Preguntas frecuentes

Todos los textos especificados en esta web, tienen carácter informativo y carecen de toda validez jurídica. El uso que se haga de los mismos, es responsabilidad exclusiva del usuario.

Glosario de definiciones del Reglamento General de Protección de Datos (RGPD) y  Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD):

El RGPD proporciona -en su artículo 4- la definición de los conceptos sobre los que gravita la regulación de la protección de datos de carácter personal.

Así, la ciudadanía, los poderes públicos, tienen a su alcance una definición de lo que podemos considerar “conceptos esenciales” de la norma y cuyo significado resulta necesario comprender tanto para conocer el alcance de los derechos que el RGPD y la LOPDGDD reconoce a los interesados, como para cumplir adecuadamente con las obligaciones que el Reglamento y la Ley impone.

Toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

El marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro.

Toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física.

El tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.

La normativa define el responsable del tratamiento como la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente.

Es el responsable de la protección y el control de todos los datos personales que se encuentran en posesión de dicha empresa o entidad. Le corresponde establecer las finalidades para los que se utilizan los datos personales y qué protección de privacidad debe implementarse.

La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

La persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que 4.5.2016 ES Diario Oficial de la Unión Europea L 119/33 puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento.

Persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado.

Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen

Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona.

Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.

Datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud.

Adopción de medidas técnicas y organizativas cuya finalidad es aplicar de forma efectiva los principios de protección de datos e integrar las garantías necesarias en el tratamiento de los datos.

Adopción de medidas técnicas y organizativas cuya finalidad es garantizar que por defecto sólo se traten aquellos datos que sean necesarios para los fines del tratamiento.

Análisis de carácter previo de aquellos tratamientos de datos que puedan suponer un alto riesgo para los derechos y libertades de las personas.

El Reglamento General de Protección de Datos (RGPD) es el nuevo marco legal en la Unión Europea que reemplazo a la Directiva de Protección de Datos.

Entró en vigor en mayo de 2016, es de aplicación obligatoria para todos los estados miembros de la Unión Europea a partir del 25 de mayo de 2018, y otorga un mayor control y seguridad a los ciudadanos sobre su información personal en el mundo 2.0.  El RGPD amplía sus derechos a decidir cómo desean que sus datos sean tratados y a cómo quieren recibir información de las entidades.

El objetivo de la LOPDGDD es adaptar la legislación española a la normativa europea, definida por el Reglamento General de Protección de Datos (RGPD), vigente desde el 25 de mayo de 2018. Esta ley entró en vigor el 6 de diciembre de 2018, sustituyendo y derogando a la antigua Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.

Por tanto, si hablamos de protección de datos en España, actualmente la norma de referencia es la LOPDGDD.

Garantía de los Derechos DigitalesGDD”: Se incorpora un nuevo Título X de la Ley, con una novedosa regulación relativa a la “Garantía de Derechos Digitales” en la que se recogen derechos que introducen, en el ordenamiento jurídico, aspectos necesarios para adaptar la normativa a la sociedad actual, cuya actividad pivota en gran medida en un entorno digital.

En este título se desarrollan los nuevos derechos digitales y se regula cómo se quiere garantizar para todas las personas el derecho al acceso a Internet. Incluye desde el artículo 79 al 97. Vamos a verlos:

  • Artículos de 79 al 84. Consagran una serie de derechos universales.
  • Artículos 85 y 86. Son los artículos referentes a la rectificación en Internet y derecho a la actualización de informaciones en medios digitales “fake news
  • Artículos 87 al 91. Son los más específicos del ámbito laboral. Tratan de fijar las normas para la desconexión digital, la privacidad en el uso de dispositivos electrónicos, videovigilancia en el trabajo o la geolocalización.
  • Artículo 92. Trata la privacidad de los datos de menores en Internet.
  • Artículos 93 al 95. Se refieren al derecho al olvido en las búsquedas y redes sociales y servicios equivalentes.
  • Artículo 96. Aborda el testamento digital para regular cómo pueden los familiares o la persona designada dirigirse a los medios y servicios digitales donde el fallecido disponga de datos y contenidos para dar las oportunas instrucciones para recuperarlos o suprimirlos.
  • Artículo 97. Impulso de los derechos digitales, el Gobierno elaborará un Plan de Acceso a Internet para superar las brechas digitales de colectivos vulnerables, fomentar los espacios de conexión de acceso público, promoción de acciones para que los menores de edad hagan un uso equilibrado y responsable de los dispositivos digitales, entre otras acciones.


Nuevos derechos digitales en el ámbito laboral

A nivel laboral, los nuevos derechos incluidos tienen especial relevancia en los siguientes aspectos:

  • Derecho a la desconexión digital.
  • Derecho a la intimidad frente al uso de dispositivos de videovigilancia.
  • Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral.
  • También se reconoce el derecho de establecer garantías y derechos digitales adicionales en los convenios colectivos de cada sector.

En el estado español hay que cumplir las dos, el RGPD y la LOPDGDD.

Todas las entidades públicas y privadas que utilicen cualquier dato personal en el desarrollo de sus actividades.

Es decir, si en su trabajo diario trata datos personales de terceros, por ejemplo: datos de empleados, datos de clientes, datos de asociados, datos de contactos del web, datos de suscriptores, alumnos, pacientes, datos de navegación de usuario que recaba mediante cookies analíticas, etc., debe cumplir con el RGPD y la LOPDGDD, sin excepciones.

Da igual que sea autónomo o empresa, tenga más o menos empleados, pertenezca al sector público o privado, si es una ONGs o una entidad sin ánimo de lucro; debe cumplir las exigencias del RGPD y la LOPDGDD y ofrecer las garantías suficientes a todos los que le facilitan sus datos.

Todas las entidades que traten datos personales de ciudadanos europeos, independientemente de su tamaño, están obligadas a cumplir con la Ley de protección de datos europea, el RGPD.

Si la entidad está ubicada fuera de la Unión Europea, también deberá cumplir si trata datos de ciudadanos europeos.

Este es un breve resumen de las acciones a realizar:

1) Deber de informar y obtención del consentimiento. Es obligatorio informar a las personas interesadas sobre las circunstancias relativas al tratamiento de sus datos. El consentimiento puede recabarse únicamente mediante declaración explícita de los interesados o una acción positiva que indique su consentimiento.

2) Cláusulas informativas y avisos de privacidad. Es fundamental asegurarse que están actualizadas a las vigentes normativas las cláusulas informativas y avisos legales.

Deben incluir cuestiones como: responsable del tratamiento, base jurídica del tratamiento, plazo de conservación, criterios para su determinación, información sobre los derechos…

Además, deberán ser concisas, transparentes, inteligibles, accesibles, con un lenguaje claro y sencillo, por escrito y de acceso gratuito.

3) Compromiso de confidencialidad con los empleados/as, tiene una doble vertiente, la primera que el trabajador/a (usuario con acceso a datos) se comprometa a tratar de forma confidencial los datos a los que tiene acceso en su día a día para realizar su actividad laboral, la segunda, informar al/la trabajador/a para que consienta el tratamiento de sus datos de carácter personal por parte de la entidad para diferentes finalidades (gestión RRHH, elaboración de nóminas, seguros, etc.) así como informarle de sus derechos.

4) Los contratos con terceros encargados de tratamiento (ET). Los encargados de tratamiento (ET) son todos los colaboradores externos que nos prestan algún servicio y, para realizarlo, les facilitamos datos personales nuestros y de terceros.

5) Disponer del protocolo de ejercicio de derechos. Todas las personas podemos ejercer el derecho de acceso, rectificación, supresión, portabilidad de los datos y limitación u oposición de su tratamiento, así como no ser objeto de decisiones individuales automatizadas.

6) Implantación de procedimientos para notificar incidentes de seguridad. También conocidas como brechas de seguridad. Estas se deben de comunicar a los afectados y a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas.

7) Medidas de seguridad técnicas y organizativas. El responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas adecuadas al riesgo que conlleva el tratamiento. Ello implicará tener que hacer una evaluación de los riesgos asociados a cada tratamiento, para determinar las medidas de seguridad a implementar.

8) Registro de actividades de tratamiento. El registro deberá constar en todo caso por escrito, inclusive en formato electrónico, y deberá ser puesto a disposición de la autoridad de control que lo solicite.

9) Análisis de riesgos. Desde el punto de vista de la seguridad de la información un análisis de riesgos requiere identificar las amenazas (por ejemplo, acceso no autorizado a los datos personales), valorar cuál es la probabilidad de que se produzca y el impacto que tendría en las personas afectadas.

10) Designar Delegado de Protección de Datos (DPD), si procede. El Reglamento introduce la figura del delegado de protección de datos, que puede formar parte de la plantilla del responsable o el encargado o bien actuar en el marco de un contrato de servicios.

11) Realizar evaluación de impacto, si procede. Cuando un tratamiento, por su naturaleza, alcance, contexto o fines suponga un alto riesgo para los derechos y libertades de las personas físicas, especialmente cuando se utilicen nuevas tecnologías, el responsable debe hacer una evaluación del impacto en la protección de datos (EIPD).

12) Video vigilancia, si disponen de cámaras de captación de imágenes es necesario cumplir con los requisitos legales y conocer el protocolo de solicitud de las imágenes.

13) Wifi, si disponen de wifi a disposición de clientes, usuarios, empleados, etc., es necesario cumplir con los requisitos legales y conservar los registros de conexión dos años.

14) Página web. Debe disponer de las cláusulas y avisos legales en cumplimiento de la LSSIce.

Sí, y las autoridades de control pertinentes no sólo están poniendo multas a las grandes compañías como Facebook o Google. Hay muchas otras compañías de menor tamaño que también están sufriendo las consecuencias infringir con la ley de protección de datos.

Si a esto, le añadimos que el Gobierno español el pasado 2019 aumentó los presupuestos para la Agencia Española de Protección de Datos, quizá nos haga entender la importancia que está adquiriendo la protección de datos personales en el seno de la Unión Europea.

Detallamos los diferentes tipos de datos:

Datos especialmente protegidos: Ideología, afiliación sindical, religión, creencias, origen racial o étnico, salud, vida sexual, datos genéticos y biométricos (Art. 9 del RGPD) así como datos relativos a condenas e infracciones penales (Art. 10 del RGPD).

Datos identificativos: DNI, dirección postal o electrónica, imagen, voz, nº de la seguridad social o Mutualidad, teléfono, fax, marcas físicas, nombre y dos apellidos, firma o huella, firma electrónica, tarjeta sanitaria.

Datos relativos a las características personales: Datos de estado civil, datos de familia, fecha de nacimiento, edad, sexo, nacionalidad, lengua materna, características físicas o antropométricas.

Datos relativos a las circunstancias sociales: Características del alojamiento, vivienda, situación familiar, propiedades, posesiones, aficiones y estilo de vida, pertenencia a clubes y asociaciones, licencias, permisos y autorizaciones.

Datos académicos y profesionales: Formación, titulaciones, historial del estudiante, experiencia profesional, pertenencia a colegios o asociaciones profesionales.

Detalles de empleo: Profesión, puestos de trabajo, datos no económicos de la nómina, historial del trabajador, vida laboral.

Datos que aportan información comercial: Actividades y negocios, licencias comerciales, subscripciones a publicaciones o medios de comunicación, creaciones artísticas, literarias, científicas o técnicas.

Datos económicos, financieros y de seguros: Ingresos, rentas, inversiones, bienes patrimoniales, créditos, prestamos, avales, datos bancarios, planes de pensiones, jubilación, datos económicos de nómina, datos de deducciones impositivas/impuestos, seguros, hipotecas, subsidios, beneficios, historial de créditos, tarjetas de crédito.

Este principio se define como la necesidad (obligatoriedad) de que el responsable del tratamiento de datos aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento de datos personales es conforme con el Reglamento. Es decir, no basta con cumplir con la normativa de protección de datos, también hay que poder demostrar que se está cumpliendo con la normativa.

Este principio viene recogido en el artículo 5 apartado 2 del RGPD: “El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»)”.

La imagen es un dato de carácter personal ya que identifica o hace identificable a una persona. En este sentido, la instalación de cámaras, con diversas finalidades como podría ser la seguridad, el control laboral, el acceso a zonas restringidas captando la matrícula del coche y la imagen del conductor, o incluso la monitorización de una UVI, supondría un tratamiento de datos de carácter personal y en consecuencia, se le aplicaría las normativas de protección de datos.

Es necesario tener mucha precaución a la hora de publicar imágenes en Internet, sean fotografías o vídeos, si en ellas aparecen personas..

Las fotografías de una persona son también datos de carácter personal y no pueden ser tratados de manera diferente a la finalidad para la que se hayan obtenido, ni ser publicadas sin un consentimiento previo y expreso de la persona afectada. Esto se aplica a cualquier actividad empresarial o profesional que trate con fotografías de sus clientes, asociados, alumnos, etc.

Por ejemplo, una empresa dedicada a las actividades de montaña, que ofrece rutas en grupo y que hace fotografías de la actividad, no podría publicarlas en su web o redes sociales, sin haber obtenido el consentimiento previo de sus clientes y haberles informado de su posterior publicación.

Si bien el artículo 8.1 párrafo segundo del RGPD, no consideraba lícito el tratamiento de datos personales de un niño/a menor de 16 años en relación con la oferta directa a niños/as de servicios de la sociedad de la información, salvo que los Estados miembros establecieran por ley una edad inferior, el legislador estatal en la LOPDGDD ha optado en su artículo 7 por establecer como lícito el tratamiento de datos de carácter personal de los menores cuando estos sean mayor de 14 años, en cualquiera de los casos.

Resumiendo, que el consentimiento para el tratamiento de datos de personales podrá prestarse por el propio menor cuando éste sea mayor de 14 años.

Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento.

El tratamiento de los datos personales de los menores de catorce años, será lícito si el consentimiento lo otorga el padre, madre o el titular de la patria potestad o tutela.

La LOPDGDD, amplía los derechos reconocidos a las personas vinculadas a los fallecidos permitiendo ejercitar, además de la cancelación o supresión, los derechos de acceso y rectificación. Así mismo, establece como excepción, que los herederos o personas vinculadas no podrán acceder, rectificar o suprimir los datos de los fallecidos, si dicha persona lo hubiese prohibido o si una ley así lo establece, sin perjuicio de aquellos datos de carácter patrimonial a los que tuviesen derecho a acceder.

Se establece además que en caso de producirse el fallecimiento de un menor o una persona con discapacidad dichos derechos podrán ejercitarse por sus representantes legales o por el Ministerio Fiscal.

El artículo 96 de la LOPDGDD establece además, en relación a la eliminación de los perfiles de redes sociales de fallecidos, el derecho al testamento digital señalando que “las personas legitimadas podrán decidir acerca del mantenimiento o eliminación de los perfiles personales de personas fallecidas en redes sociales o servicios equivalentes, a menos que el fallecido hubiera decidido acerca de esta circunstancia, en cuyo caso se estará a sus instrucciones. El responsable del servicio al que se le comunique, con arreglo al párrafo anterior, la solicitud de eliminación del perfil, deberá proceder sin dilación a la misma” por lo que parece más claro que nunca el reconocimiento de ciertas garantías en el tratamiento de datos de personas fallecidas.

Diariamente muchas empresas alrededor del mundo se ven afectadas por brechas de seguridad. Los tratamientos de datos y el uso de las nuevas tecnologías implican que, de forma permanente, las empresas puedan ser afectadas por las brechas de seguridad.

Con la aplicación del RGPD surge la obligación de notificar las brechas o violaciones de seguridad a la Agencia Española de Protección de Datos y a las personas afectadas, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

Es conveniente establecer un procedimiento para gestionar las brechas de seguridad en las empresas que incluyan las medidas técnicas y organizativas para poder afrontar un incidente, así como la identificación de los agentes implicados en la gestión de la brecha, el análisis de riesgos y/o evaluación de impacto y definición de planes de respuesta a incidente o plan de contingencia.

La LSSIce o Ley 34/2002 de Servicios de la Sociedad de la Información y del Comercio Electrónico, es una normativa que regula las actividades económicas a través de internet, entendiendo éstas como aquellos productos o servicios ofertados a través de páginas webs, tiendas online y correo electrónico.

El objetivo que persigue es regular el régimen jurídico de los servicios relacionados con Internet y la contratación electrónica.

Las personas que realicen actividades económicas por Internet u otros medios telemáticos (correo electrónico, televisión digital interactiva…), siempre que:

  • La dirección y gestión de sus negocios esté centralizada en España o,
  • posea una sucursal, oficina o cualquier otro tipo establecimiento permanente situado en territorio español, desde el que se dirija la prestación de servicios de la sociedad de la información.

Se presumirán establecidos en España y, por tanto, sujetos a la Ley a los prestadores de servicios que se encuentren inscritos en el Registro Mercantil o en otro Registro público español en el que fuera necesaria la inscripción para la adquisición de personalidad jurídica.

Cuando éste percibe ingresos directos (por las actividades de comercio electrónico que lleve a cabo a través de la página, etc.) o indirectos (por publicidad, patrocinio, etc.) derivados de su página web, con independencia de que éstos permitan sufragar el coste de mantenimiento de la página, igualen esa cantidad o la superen.

La prestación de cualquier servicio a través de Internet u otros medios electrónicos puede realizarse libremente y no requiere ninguna autorización específica. Sin embargo, aquellas actividades o servicios que estén sujetos a autorización administrativa o a cualquier otro requisito estarán sometidos al régimen general que les sea aplicable por razón de las leyes y normas ya existentes, con independencia de que se presten a través de Internet.

Por ejemplo: la autorización general de tipo C necesaria para prestar servicios de acceso a Internet seguirá siendo exigible a los proveedores de acceso a Internet y las autorizaciones precisas para la apertura de determinado tipo de establecimientos, como las farmacias, o la necesidad de colegiarse para ejercer ciertas profesiones no resultan afectadas por esta Ley.

Es la celebración de un contrato en el que la oferta y la aceptación se transmiten por medio de equipos electrónicos de tratamiento y almacenamiento de datos conectados a una red de telecomunicaciones.

La LSSIce asegura la validez y eficacia de los contratos que se celebren por vía electrónica aunque no consten, a su vez, en soporte papel. De este modo, se refuerza la eficacia de los documentos electrónicos como prueba ante los Tribunales.

Cualquier tipo de contrato puede celebrarse por vía electrónica salvo los relativos al Derecho de familia y sucesiones (por ejemplo, un testamento o unas capitulaciones matrimoniales).

Si los contratos deben ir seguidos del cumplimiento de ciertos requisitos formales (como su elevación a escritura pública o su inscripción en algún Registro) dichos requisitos seguirán siendo exigibles para que el contrato celebrado electrónicamente sea plenamente válido o eficaz.

Deberá poner a disposición del usuario de forma permanente, fácil y gratuita la siguiente información clara, comprensible e inequívoca sobre:

Antes de iniciar el procedimiento de contratación:

  • Las condiciones generales de contratación que, en su caso, rijan el contrato.
  • Los trámites o pasos que debe seguir para celebrar el contrato.
  • Si va a archivar el documento electrónico del contrato y si va ser accesible.
  • Los medios técnicos que pone a su disposición para identificar y corregir los errores en la introducción de los datos antes de confirmarlos.
  • La lengua o lenguas en las que puede formalizarse el contrato.


Después de haberse celebrado el contrato:

  • Confirmar la recepción de la aceptación por alguno de los siguientes medios:


Por medio de un acuse de recibo por correo electrónico u otro medio de comunicación electrónica equivalente a la dirección que el contratante haya señalado en el plazo de las 24 horas siguientes a la recepción.

Por medio de un medio equivalente al que se haya utilizado en el procedimiento de contratación.

Sí. La Ley se aplica a toda actividad con trascendencia económica que se realice por medios electrónicos. En este caso, la empresa sólo está obligada a facilitar, a través de su página web, los datos de información general establecidos en el artículo 10.

La Ley no se aplicará a una página web personal cuando su titular no realice ningún tipo de actividad económica a través de la misma.

Si la página web tiene alojada publicidad en forma de “banners”, “pop-ups”, etc., su titular estará sujeto a la Ley si percibe alguna remuneración por los mismos. Si éstos no generan ningún ingreso a su titular, por ejemplo, por haber sido impuestos a cambio de la prestación de un servicio gratuito de alojamiento, éste no estará obligado a cumplir las obligaciones previstas en la Ley. Todo ello sin perjuicio de que a esa página le afecten otras normas jurídicas que sean de aplicación por ser públicamente accesible.

Toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o de los bienes o servicios de una empresa u organización o persona que realice una actividad comercial, industrial, artesanal o profesional.

Al realizar e-mail marketing se tratan datos personales. Por tanto, deben tenerse en cuenta las siguientes normas:

La LSSIce, ya que regula todas las comunicaciones que se realizan de forma electrónica ya sea con personas o con empresas, el RGPD y la LOPDGDD ya que el correo electrónico es considerado un dato personal.

Se prohíbe el envío de comunicaciones comerciales electrónicas o publicidad vía e-mail, a menos que exista consentimiento o autorización expresa previa por parte del receptor. Son también ilegales los correos comerciales a direcciones de correo electrónico recogidas en Internet o en bases de datos compradas.

Se consideran datos de carácter personal los correos electrónicos profesionales, por lo que dirigirse a potenciales clientes, sin su consentimiento, a través del e-mail es considerada una práctica ilegal.

El RGPD exige que el consentimiento, para que sea válido el envío de información comercial, debe ser:

  • Libre. El consentimiento tiene que ser prestado en un marco de libertad.
  • Informado. Se debe informar al interesado de:
    • la finalidad del tratamiento para el que se quiere recabar el consentimiento
    • el nombre del responsable del tratamiento
    • cómo se van a tratar esos datos
    • los derechos de los que es titular el interesado
  • Específico. Con esto el regulador quiere asegurarse que cuando el tratamiento tenga varias finalidades se recabe el consentimiento para cada uno de ellos.
  • Inequívoco. La forma de obtención del consentimiento tiene que ser entendible, es decir que el afectado sepa sin lugar a dudas para que está dando su beneplácito.

Para cumplir estos requisitos, no puede admitirse un consentimiento tácito o por defecto y se exige, por tanto, que exista una declaración de los interesados o una acción positiva que indique el acuerdo del interesado.

El RGPD exige que se pueda acreditar el consentimiento y por este motivo es imprescindible comprobar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría o inspección.

El prestador debe ofrecer al interesado la posibilidad de oponerse al tratamiento de sus datos con fines promocionales, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

Sí. Pero como hemos dicho, el afectado deberá realizar una clara acción afirmativa para considerar ese consentimiento como válido y si se pueda acreditar.

Por ejemplo:

Es válido recoger el consentimiento de los clientes mediante un formulario en papel, mediante una firma de los mismos, como también es válido usar una PDA o tablet para recoger dicho consentimiento si no queremos tener documentación en papel y lo queremos tener todo en formato electrónico. Pero se sebe asegurar que se puede acreditar dicho consentimiento.

. No obstante hay dos situaciones a tener en cuenta:

  1. Mayores de 14 años: El consentimiento prestado por mayores de 14 años se presupone válido, siempre y cuando no haya una ley que para un caso específico no lo permita.
  2. Menores de 14 años: Será necesaria la participación de los titulares de la patria potestad para considerar el consentimiento prestado por un menor de 14 años.

Por lo tanto si se recaba el consentimiento de forma online habrá que establecer procedimientos para que podamos verificar el consentimiento parental

Una cookie (o galleta informática) es una pequeña información enviada por un sitio web y almacenada en el navegador del usuario, de manera que el sitio web puede consultar la actividad previa del usuario.

Sus principales funciones son:

– Llevar el control de usuarios: cuando un usuario introduce su nombre de usuario y contraseña, se almacena una cookie para que no tenga que estar introduciéndolas para cada página del servidor. Sin embargo, una cookie no identifica solo a una persona, sino a una combinación de computador-navegador-usuario.

– Conseguir información sobre los hábitos de navegación del usuario, e intentos de spyware (programas espía), por parte de agencias de publicidad y otros. Esto puede causar problemas de privacidad y es una de las razones por la que las cookies tienen sus detractores.

Si una página web  utiliza cookies (que es lo más probable), se debe tener en cuenta que al utilizar cookies que pueden identificar a un usuario y generar un perfil se está realizando un tratamiento de datos; esto, de por sí, ya obliga a contar con el consentimiento del usuario. Por lo tanto, se aplicarán todas las disposiciones relacionadas con el tratamiento de datos que prevé la legislación en temas como el almacenamiento, tratamiento o consentimiento expreso.

La existencia de archivos como las cookies se contempla en la LSSIce, pero el RGPD y la LOPDGDD han reforzado las garantías y los derechos del usuario.

La Agencia Española de Protección de Datos (AEPD), en colaboración con las asociaciones adigital, Autocontrol e IAB Spain, ha editado una Guía sobre el uso de cookies en España.

Esta guía pretende ofrecer orientaciones sobre cómo cumplir las obligaciones previstas en el apartado segundo del artículo 22 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSIce), en relación con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales (LOPDGDD).

Como prestador de servicios, debe facilitar de forma accesible y permanente la información necesaria para que los usuarios puedan estar informados al respecto y prestar su consentimiento para la instalación de cookies.

La opción más habitual es una ventana emergente, en forma de barra en el encabezado o en el pie de página, con un texto en el que se indique que la web, blog, etc. utiliza cookies y que contenga un link a la Política de Cookies, dónde el usuario pueda hallar toda la información detallada al respecto.

Según la Ley, un prestador de servicios establecido en España, que opera con carácter comercial a través de cualquier soporte electrónico que instale cookies, tiene la obligación de cumplir con los requerimientos establecidos en la normativa.

El incumplimiento de la LSSIce puede comportar sanciones de hasta 600.000€, en función de la infracción cometida:

  • Infracciones leves: Sanciones hasta 30.000€
  • Infracciones graves: Sanciones entre 30.001€ y 150.000€
  • Infracciones muy graves: Sanciones entre 150.001€ y 600.000€

Son infracciones leves:

  • Ni informar en la forma prescrita por el artículo 10.1 sobre los aspectos señalados en los apartados b), c), d), e) y g) del mismo.
  • El incumplimiento de lo previsto en el artículo 20 para las comunicaciones comerciales, ofertas promociones y concursos.
  • El envío de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente a los destinatarios que no hayan solicitado o autorizado expresamente su remisión, cuando no constituya una infracción grave.
  • No facilitar la información que se requiere el artículo 27.1, cuando las partes no hayan pactado su exclusión o el destinatario sea un consumidor.
  • El incumplimiento de la obligación de confirmar la recepción de una petición en los términos establecidos en el artículo 28, cuando no se haya pactado su exclusión o el contrato de haya celebrado con un consumidor, salvo que constituya infracción grave.

 

Son infracciones graves:

  • El incumplimiento de lo establecido en los párrafos a) y f) del artículo 10.1.
  • El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente a destinatarios que no hayan autorizado o solicitado expresamente su remisión, o el envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando éste no hubiera solicitado o autorizado su remisión.
  • No poner a disposición del destinatario del servicio las condiciones generales a que, en su caso, se sujete el contrato, en la forma prevista en el artículo 27.
  • El incumplimiento habitual de la obligación de confirmar la recepción de una aceptación, cuando no se haya pactado su exclusión o el contrato de haya celebrado con un consumidor.
  • La resistencia, exclusa o negativa a la actuación inspectora de los órganos facultados para llevar a cabo con a reglo a esta Ley.   

 

Sanciones muy graves:

  • El incumplimiento de las órdenes dictadas en virtud del artículo 8 en aquellos supuestos en que hayan sido dictadas por un órgano administrativo.
  • El incumplimiento de la obligación de suspender la transmisión, el alojamiento de datos, el acceso a la red o la prestación de cualquier otro servicio equivalente de intermediación, cuando un órgano administrativo competente lo ordene, en virtud de lo dispuesto en el artículo 11.
  • El incumplimiento de la obligación de retener los datos de tráfico generados por las comunicaciones establecidas durante la prestación de un servicio de la sociedad de la información prevista en el artículo 12.
  • La utilización de los datos retenidos, en cumplimiento del artículo 12, para fines distintos de los señalados en él.

La figura del delegado de protección de datos adquiere una destacada importancia en el Reglamento General de Protección de Datos (RGPD) y así lo recoge la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD), que parte del principio de que puede tener un carácter obligatorio o voluntario, estar o no integrado en la organización del responsable o encargado y ser tanto una persona física como una persona jurídica.

Una de las novedades introducidas por el Reglamento General de Protección de Datos (RGPD) es la instauración de la figura del “delegado de protección de datos”. Así, el artículo 37 del RGPD incorpora la obligatoriedad de designar un Delegado de Protección de Datos en determinados supuestos y en todo caso, de modo más específico, en los contemplados en el artículo 34 de la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD).

Pues bien, atendiendo a lo dispuesto en el considerando 97, el delegado de protección de datos puede ser definido como una persona que participa en la supervisión de la observancia del Reglamento que se exige a el responsable o encargado del tratamiento ayudándolos en el cumplimiento del mismo.

La designación del DPD y sus datos de contacto deben hacerse públicos por los responsables y encargados y deberán ser comunicados a las autoridades de supervisión competentes, en el plazo de 10 días.

El artículo 37 apartado 1, del RGPD requiere la designación de un Delegado de Protección de Datos en tres casos específicos:

  1. Cuando el tratamiento lo lleven a cabo autoridades u organismos público -> tanto autoridades nacionales como regionales o locales, así como en organismos regidos por el derecho público (por ej. transporte público, suministro de energía, infraestructuras, etc). Su nombramiento obedece a la necesidad de protección adicional que puede requerir una persona que, habitualmente, no tendrá un control sobre si sus datos se tratan y de qué manera, o bien tienen un escaso poder de decisión.
  2. Cuando los responsables o encargados tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala -> por ejemplo, operadores de una red de telecomunicaciones, aplicaciones móviles con seguimiento de ubicación, publicidad comportamental, dispositivos de medición y seguimiento de estado físico y salud, domótica, coches inteligentes conectados, etc.
  3. Cuando los Responsables o encargados tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles -> categorías especiales de datos personales o datos relativos a condenas e infracciones penales.

La LOPDGDD, en su artículo 34 se establece la designación obligatoria de DPD en los siguientes supuestos (además de los contemplados en el RGPD), sin importar el tamaño, número de empleados o volumen de datos tratados:

  1. Los colegios profesionales y sus consejos generales.
  2. Los centros docentes de todos los niveles, desde escuelas infantiles a Universidades públicas y privadas.
  3. Las empresas de telecomunicaciones electrónicas, cuando traten habitual y sistemáticamente datos personales a gran escala, y otros prestadores de servicios de la sociedad de la información, cuando elaboren a gran escala perfiles de usuarios.
  4. Las entidades bancarias, cajas de ahorro, cooperativas de crédito y El Instituto de Crédito Oficial.
  5. Los establecimientos financieros de crédito.
  6. Las entidades aseguradoras y reaseguradoras.
  7. Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
  8. Los distribuidores y comercializadores de energía eléctrica y de gas natural.
  9. Las entidades responsables de ficheros de morosos
  10. Los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo:
    • Entidades de crédito, compañías de seguros y empresas de servicios de inversión
    • Notarios y registradores
    • Entidades de pago, dinero electrónico, cambio de moneda, servicios postales de giro o transferencia
    • Abogados, procuradores u otros profesionales cuando actúen por cuenta de sus clientes en operaciones financieras, inmobiliarias, o cuando presten los servicios de constituir sociedades, ejercer la secretaría u otros servicios afines
    • Promotores inmobiliarios, APIs y agencias inmobiliarias.
    • Auditores de cuentas, contables externos y asesores fiscales
    • Casinos de juego.
    • Joyeros, galerías de arte y anticuarios.
    • Loterías y otros juegos de azar.
    • Fundaciones y asociaciones.
  11. Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
  12. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
  13. Las entidades que emitan informes comerciales de personas físicas.
  14. Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego (juego online).
  15. Las empresas de seguridad privada.
  16. Las federaciones deportivas cuando traten datos de menores de edad.

Los responsables o encargados del tratamiento no incluidos en la relación anterior podrán designar de manera voluntaria un delegado de protección de datos.

Cuando una organización designe un DPD de forma voluntaria, se aplicarán a su designación, su puesto y sus tareas los requisitos establecidos en los artículos 37 a 39 del RGPD.

Una vez designado el DPD, los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria.

Agencia Española de Protección de Datos:
https://sedeagpd.gob.es/sede-electronica web/vistas/formDelegadoProteccionDatos/procedimientoDelegadoProteccion.jsf

Autoritat Catalana de Protecció de Dades:
https://apdcat.gencat.cat/ca/seu_electronica/tramits/comunicacio/

Agencia Vasca de Protección de Datos: 
https://www.avpd.euskadi.eus/formulario-de-notificacion-de-delegados-de-proteccion-de-datos/s04-5273/es/

En lo referente a las funciones del Delegado de Protección de Datos podemos realizar la siguiente clasificación conforme al artículo 39 del RGPD:

 

  1. El Delegado de Protección de Datos estará obligado a informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del RGPDy la LOPDGDD.
  2. Además deberá supervisar el cumplimiento de lo dispuesto en el RGPDy en la LOPDGDD y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
  3. Tendrá que ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35del RGPD.
  4. Una de sus principales funciones será la de cooperar con la autoridad de control, actuar como punto de contacto para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36del RGPD, y realizar consultas, en su caso, sobre cualquier otro asunto.
  • Se considera una infracción grave No designar un delegado de protección de datos (DPD) cuando sea obligatorio. 
  • Se considera una infracción leve No publicar los datos de contacto del delegado de protección de datos o no comunicarlos a la autoridad de control.

Es así como distribuye y categoriza la LOPDGDD el tipo de infracciones que se pueden llevar a cabo. La cuantía a pagar dependerá directamente de la proporcionalidad de la infracción cometida.  Esta sería la tabla de infracciones:

INFRACCIONES

CUANTÍA

Leves

Hasta 40.000 euros

Graves

40.001€ a 300.000€

Muy graves

300.000€ a 20.000.000€
2% a 4% facturación bruta anual

La LOPDGDD categoriza las infracciones en muy graves, graves y leves.

Algunos de los actos sancionables de cada uno de los tres niveles, así como los plazos de prescripción, son:

Infracciones muy graves (prescriben a los 3 años)

  • Vulnerar los principios establecidos en el RGPD.
  • Incumplir los requisitos exigidos para la validez del consentimiento.
  • Tratar datos personales para una finalidad distinta para la cual fueron recogidos.
  • Exigir un pago para atender las solicitudes de ejercicio de derechos.
  • Realizar una transferencia internacional de datos personales sin garantías.
  • Incumplir resoluciones dictadas por la autoridad de protección de datos.
  • Revertir deliberadamente la anonimización con el fin de reidentificar a los titulares.

Infracciones graves (prescriben a los 2 años):

  • Tratar datos de un menor de edad sin su consentimiento, o el de los padres o tutores legales si procede.
  • No adoptar medidas técnicas y organizativas apropiadas para garantizar el cumplimiento de la protección de datos o un nivel de seguridad adecuado.
  • Contratar un encargado de tratamiento que no ofrezca las garantías suficientes o sin la previa formalización de un contrato.
  • No disponer del registro de actividades de tratamiento.
  • No notificar una violación de seguridad de los datos a la autoridad de control.
  • Tratar datos personales sin realizar una evaluación del impacto cuando sea exigible.
  • No designar un delegado de protección de datos (DPD) cuando sea obligatorio.

Infracciones leves (prescriben en 1 año):

  • No cumplir el principio de transparencia de la información.
  • Incumplir el deber de informar al interesado.
  • No suprimir los datos referidos a una persona fallecida cuando ello fuera obligatorio.
  • Disponer de un Registro de actividades de tratamiento incompleto.
  • Notificar una violación de seguridad a la autoridad de protección de datos de forma defectuosa.
  • No publicar los datos de contacto del delegado de protección de datos o no comunicarlos a la autoridad de control.

Una de las novedades destacadas del Reglamento General de Protección de Datos (RGPD) es el establecimiento de un nuevo régimen sancionador, las empresas que no cumplan las obligaciones se exponen a multas de hasta 20 millones de euros o el 4% de la facturación anual. La Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales desarrolla el sistema de sanciones del RGPD.

Es así como distribuye y categoriza la LOPDGDD el tipo de infracciones que se pueden llevar a cabo. La cuantía a pagar dependerá directamente de la proporcionalidad de la infracción cometida.  Esta sería la tabla de infracciones:

INFRACCIONES

CUANTÍA

Leves (Art. 74 LOPDGDD)

Hasta 40.000 euros

Graves (Art. 73 LOPDGDD)

40.001€ a 300.000€

Muy graves (Art. 72 LOPDGDD)

300.000€ a 20.000.000€
2% a 4% facturación bruta anual