PROTECCION DE DATOS (RGPD y LOPDGDD)

Adaptamos todo tipo de entidades a la PROTECCIÓN DE DATOS (RGPD y LOPDGDD) empresas privadas y públicas

ADECUACIÓN WEB Y COMERCIO ELECTRÓNICO (LSSI-CE)

En ARCODATOS nos ocupamos de asesorarle y de confeccionar todos los textos legales que serán necesarios para adaptar su web a la normativa vigente

REGISTRO DE MARCAS Y DOMINIOS

Si usted es un emprendedor invertirá mucho tiempo y dinero en que su empresa destaque en el mercado, llegando un momento en el que su nombre comercial sea conocido, pero puede que sea demasiado tarde cuando se dé cuenta que debió proteger su MARCA

Compruébelo usted mismo, LLáMENOS 925 366 897

ARCODATOS, es una firma líder en consultoría y auditoría (RGPD y LOPDGDD) especializada en la adaptación de las empresas privadas o públicas, entidades y comunidades de propietarios a las normativas de Protección de Datos de Carácter Personal.

Porque cada entidad es diferente, nuestro trabajo se basa en un SERVICIO PERSONALIZADO y exhaustivo, de manera que cada proyecto se ejecute con la máxima calidad.

Porque también sabemos que su tiempo es lo más importante y la satisfacción de nuestros clientes es nuestra meta, hemos desarrollado un procedimiento de trabajo muy ágil, basado en la experiencia de haber desarrollado programas en todos los sectores de actividad.

Porque varios puntos de vista mejoran las soluciones, por eso contamos con un equipo serio y multidisciplinar en los ámbitos jurídicos, de nuevas tecnologías y seguridad de la información. Porque usted necesita CONFIANZA, firmamos convenios con Federaciones y Asociaciones Empresariales, Colegios Profesionales, Asesorías y Administradores de Fincas, quiénes nos avalan frente a sus clientes y asociados.

CONSULTE

nuestros servicios

Más información
Adaptamos todo tipo de entidades a la Protección de Datos (RGPD y LOPDGDD) empresas privadas y públicas.
Más información
Si usted es un emprendedor invertirá mucho tiempo y dinero en que su empresa destaque en el mercado, llegando un momento en el que su nombre comercial sea conocido, pero puede que sea demasiado tarde cuando se dé cuenta que debió proteger su MARCA.
Más información
(LSSI-CE)
Para vender en Internet donde los usuarios son los potenciales compradores se necesita generar CONFIANZA ¿Compraría usted en un mercado un paquete de yogures sin etiqueta, sin conocer qué ingredientes tiene o la fecha de caducidad? Si responde negativamente es porque no se fía del producto o de la tienda.
Más información
Los empleados son una parte esencial en el tratamiento de los datos y, por tanto, una fuente de vulnerabilidades. De hecho, se considera que “el usuario de datos es el eslabón más débil de la cadena de seguridad”.

PROTECCIÓN DE DATOS EN

Toledo, Madrid y Ciudad Real

La adecuación de una organización a las normativas de protección de datos personales no es un mero formalismo que consiste en tener una documentación al respecto, sino que supone su gestión para que los datos sean tratados de una manera lícita, leal, transparente, y en condiciones de seguridad que no supongan riesgos contra los derechos y libertades de los ciudadanos.

Si queremos proteger la información de nuestra organización debemos preocuparnos por quiénes la utilizan, por los empleados, por tanto, resulta imprescindible invocar una cultura de protección de datos. Muchas de las vulnerabilidades son imprevisibles, y a veces no se es consciente, por eso se suele decir que “existen dos tipos de organizaciones, las que conocen que son atacadas y las que no”.

En Arcodatos nos ocupamos de que su organización esté preparada contra las amenazas de seguridad y prestamos especial importancia a las labores de formación y concienciación.

FAQ

Preguntas frecuentes

¿Qué organizaciones deben cumplir con el Reglamento General de Protección de Datos?
Todas las entidades y organizaciones que traten datos de carácter personal.
¿Es necesario que inscriba mis ficheros en el Registro de la Agencia Española de Protección de Datos?

No es necesario, de hecho, no se pueden inscribir ficheros desde que se aplica el Reglamento General de Protección de Datos.

¿Delegado de Protección de datos y Responsable de Seguridad, son lo mismo?

No.

El Delegado de Protección de Datos (DPD o DPO – por las siglas en inglés de Data Protection Officer-) es el encargado de informar y asesorar a la organización y al personal de la misma de las obligaciones del RGPD y la LOPDGDD.

Es el órgano más alto de protección de datos en la organización, y entre otras cuestiones, deberá supervisar el cumplimiento de lo dispuesto en las normativas de protección de datos, incluida la asignación de responsabilidades, la concienciación, la formación del personal y las auditorías correspondientes.

El Responsable de Seguridad es el encargado entre otras cuestiones de coordinar y controlar las medidas de seguridad implementadas en la organización, así como elaborar y mantener la política de seguridad, así como recibir y gestionar incidencias de seguridad.

La designación del DPO deber comunicarse a la Agencia Española de Protección de Datos (AEPD), puesto que dentro de sus funciones será el interlocutor de la organización con la misma, en cambio la designación del Responsable de Seguridad no debe comunicarse a la Agencia.

Los interesados podrán dirigirse al DPO con carácter previo a la realización de una reclamación ante la AEPD, y en caso de que la presente a la AEPD, ésta podrá remitirle la reclamación al DPO a fin de que éste responda en el plazo de 1 mes.

¿Cuándo se debe obtener el consentimiento del interesado?

Se debe obtener el consentimiento del interesado cuando el tratamiento no pueda legitimarse de otra forma, por ejemplo:

Envío de comunicaciones comerciales sobre productos o servicios (publicidad), excepto si ya es cliente, también para la obtención y/o publicación de imágenes, con carácter general para el tratamiento de categorías especiales de datos, para el tratamiento de datos de menores y para la elaboración automatizada de perfiles.

El consentimiento ha de ser expreso, es decir, el interesado debe realizar una clara acción afirmativa, no se considera válido el consentimiento tácito.

¿Qué medidas de seguridad tengo que aplicar a mis ficheros?

Las medidas de seguridad que debe aplicar a los ficheros de su organización se determinarán en función de los riesgos existentes. Es decir, no existen unas medidas de seguridad tasadas como ocurría con la aplicación de la antigua LOPD (Ley 15/1999 de protección de datos personales), que eran recogidas en el RD 1720/2007, reglamento que definía las medidas de seguridad para cada uno de los niveles existentes, bajo, medio y alto.

El art. 32 del Reglamento General de Protección de datos indica que las medidas de seguridad que debe aplicar una organización dependerán del estado de la técnica, los costes de aplicación, así como la naturaleza, el alcance, contexto, los fines del tratamiento y los riesgos existentes para los derechos y libertades de las personas. Deberá incluir en su caso, entre otros:

  • La seudonimización y el cifrado de datos personales
  • La capacidad de garantizar las cuatro dimensiones de los sistemas de tratamiento:
    • Confidencialidad. Controlar los accesos autorizados.
    • Integridad. Inalterabilidad de la información.
    • Disponibilidad. Permitir que la información esté accesible.
    • Resiliencia. Capacidad de responder ante sucesos imprevistos.
  • La capacidad de restaurar la disponibilidad de forma rápida por causas de incidencias físicas o técnicas.
  • Un proceso de control de las medidas de seguridad.

Para determinar los riesgos resulta necesario realizar un ÁNALISIS y EVALUACIÓN DE RIEGOS, que un proceso donde se valoran los activos de la organización, sus amenazas y riesgos potenciales, así como la probabilidad de ocurrencia y gravedad de los mismos que puedan afectar a los derechos y libertades de las personas, teniendo como resultado la definición de una serie de medidas de seguridad necesarias para mitigar o atenuar los riegos existentes.

Se deben conocer los riesgos que afectan a todo el ciclo de vida de la información en las siguientes etapas:

  • Obtención de datos
  • Almacenamiento de datos
  • Uso de los datos
  • Cesión de los datos
  • Destrucción de los datos

El análisis de riesgos debe actualizarse periódicamente puesto que las amenazas, riesgos y medias de seguridad aplicables varían en el tiempo.

¿Qué se entiende por dato personal?
Es la Información relativa a una persona física por la cual pueda determinarse directa o indirectamente su identidad. Ej., nombre y apellidos, e-mail (incluso profesional), dirección, DNI, … Pero incluso hay otros datos que a priori, parecerían no considerarse como personales como un número de matrícula de un coche o una dirección IP.

La matrícula de un coche puede considerarse dato de carácter personal según el informe 425/2006 de la Agencia Española de Protección de Datos, porque a través de la misma no resulta complicado acceder a los datos personales del propietario del vehículo. Existe un registro de vehículos matriculados y a través de la web de la dirección general de tráfico, se puede obtener información del vehículo que incluya datos del propietario, de una manera relativamente sencilla y al alcance de cualquier persona.

La dirección IP se considera dato de carácter personal según el informe el Informe 327/2003 de la Agencia Española de Protección de Datos, puesto que esta dirección permite a los prestadores de servicios de internet identificar fácilmente al usuario que está utilizando una determinada red.

¿Debo nombrar un Delegado de Protección de Datos (DPO o DPD)?

1. El delegado de protección de datos solo debe nombrarse en ciertos casos que prevé el art. 37 del Reglamento General de Protección de Datos. Se debe designar:

  1. En organismos públicos;
  2. En aquellas entidades cuya actividad principal comporte una observación habitual y sistemática de interesados a gran escala;
  3. Cuando la actividad principal conlleve el tratamiento a gran escala de categorías especiales de datos y/o de datos relativos a condenas e infracciones penales.

Para determinar si el tratamiento se realiza a gran escala el comité europeo de protección de datos indica que se deben tener en cuenta estos factores:

  1. El número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente;
  2. El volumen de datos o la variedad de elementos de datos distintos que se procesan
  3. La duración, o permanencia, de la actividad de tratamiento de datos;
  4. El alcance geográfico de la actividad de tratamiento.

2. Además, designarán un DPO las entidades enumeradas en el art. 34 de la LOPDGDD

¿Para tratar datos en mi organización necesito el consentimiento de los interesados?

Dependerá de los datos a tratar y del contexto, no siempre es necesario el consentimiento, el artículo 6 del Reglamento General de Protección de Datos define las 6 bases que permiten legitimar el tratamiento de los datos:

Primera. La obtención del consentimiento del interesado. Un ejemplo, podría ser la publicación de la imagen de una persona en redes sociales.

Segunda. Cuando los datos recogidos sean necesarios para entablar una relación contractual con el interesado. Por ejemplo, cuando se recogen datos de un empleado con el objeto de formalizar el contrato de trabajo.

Tercera. Cuando el tratamiento sea necesario llevarlo a cabo por una obligación legal atribuible a la organización (Responsable de Tratamiento). Por ejemplo, la realización de los tratamientos de datos por obligaciones tributarias.

Cuarta. Cuando sea necesario para proteger los intereses vitales de una persona. Por ejemplo, para fines humanitarios, o el control de epidemias y su propagación.

Quinta. Cuando sea necesario para un cometido de interés público o en el ejercicio de poderes públicos. Por ejemplo, el tratamiento realizado por un Ayuntamiento para la gestión de prestaciones sociales en el ámbito municipal y del sistema de servicios sociales de la comunidad autónoma a la que pertenece.

Sexta. Por interés legítimo de la organización, y para ello debe existir una ponderación previa que aconseje realizar el tratamiento utilizando esta base legítima. Para considerar si un tratamiento se justifica en el interés legítimo el grupo de trabajo del artículo 29 – ahora comisión europea de protección de datos – ha elaborado un documento de trabajo que sirve de referencia para para los Responsables y Encargados. Pone como ejemplo, que una organización que no haya obtenido el consentimiento del interesado para el envío de comunicaciones comerciales, podrá realizarlo si éstas se realizan sobre productos o servicios similares a los que aquel consumió. Es lo que se denomina regla de la expectativa razonable, es decir, un interesado puede pensar de manera prudente que se realice un determinado tratamiento de sus datos.

Resulta necesario, por tanto, definir para cada una de las finalidades del tratamiento de una organización cuál es su legitimación.

¿Puedo enviar publicidad a mis clientes por correo electrónico?

Algunas finalidades requieren un consentimiento expreso como puede ser el envío de comunicaciones comerciales.

No obstante, La Ley de Servicios de la Sociedad de la Información (LSSI) en el Artículo 21 señala que se pueden enviar comunicaciones comerciales a quiénes lo hubieran consentido, o bien, si existe una relación contractual previa siempre que se refieran a productos o servicios similares a los que adquirió el cliente.

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

Por tanto, no se deben enviar comunicaciones comerciales por medios electrónicos si el destinatario no es cliente o no lo ha consentido.

El Grupo de Trabajo del Artículo 29 (GT 29), ahora la comisión europea de protección de datos, que es un órgano consultivo independiente integrado por las Autoridades de Protección de Datos de todos los Estados miembros de la UE, pone un ejemplo de una tienda de ordenadores, señalando que se permite el envío de comunicaciones comerciales a sus clientes puesto que éstos pueden esperar razonablemente la recepción de ofertas de productos similares a los que compraron.

Ahora bien, si no se recaba el consentimiento expreso del interesado para enviarle información publicitaria resulta obligatorio consultar los ficheros de exclusión publicitaria: https://www.listarobinson.es/empresas. Todo ello, según lo indicado en el artículo 23 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD)

Por tanto, se recomienda obtener el consentimiento específico para la finalidad de envíos de comunicaciones comerciales.

¿Qué es una quiebra o violación de seguridad?
Una violación de seguridad es cualquier incidencia que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales, así como la comunicación o acceso no autorizados a los mismos.

El personal de una organización deberá notificar la existencia de una violación de seguridad al Responsable pudiendo suponer acciones legales si no lo comunica.

En los casos las brechas de seguridad entrañen un alto riesgo para los derechos y libertades de los titulares de los datos, se deberán comunicar a la autoridad de control competente – En España la Agencia Española de Protección de Datos, la Agencia Vasca de Protección de Datos y la Autoridad Catalana de Protección de Datos – y a los interesados afectados a la mayor brevedad posible y como máximo en el plazo de 72 horas.

TESTIMONIOS

¿Qué opinan nuestrtos clientes?

Desde que Arcodatos me asesora sobre protección de datos, tengo la tranquilidad de saber que cumplo diligentemente con el Reglamento General de Protección de Datos.

Paloma López Carmena

Directora, DESDOCO

Servicio muy recomendable, explicaciones claras que facilitan la activación de las medidas seguridad.

Ángel Sánchez

Director, LEX CONTROL

Atención rápida y totalmente personalizada, sus consultores son grandes profesionales.

Andrés Ronco

Necesitábamos asesoramiento para adecuar nuestra web al RGPD, elaboraron los textos legales necesarios de manera personalizada, y nos recomendaron buenas soluciones para cumplir con la normativa de cookies.

Roberto Aparicio

Imagenbeta

Solicita información sin compromiso

¿En qué podemos ayudarle?

Oficinas

Calle Dinamarca , 4
45005 Toledo

Horario

De lunes a viernes de 8:30 a 19:00

Teléfono

(+34) 925 366 897

Le informamos que sus datos serán tratados por ARCODATOS SLU – B45807203 según los siguientes términos: Finalidad de los tratamientos: Atender sus consultas y/o enviarle información relacionada con su solicitud, Legitimación: Consentimiento que el interesado nos otorga en el momento de enviar el formulario Periodo de conservación: Siempre que continúe existiendo interés en mantener las relaciones por ambas partes. Destinatarios: No se realizarán cesiones de datos, salvo obligación legal Derechos de los interesados: A retirar el consentimiento, acceder, rectificar y suprimir los datos, así como otros derechos como se informa en la Política de privacidad.

error: Content is protected !!