Para prevenir una estafa bancaria, es importante que los usuarios de servicios financieros tomen medidas para proteger su información personal. Aquí hay algunos consejos que pueden ayudar:

1. Mantener la información personal segura: No comparta información personal, como contraseñas o números de tarjetas de crédito, con nadie. Asegúrese de que su información personal esté protegida en línea y fuera de línea.
2. Mantenerse alerta ante el phishing: Los delincuentes cibernéticos utilizan técnicas de phishing para engañar a las personas y obtener información confidencial. Asegúrese de no hacer clic en enlaces sospechosos o descargar archivos adjuntos de correos electrónicos desconocidos.
3. Mantenerse actualizado sobre las últimas técnicas de estafa: Los delincuentes cibernéticos están siempre buscando nuevas formas de engañar a las personas. Manténgase informado sobre las últimas técnicas de estafa y tome medidas para protegerse.
4. Mantenerse alerta ante los cargos no autorizados: Revise regularmente sus estados de cuenta bancarios y tarjetas de crédito para detectar cargos no autorizados.
5. Comunicarse con su banco inmediatamente si sospecha que ha sido víctima de una estafa bancaria: Si sospecha que ha sido víctima de una estafa bancaria, es importante que se comunique con su banco inmediatamente para informarles del incidente y tomar medidas para proteger su cuenta.

Fuente. El País.

CEO DATA PROTECT PLUS®

Sylvia Fries

La entrada Estafas por suplantación de identidad bancaria se publicó primero en DataProtectPlus.

El protocolo tiene por objeto definir unas pautas que permitan identificar y resolver una situación de acoso en el negocio, ya sea moral, sexual o por razón de sexo. El fin es solventar una situación discriminatoria, procurando, en todo momento, garantizar los derechos de las víctimas.

Este tema sigue siendo un gran desconocido desde hace años, pero TODOS los empleadores están obligados a disponer de un protocolo de acoso laboral. El plan que instauró el Ministerio de Igualdad tiene que recoger tanto las medidas para la prevención del acoso como los procedimientos que se llevarán a cabo en caso de producirse esta situación de acoso en el puesto de trabajo.

La normativa define el acoso sexual como cualquier comportamiento, verbal o físico, de naturaleza sexual que sea indeseado por parte de la persona objeto de dicho comportamiento. Todo ello con el propósito o produzca el efecto de atentar contra la dignidad de una persona. En particular, se aplica cuando se crea un entorno intimidatorio, degradante u ofensivo, mediante actitudes, manifestaciones o comentarios inapropiados independientemente del ámbito laboral en el que se encuentre.

Definición de acoso laboral

Últimamente, la Inspección de Trabajo lleva a cabo más inspecciones para comprobar que las empresas cuentan con dicho protocolo conforme a las exigencias de la normativa. La importancia del protocolo de acoso laboral es tal que aparece tanto en el Estatuto de los Trabajadores (artículo 4) como en la Ley Orgánica 3/2007 para la igualdad efectiva entre mujeres y hombres (artículos 45 y 48).

En el caso de no tener el protocolo en vigor, las sanciones que pueden imponerse a las empresas varían en función de la gravedad de la infracción. De acuerdo a la Ley de Infracciones y Sanciones, estas quedarían así:

• Multas de 7.501 a 30.000 euros para infracciones leves
• Multas de 30.001 a 120.005 euros para infracciones graves
• Multas de 120.006 a 225.018 euros para infracciones muy graves

Esto son sólo sanciones administrativas, pero, según los abogados expertos en la materia, si el caso llega a los tribunales, habría que sumar las multas impuestas por el tribunal a la empresa, si se demuestra que esta no tenía implantado el debido protocolo de acoso laboral obligatorio o el que tenía implantado era insuficiente o ineficiente. Así como la posible indemnización por daños que podría reclamar la víctima.

Tu empresa también puede perder cualquier ayuda o bonificación durante 2 a 6 años, e incluso, que veas suspendidas las que estás tramitando en ese momento.

¿Dudas sobre el Protocolo de actuación contra el acoso laboral? Aquí una serie de preguntas que pueden ser de ayuda:

Preguntas sobre el protocolo de acoso laboral

Cómo es el procedimiento de designación de la comisión o persona instructora

El procedimiento dependerá de si la empresa cuenta o no con un Plan de Igualdad.

En las empresas con más de 50 trabajadores, la comisión instructora estará compuesta por tres personas más un suplente. En cambio, en las empresas con menos de 50 trabajadores, deberá designarse una persona instructora.

La comisión o persona instructora será la encargada de recibir las denuncias o quejas por acoso y dar inicio al protocolo de actuación contra la denuncia recibida.

El periodo para el cambio de miembros dentro de la Comisión Instructora será de cuatro años. En cambio, si se trata de una persona instructora, no se establece un plazo máximo ni mínimo.

Se recomienda que las personas instructoras sean los miembros de recursos humanos.

En caso de que la víctima o denunciado guarde una relación de consanguinidad, amistad íntima o enemistad, se deberá sustituir para evitar una recusación.

¿Es obligatorio disponer de un protocolo de actuación contra el acoso laboral?

La respuesta es SÍ. Contar con un protocolo de acoso laboral es una obligación. Independientemente del tamaño de tu empresa, siempre cuando hay al menos un empleado, deberás contar con un plan de actuación frente a estas situaciones.

Debes tener en cuenta que no solo eres responsable del acoso que puedas ejercer al trabajador. Si el acoso se produce dentro de tu empresa y no se cumple con el protocolo, podría conllevar sanciones a tu entidad.

¿A qué sanción me enfrento si no cuento con un protocolo de acoso laboral?

En el caso de no tener el protocolo en vigor, las sanciones que pueden imponerse a las empresas varían en función de la gravedad de la infracción. De acuerdo a la Ley de Infracciones y Sanciones, estas quedarían así:

• Multas de 7.501 a 30.000 euros para infracciones leves
• Multas de 30.001 a 120.005 euros para infracciones graves
• Multas de 120.006 a 225.018 euros para infracciones muy graves

Esto son sólo sanciones administrativas, pero, según los abogados expertos en la materia, si el caso llega a los tribunales, habría que sumar las multas impuestas por el tribunal a la empresa, si se demuestra que esta no tenía implantado el debido protocolo de acoso laboral obligatorio o el que tenía implantado era insuficiente o ineficiente. Así como la posible indemnización por daños que podría reclamar la víctima.

Tu empresa también puede perder cualquier ayuda o bonificación durante 2 a 6 años, e incluso, que veas suspendidas las que estás tramitando en ese momento.

Si necesitas ayuda con tu protocolo de acoso laboral, pídelo aquí.

CEO Data Protect Plus

Sylvia Fries

La entrada PROTOCOLO DE ACOSO LABORAL ¿OBLIGATORIO? se publicó primero en DataProtectPlus.

Hasta ahora, para evitar llamadas de publicidad, había que inscribirse en la Lista Robinson. Parece mentira en pleno auge de aplicación de políticas de privacidad, pero es así.

Es decir, las empresas de telemarketing están obligadas a consultar la lista y tienen prohibidas realizar llamadas a personas inscritas. A lo contrario se arriesgan a incurrir fuertes multas.

Como usuario también podemos protegernos, gracias a las últimas versiones en Android, donde aparece un escudo si un número es sospechoso o clasificado como Spam.

Llamadas comerciales y la ley

Ahora bien, con la aplicación del artículo 66.1b de la última reforma de la Ley General de Telecomunicaciones, a partir del 30 de junio, estas empresas no podrán llamar para ofrecer absolutamente nada.

En concreto, en la página 147 de la enmienda está la explicación:

Con el fin de proteger en mayor medida los intereses legítimos de los consumidores y usuarios, queda prohibida la realización, por parte de los operadores, de llamadas telefónicas no solicitadas por el consumidor y/o usuario con el objetivo o efecto de promocionar o vender bienes o servicios. No será de aplicación la restricción anterior siempre y cuando exista un consentimiento previo del propio consumidor y/o usuario para recibir comunicaciones comerciales que habilite al propio operador a efectuar las mismas.

Para decirlo más fácilmente: si el usuario no ha dado su consentimiento para recibir las llamadas comerciales, no se le puede llamar.

Solo en el caso de existir una relación contractual, sí que podrían realizarse llamadas. Aunque aquí también hay matices (compañías de seguros, gas, electricidad, teléfono etc) y no todo es blanco y negro. Este tipo de llamadas de publicidad no tendrán los días contados – por el momento.

Existen excepciones para seguir con las llamadas comerciales

Ojo: Si el Call Center está ubicado fuera de España, este cambio nos les afectará y la empresa podría seguir llamando.

Suponemos que algunas empresas aprovecharán este vacío legal, aunque cada vez más limitado, puesto que otros países están ajustando sus políticas de privacidad. Veremos qué lo que pasa, en el transcurso del próximo año, sobre todo en Europa.

Más información | Proyecto de Ley General de Telecomunicaciones

Contacto Data Protect Plus®

La entrada ¿Llamadas de publicidad con los días contados? se publicó primero en DataProtectPlus.

El procedimiento que utilizan estas empresas fraudulentas consiste en llamar a las empresas pidiendo por el responsable para alertarlo sobre las posibles multas que comporta el incumplimiento del RGPD. A continuación, le ofrecen cursos a cargo de estos fondos y le obsequian con una presunta consultoría en Protección de Datos, que suele ser incompleta o inexistente. Sin embargo, la empresa víctima del fraude no sabe que en realidad están solicitando crédito a la FUNDAE para destinarlo a una formación que no aprovechará.

Ejemplo de conversación telefónica:

1. Buenos días, nos ha notificado la oficina de la Seguridad Social de que su empresa no está registrada en la Protección de Datos.
2. ¿Perdón, quién le ha notificado qué?
3. Su empresa no tiene hecha la Protección de Datos, según la Seguridad Social.
4. Ahh, pues, no entiendo lo que tiene que ver la Seguridad Social con esto, ni que exista registro.
5. Si, su CIF nos ha salido como pendiente de registro.
6. Oiga, Señorita, la Seguridad Social no tiene nada que ver con la Protección de Datos, ni existe registro para ello. Por lo tanto, ruego que eliminen nuestros datos de contacto y se abstengan a difundir mentiras. Me quedo con su número y el nombre de su empresa, porque en caso contrario nos veremos obligados a denunciar estos hechos.

Fraude sobre implantación de LOPD a través de la FUNDAE

¿Te ha pasado algo parecido? No existe relación entre la Protección de Datos de una organización y la Seguridad Social, ni existe ningún registro para ello. Es una de las muchas tácticas malintencionadas que usan algunas empresas para vender sus cursos de Protección de Datos a través de la FUNDAE.

Notificación de la FUNDAE por peligro de fraude sobre LOPD

Según puedes ver en este enlace:

https://www.fundae.es/actualidad/noticias/detallenoticia/2019/10/03/utilizaci%C3%B3n-de-bonificaciones-para-lopd—nota-informativa

no se pueden usar los créditos de formación para un servicio de la empresa. Los asesores laborales pueden confirmar que han tenido que lidiar con las devoluciones del crédito y multas debido al mal uso de la bonificación. Es una práctica todavía muy común pero no lícita.

Además, un curso de protección de datos no sustituye el principio de la responsabilidad proactiva para proteger los datos de forma permanente. En otras palabras, implica que si se quiere evitar sanciones económicas hay que cumplir con este principio, ya que no bastará con limitarse a cumplir la normativa. Es necesario demostrar que se están adoptando acciones para prevenir cualquier riesgo. La propia página de la Agencia esgrime una serie de pasos que podrían servir como ejemplos de que se está procediendo de forma diligente.

Consecuencias

Las empresas que contraten servicios de adecuación a la ley de protección de datos o al reglamento general de protección de datos o cualquier otro servicio similar con cargo a las bonificaciones de formación para empleados, estarán realizando un fraude a contra la Seguridad Social y contra la Agencia Tributaria.

• Multa de más de 180.000 euros por fraude a la Seguridad Social
• Multa de la Agencia Tributaria por fraude en el pago de IVA
• Devolución de las bonificaciones “ahorradas”
• Riesgo de un trabajo estándar que no cubra necesidades concretas

No contrates servicios de adecuación gratuitos, a ‘coste cero’ o ‘bonificados’ por subvenciones por fondos a la formación.

Hay que evitar dejarse seducir por falsos profesionales que ofrecen estos servicios y que están perjudicando a profesionales como los de Data Protect Plus que realizamos un trabajo honesto para que nuestros clientes reciban un asesoramiento de calidad. La reputación de su negocio está en juego.

La entrada No existe el RGPD a “coste cero” se publicó primero en DataProtectPlus.

En sentencia de la que ha sido ponente el magistrado Diego Córdoba, la Sala confirma una sanción de 40.000 euros impuesta por la Agencia de Protección de Datos a una empresa distribuidora de productos de telefonía, como responsable de una infracción grave al permitir el acceso no autorizado por parte de terceros a, al menos, 14 solicitudes de financiación en la que figuraban datos personales de los clientes (nombre y apellidos, datos económicos, de domiciliación bancaria y firma).

La Audiencia Nacional confirmó la sanción, y el Supremo admitió el recurso de casación de la empresa para responder a la cuestión de si las infracciones de la Ley de Protección de Datos por fallos de las medidas de seguridad que puedan cometer los empleados de una persona jurídica deben examinarse en atención al resultado y, por lo tanto, imputarse a la persona jurídica de la que dependa el empleado, con independencia de los medios y medidas de prevención que hubiera podido adoptar.

La Sala contesta que la obligación de adoptar las medidas necesarias para garantizar la seguridad de los datos personales no puede considerarse una obligación de resultado, que implique que producida una filtración de datos personales a un tercero exista responsabilidad con independencia de las medidas adoptadas y de la actividad desplegada por el responsable del fichero o del tratamiento.

Añade que “ no basta con diseñar los medios técnicos y organizativos necesarios, también es necesaria su correcta implantación y su utilización de forma apropiada, de modo que también responderá (la empresa) por la falta de la diligencia en su utilización, entendida como una diligencia razonable atendiendo a las circunstancias del caso”.

En el supuesto examinado, el tribunal confirma la sanción a la empresa porque “el programa utilizado para la recogida de los datos de los clientes no contenía ninguna medida de seguridad que permitiese comprobar si la dirección de correo electrónico introducida era real o ficticia y si realmente pertenecía a la persona cuyos datos estaban siendo tratados y prestaba el consentimiento para ello. El estado de la técnica en el momento en el que se produjeron estos hechos permitía establecer medidas destinadas a comprobar la veracidad de la dirección de email, condicionando la continuación del proceso a que el usuario recibiese el contrato en la dirección proporcionada y solo desde ella prestase el consentimiento necesario para su recogida y tratamiento. Medidas que no se adoptaron en este caso”.

Es decir, que en el momento en que se produjeron estos hechos, existían medidas técnicas referidas al proceso de registro, que hubiesen evitado la filtración de datos personales producida. Ello implica que las medidas técnicas adoptadas incumplían las condiciones de seguridad en los términos exigidos.

Por último, la Sala señala que el hecho de que fuese la actuación negligente de una empleada la que provocó la brecha de seguridad no le exime de responsabilidad a la empresa en cuanto encargada de la correcta utilización de las medidas de seguridad que deberían haber garantizado la adecuada utilización del sistema de registro de datos diseñado.

Fuente: Diario de Sevilla

La entrada El Supremo establece que las empresas deben vigilar la efectividad de su política de protección de datos se publicó primero en DataProtectPlus.