Deprecated: WP_Translation_Controller::load_file(): Implicitly marking parameter $locale as nullable is deprecated, the explicit nullable type must be used instead in /home/he284191/rgpd.guiaburros.es/wp-includes/l10n/class-wp-translation-controller.php on line 101

Deprecated: WP_Translation_Controller::unload_file(): Implicitly marking parameter $locale as nullable is deprecated, the explicit nullable type must be used instead in /home/he284191/rgpd.guiaburros.es/wp-includes/l10n/class-wp-translation-controller.php on line 156

Deprecated: WP_Translation_Controller::unload_textdomain(): Implicitly marking parameter $locale as nullable is deprecated, the explicit nullable type must be used instead in /home/he284191/rgpd.guiaburros.es/wp-includes/l10n/class-wp-translation-controller.php on line 201

Deprecated: WP_Translation_Controller::is_textdomain_loaded(): Implicitly marking parameter $locale as nullable is deprecated, the explicit nullable type must be used instead in /home/he284191/rgpd.guiaburros.es/wp-includes/l10n/class-wp-translation-controller.php on line 243

Deprecated: WP_Translation_Controller::translate(): Implicitly marking parameter $locale as nullable is deprecated, the explicit nullable type must be used instead in /home/he284191/rgpd.guiaburros.es/wp-includes/l10n/class-wp-translation-controller.php on line 263

Deprecated: WP_Translation_Controller::translate_plural(): Implicitly marking parameter $locale as nullable is deprecated, the explicit nullable type must be used instead in /home/he284191/rgpd.guiaburros.es/wp-includes/l10n/class-wp-translation-controller.php on line 297

Deprecated: WP_Translation_Controller::locate_translation(): Implicitly marking parameter $locale as nullable is deprecated, the explicit nullable type must be used instead in /home/he284191/rgpd.guiaburros.es/wp-includes/l10n/class-wp-translation-controller.php on line 397

Deprecated: WP_Translation_Controller::get_files(): Implicitly marking parameter $locale as nullable is deprecated, the explicit nullable type must be used instead in /home/he284191/rgpd.guiaburros.es/wp-includes/l10n/class-wp-translation-controller.php on line 430

Deprecated: WP_Translation_File::create(): Implicitly marking parameter $filetype as nullable is deprecated, the explicit nullable type must be used instead in /home/he284191/rgpd.guiaburros.es/wp-includes/l10n/class-wp-translation-file.php on line 84

Deprecated: wp_getimagesize(): Implicitly marking parameter $image_info as nullable is deprecated, the explicit nullable type must be used instead in /home/he284191/rgpd.guiaburros.es/wp-includes/media.php on line 5502

Deprecated: Ai1wm_Export_Enumerate_Tables::execute(): Implicitly marking parameter $db_client as nullable is deprecated, the explicit nullable type must be used instead in /home/he284191/rgpd.guiaburros.es/wp-content/plugins/all-in-one-wp-migration/lib/model/export/class-ai1wm-export-enumerate-tables.php on line 32

Deprecated: Ai1wm_Import_Options::execute(): Implicitly marking parameter $db_client as nullable is deprecated, the explicit nullable type must be used instead in /home/he284191/rgpd.guiaburros.es/wp-content/plugins/all-in-one-wp-migration/lib/model/import/class-ai1wm-import-options.php on line 32

Deprecated: Ai1wm_Import_Database::execute(): Implicitly marking parameter $db_client as nullable is deprecated, the explicit nullable type must be used instead in /home/he284191/rgpd.guiaburros.es/wp-content/plugins/all-in-one-wp-migration/lib/model/import/class-ai1wm-import-database.php on line 32

Deprecated: WPCF7_Pipes::__construct(): Implicitly marking parameter $texts as nullable is deprecated, the explicit nullable type must be used instead in /home/he284191/rgpd.guiaburros.es/wp-content/plugins/contact-form-7/includes/pipe.php on line 39

Deprecated: YoastSEO_Vendor\Symfony\Component\DependencyInjection\Container::__construct(): Implicitly marking parameter $parameterBag as nullable is deprecated, the explicit nullable type must be used instead in /home/he284191/rgpd.guiaburros.es/wp-content/plugins/wordpress-seo/vendor_prefixed/symfony/dependency-injection/Container.php on line 60

Warning: Cannot modify header information - headers already sent by (output started at /home/he284191/rgpd.guiaburros.es/wp-content/plugins/contact-form-7/includes/pipe.php:39) in /home/he284191/rgpd.guiaburros.es/wp-includes/feed-rss2.php on line 8
GuíaBurros RGPD https://www.rgpd.guiaburros.es/ Todo lo que debes saber para crear tu propia web en WordPress Wed, 16 Jun 2021 08:30:39 +0000 es hourly 1 https://wordpress.org/?v=6.5.8 YouTube prohíbe los anuncios de apuestas, política y alcohol en su cabecera https://www.rgpd.guiaburros.es/youtube-prohibe-anuncios-apuestas-polita-alcohol-cabecera-guiaburros-rgpd/ https://www.rgpd.guiaburros.es/youtube-prohibe-anuncios-apuestas-polita-alcohol-cabecera-guiaburros-rgpd/#respond Wed, 16 Jun 2021 08:30:39 +0000 https://www.rgpd.guiaburros.es/?p=1650 La plataforma de Google ha anunciado un cambio en su sistema de publicidad. Los anuncios relacionados con política, apuestas de cualquier tipo y alcohol dejarán de aparecer en su cabecera.

La entrada YouTube prohíbe los anuncios de apuestas, política y alcohol en su cabecera aparece primero en GuíaBurros RGPD.

]]> La plataforma de Google ha anunciado un cambio en su sistema de publicidad. Los anuncios relacionados con política, apuestas de cualquier tipo y alcohol dejarán de aparecer en su cabecera.

Fuente: www.esports.as.com

Google ha anunciado un cambio de política en el sistema de publicidad de YouTubeLos anuncios relacionados con temas políticos, apuestas —deportivas o de cualquier índole— y de bebidas alcohólicas o medicamentos dejarán de aparecer en la cabecera de la web.

YouTube seguirá permitiendo este tipo de publicidad dentro de los vídeos o en los millones de canales que crean diariamente vídeos en la plataforma. Solo quedarán exentos de uno de los lugares más visibles.

En el caso de la política, hay un importan matiz en las nuevas reglas. Habrá anuncios de este tipo en portada si no contienen mensajes de apoyo a un determinado candidato o partido. No obstante, la plataforma anuncia que revisará los anuncios de este tipo caso por caso para asegurarse de que entran dentro de las normas.

«Revisamos periódicamente nuestros requisitos publicitarios para asegurarnos de que se ajustan tanto a las necesidades de los anunciantes como a la de los usuarios», explica un portavoz de YouTube al diario ABC. «Hoy, estamos actualizando esos requisitos para limitar las categorías de anuncios que son aptas para publicarse en el inventario de cabecera de YouTube«.

«Creemos que esta actualización se basará en los cambios que hicimos el año pasado en el proceso de reserva de la cabecera y dará lugar a una mejor experiencia para los usuarios», finaliza.

Las reglas ya definen la nueva política de YouTube. Se puede leer que en los anuncios de la cabecera no podrá aparecer «contenido relacionado con los juegos de apuestas, incluidos juegos de azar sin conexión«. También se refleja como inapropiados los «activos relacionados con las elecciones o la política». Para finalizar, también se prohíbe hacer «referencia a contenido relacionado con el alcohol o a medicamentos recetados».

La entrada YouTube prohíbe los anuncios de apuestas, política y alcohol en su cabecera aparece primero en GuíaBurros RGPD.

]]> https://www.rgpd.guiaburros.es/youtube-prohibe-anuncios-apuestas-polita-alcohol-cabecera-guiaburros-rgpd/feed/ 0 El marketplace de Amazon descataloga los productos de vendedores con reviews falsas https://www.rgpd.guiaburros.es/marketplace-amazon-descataloga-productos-vendedores-reviews-falsas/ https://www.rgpd.guiaburros.es/marketplace-amazon-descataloga-productos-vendedores-reviews-falsas/#respond Tue, 11 May 2021 08:31:28 +0000 https://www.rgpd.guiaburros.es/?p=1639 La firma de investigación Safety Detectives descubrió una base de datos que implican a más de 200.000 personas dispuestas a proporcionar reviews falsas.

La entrada El marketplace de Amazon descataloga los productos de vendedores con reviews falsas aparece primero en GuíaBurros RGPD.

]]> La firma de investigación Safety Detectives descubrió una base de datos que implican a más de 200.000 personas dispuestas a proporcionar reviews falsas.

Fuente: www.marketing4ecommerce.net

A medida que el eCommerce avanza, las reseñas toman un lugar muy importante para ganarse la confianza de los consumidores. Estas valoraciones, generalmente representadas con estrellas, son la forma más sencilla de conseguir opiniones independientes sobre productos que muchas veces no hemos podido tocar… ni conocemos a nadie que lo haya hecho. Sin embargo no todas las reseñas son válidas, y tras una polémica en torno a la veracidad de las reviews se ha desatado la gran purga de Amazon.

No es que las reviews falsas sean un descubrimiento nuevo: desde hace años sabemos que estas prácticas han estado presentes en muchos eCommerce y marketplaces, especialmente alrededor de productos de tecnología. Sin embargo, hace unos días se desató de nuevo la polémica en torno a esta clase de acciones fraudulentas, y en este caso se involucra directamente a Amazon.

Filtrados los datos de más de 200.000 consumidores que ofrecían reviews falsas en Amazon

La firma de investigación Safety Detectives descubrió una base de datos con más de 7 GB de registros que implican a más de 200.000 personas que estaban dispuestas a proporcionar reviews falsas a cambio de compensaciones económicas y productos gratuitos.

No ha quedado claro quién es el propietario de esta inmensa base de datos aunque los vendedores, al menos en su gran mayoría, procedían de China. Sin embargo la filtración ha demostrado cómo es el funcionamiento interno de una realidad que ha afectado al gigante del retail desde hace años, y que sigue afectando al mercado retail online hasta ahora.

La información da a conocer el procedimiento por el cual ciertas marcas o proveedores de Amazon obtienen buena calificación de sus productos mientras los consumidores obtienen productos gratis o con un buen descuento.

Los vendedores envían una lista de productos a los usuarios para que elijan, los consumidores los compran, dejan su reseña de 5 estrellas en Amazon y una vez que es publicada, el consumidor avisa al vendedor para que le realice un reembolso vía PayPal. De esta manera Amazon nunca sospechará que la reseña es vendida.

Pero ahora tras la filtración de esta información ha llegado la gran purga de Amazon, y es que si bien aún no hay algún comunicado oficial, de acuerdo con un informe del experto en eCommerce asiático Matthew Brennan algunas de las marcas populares de productos chinos han sido deshabilitadas en el gran marketplace.

Aukey y otras reconocidas marcas han sido descatalogadas

Uno de estos populares vendedores es Aukey, una marca que durante los últimos años ha construido un gran renombre al ofrecer productos electrónicos como accesorios para dispositivos móviles, auriculares o altavoces, y cuyo negocio está centrado básicamente en este marketplace. Como puedes imaginarte, esta medida de Amazon significa un gran impacto para la marca que por ahora no tiene ningún producto disponible en Amazon en varios países del mundo, España incluida, lo que la ha dejado sin uno de sus principales canales de distribución.

Además de Aukey, otras marcas de electrónica procedentes de China han dejado de aparecer en uno o más mercados del gigante del retail y que podrían ser parte de la purga de Amazon son Tacklife, Victsing o MPow, y cuya desaparición supuestamente estaría vinculada con el escándalo descubierto por Safety Detectives.

Los consumidores pueden reportar los abusos que encuentren en las reseñas en Amazon

En cuanto a los consumidores y las mismas tiendas, un portavoz de Amazon asegura que se dispone de un “equipo de investigadores” así como una “serie de herramientas de machine Learning” capaces de analizar más de 10 millones de reviews a la semana, con el fin de que se ajusten a sus políticas.

“Tenemos políticas claras tanto para las personas que escriben las reseñas de producto como para nuestros colaboradores comerciales”, aseguró el portavoz. Tomamos acciones contra aquellos que violan nuestras políticas que pueden implicar la suspensión o eliminación de sus cuentas o el inicio de acciones legales”.

Amazon también alienta a sus clientes “preocupados por la autenticidad de las reseñas que pueda ver en un producto a que utilicen la función “Informar de un abuso” disponible en cada una de estas reseñas, para que podamos investigar y tomar las medidas adecuadas”.

A pesar de que Amazon no comentó nada específicamente sobre el caso específico de Aukey y los otros proveedores chinos, la compañía sí ha dejado claro que prohíbe el pago por reseñas en su plataforma y que continuará trabajando para detectar estas irregularidades.

La entrada El marketplace de Amazon descataloga los productos de vendedores con reviews falsas aparece primero en GuíaBurros RGPD.

]]> https://www.rgpd.guiaburros.es/marketplace-amazon-descataloga-productos-vendedores-reviews-falsas/feed/ 0 Repercusiones sobre el Reglamento de e-Privacy en los seguros telemáticos https://www.rgpd.guiaburros.es/repercusiones-reglamento-e-privacy-los-seguros-telematicos/ https://www.rgpd.guiaburros.es/repercusiones-reglamento-e-privacy-los-seguros-telematicos/#respond Wed, 21 Apr 2021 09:08:59 +0000 https://www.rgpd.guiaburros.es/?p=1632 El reglamento debe proporcionar seguridad jurídica para la recogida de datos del terminal y que las aseguradoras puedan ofrecer seguros telemáticos.

La entrada Repercusiones sobre el Reglamento de e-Privacy en los seguros telemáticos aparece primero en GuíaBurros RGPD.

]]> El reglamento debe proporcionar seguridad jurídica para la recogida de datos del terminal y que las aseguradoras puedan ofrecer seguros telemáticos.

La única manera de que las aseguradoras puedan seguir ofreciendo productos de seguros basados en la telemática es que, para permitir la recogida de datos de los equipos terminales, los colegisladores europeos -la Comisión Europea, el Consejo de la UE y el Parlamento Europeo- preserven la exención de los “servicios solicitados por el usuario final”.

Para que las aseguradoras puedan seguir ofreciendo estos servicios innovadores, “es importante que el Reglamento sobre la privacidad electrónica incluya una base jurídica que proporcione suficiente seguridad jurídica para recoger datos del equipo terminal”.

Así lo considera Insurance Europe en un documento que acaba de publicar en el que se examinan las repercusiones de las distintas posiciones adoptadas por los colegisladores sobre las propuestas de Reglamento de privacidad electrónica (e-Privacy), que se debatirán próximamente en un diálogo a tres bandas. Este tipo de servicios innovadores, según se indica, benefician enormemente a los consumidores al premiar a los conductores de bajo riesgo con primas más bajas, al tiempo que mejoran la seguridad vial.

Sin embargo, sólo la posición del Consejo proporcionaría la seguridad jurídica que las aseguradoras necesitan para seguir ofreciendo estos productos, ya que no hay ninguna excepción ni en la posición de la Comisión ni en la del Parlamento que proporcione dicha seguridad.

Interacción entre e-Privacy y RGPD

Insurance Europe también recomienda salvaguardar la actual interacción entre la Directiva sobre privacidad electrónica y el Reglamento general de protección de datos (RGPD) en lo que respecta a la recogida y el tratamiento de datos de los equipos terminales. En la actualidad, como ha destacado el Consejo Europeo de Protección de Datos, la recogida de datos del equipo terminal del usuario está protegida por la actual Directiva sobre privacidad electrónica, y cualquier tratamiento posterior de datos personales entra en el ámbito del artículo 6 del RGPD.

A diferencia de una lista fija de exenciones, como propone el nuevo Reglamento sobre la privacidad electrónica, el enfoque basado en los principios y el riesgo del RGPD permite la flexibilidad necesaria para tratar los datos personales en situaciones en las que no siempre es posible o factible recurrir al consentimiento.

También hay que señalar que todos los motivos legales para el tratamiento de datos personales en el marco del RGPD ya ofrecen a los consumidores una mayor protección en comparación con la actual Directiva sobre privacidad electrónica.

La entrada Repercusiones sobre el Reglamento de e-Privacy en los seguros telemáticos aparece primero en GuíaBurros RGPD.

]]> https://www.rgpd.guiaburros.es/repercusiones-reglamento-e-privacy-los-seguros-telematicos/feed/ 0 ¿Cuáles son los pasos para prepararse para el RGPD? https://www.rgpd.guiaburros.es/cuales-los-pasos-prepararse-rgpd-guiaburros-rgpd/ https://www.rgpd.guiaburros.es/cuales-los-pasos-prepararse-rgpd-guiaburros-rgpd/#respond Fri, 05 Mar 2021 09:47:02 +0000 https://www.rgpd.guiaburros.es/?p=1617 Descubre cuáles son los pasos clave para preparase adecuadamente para el Reglamento General de Protección de Datos.

La entrada ¿Cuáles son los pasos para prepararse para el RGPD? aparece primero en GuíaBurros RGPD.

]]>

Descubre cuáles son los pasos clave para preparase adecuadamente para el Reglamento General de Protección de Datos.

Fuente: www.es.mailjet.com

Paso 1 – Fomentar el conocimiento por parte del equipo directivo

Asegurarse de que el equipo directivo de la empresa conoce el RGPD (o GDPR, por sus siglas en inglés) y es consciente del posible impacto en su organización para garantizar la participación interna.

Paso 2 – Verificación y documentación del estado de los datos

Comprueba el estado actual de tus datos y documentos:

  • ¿Qué datos personales posee actualmente?
  • ¿De dónde proceden y con quién los ha compartido?
  • ¿Dónde se encuentran sus debilidades y en qué puntos puede ser considerados responsables?
  • ¿Dónde están almacenados actualmente tus datos? Clasifica esta información.
  • ¿Durante cuánto tiempo permanecen almacenados estos datos en tus sistemas y cuándo pueden eliminarse?

Paso 3 – Avisos sobre privacidad

Examina tus avisos sobre privacidad actuales:

  • ¿Qué actualizaciones son necesarias?
  • Privacidad integrada configurada y predeterminada en todos los proyectos —no recopiles más datos personales de los que necesites, utiliza la anonimización, la seudonimización y la encriptación.

Paso 4 – Derechos de los interesados respecto de sus datos

Comprueba tus procedimientos actuales para asegurarte de que eres capaz de cumplir con todos los derechos de los interesados respecto de sus datos. El derecho a:

  • Ser olvidado; ser informado; eliminar sus datos; poseer una copia de sus datos personales (en el plazo de un mes, de forma gratuita);
  • Derecho a la portabilidad de datos — datos recopilados electrónicamente en un formato que se utiliza comúnmente;
  • Derecho a impedir las decisiones automatizadas y el perfilado;
  • Derecho de oposición.

Paso 5 – Consentimiento de los interesados respecto de sus datos

Evalúa la manera en que buscas, obtienes y registras los consentimientos:

  • ¿Tus registros son exactos, están actualizados y protegidos?
  • ¿Dispones de consentimientos separados y explícitos para gestionar todos los datos personales?
  • ¿Necesitas el consentimiento de una persona titular de la responsabilidad parental? (los niños pueden dar su propio consentimiento a partir de los 16 años, aunque esta edad puede rebajarse a los 13 años en el caso del Reino Unido).

Paso 6 – Gestión de la filtración de datos

Asegúrate de que has puesto en práctica los procedimientos adecuados para detectar, comunicar e investigar cualquier filtración de datos.

Paso 7 – Protección de datos mediante el diseño y evaluación del impacto sobre la protección de datos

Familiarízate con las EIPD (Evaluaciones del Impacto sobre la Protección de Datos) y calcula cuándo y cómo ponerlas en marcha en tu organización (nota: existen excepciones para negocios pequeños y la utilización de datos a pequeña escala).

  • Determina si necesitas nombrar/contratar a un DPD (Delegado de protección de datos), que será el encargado del cumplimiento de las normas sobre protección de datos, actuará de manera independiente e informará a los altos cargos directivos.
  • Asegúrate de que tus contratos con terceros incluyen las nuevas disposiciones.

 

Paso 8 – ¿Qué es un Delegado de protección de datos?

Un DPD (Delegado de protección de datos) es una persona —ya sea un empleado o un asesor externo— que tiene la responsabilidad formal en cuanto al cumplimiento de las normas sobre protección de datos en una empresa. Debe nombrarse a un DPD cuando se cumpla cualquiera de estas condiciones:

  • Las actividades pertinentes de procesamiento de datos las lleva a cabo una autoridad u organismo público (la definición de «autoridad u organismo público» la determina cada Estado miembro de la UE);
  • Las actividades principales del negocio correspondiente implican el seguimiento regular y sistemático de personas, a gran escala; o
  • Las actividades principales del negocio correspondiente implican datos personales sensibles o datos relacionados con condenas y delitos penales, a gran escala.

Si el DPD se encuentra dentro de tu organización, como empleador debes:

  • Proporcionar los recursos necesarios para desempeñar sus tareas y mantener sus conocimientos especializados;
  • Proporcionar acceso a los datos personales y operaciones de procesamiento;
  • Asegurarte de que interviene en todos los asuntos relacionados con la protección de los datos personales;
  • Facilitar al público y a la autoridad supervisora sus detalles de contacto.

Paso 9 – Sensibilización del personal

Informa y sensibiliza a tu personal y empleados sobre la recopilación y el tratamiento de cualquier dato de clientes.

La entrada ¿Cuáles son los pasos para prepararse para el RGPD? aparece primero en GuíaBurros RGPD.

]]> https://www.rgpd.guiaburros.es/cuales-los-pasos-prepararse-rgpd-guiaburros-rgpd/feed/ 0 Descubre cuáles son los cambios clave con RGPD https://www.rgpd.guiaburros.es/descubre-cuales-los-cambios-clave-rgpd/ https://www.rgpd.guiaburros.es/descubre-cuales-los-cambios-clave-rgpd/#respond Mon, 15 Feb 2021 08:20:08 +0000 https://www.rgpd.guiaburros.es/?p=1598 A continuación, descubrirás cuáles son los cambios fundamentales con el Reglamento General de Protección de Datos.

La entrada Descubre cuáles son los cambios clave con RGPD aparece primero en GuíaBurros RGPD.

]]>

A continuación, descubrirás cuáles son los cambios fundamentales con el Reglamento General de Protección de Datos.

Fuente: www.es.mailjet.com

Definición expandida de lo que es la información personal

Cualquier información que contribuya o pueda estar relacionado con la identificación de un individuo será incluido dentro de la nueva definición de “datos personales” del Reglamento General de Protección de Datos (RGPD o GDPR, por sus siglas en inglés), ya esté ligado a su vida privada, personal o pública.

Puede ser cualquier cosa: desde un nombre, una dirección de casa, una foto, una dirección de email, detalles bancarios, publicaciones en redes sociales, información médica, la dirección IP de un ordenador, e incluso datos biométricos y genéticos.

Derechos individuales y condiciones para el consentimiento nuevas y fortalecidas

Entre las novedades y las medidas fortalecidas se incluyen los derechos de acceso, el derecho al olvido, y a la portabilidad de los datos. Los controladores y los procesadores de datos tienen la obligación de comunicar de forma clara estos derechos a los individuos de los que toman los datos:

  • Cuánto tiempo se guardará la información;
  • Si la información será transferida a otros países;
  • Información sobre el derecho a acceder a sus datos personales;
  • Información sobre el derecho a que su información sea borrada o rectificada en determinadas circunstancias;
  • Condiciones de control reforzadas. Las empresas ya no podrán utilizar Términos y Condiciones largos y llenos de jerga legal, puesto que el consentimiento deberá ser concedido a través de un formulario fácil de entender y de acceder, en el que se indique la finalidad de los datos. El consentimiento debe ser claro y fácil de distinguir, y debe ser proporcionado usando un lenguaje claro y llano. Además, debe ser tan fácil de revocar como de dar.

Mayores responsabilidades para quienes tratan y procesan la información

De acuerdo con el nuevo Reglamento General de Protección de Datos (RGPD o GDPR, en inglés), aquellos que controlan los datos personales (las empresas) y especialmente los que los procesan (terceros proveedores de servicios) son ahora considerados responsables y contra ellos pueden emprenderse acciones legales.

Quienes controlan los datos personales tendrán también el derecho a hacer una auditoría a aquellos que los procesan. Además, se pueden imponer multas más altas por incumplimiento: hasta el 4 % de los beneficios globales o 20 millones de euros, cualquiera que sea la cifra más alta.

 

Efecto extraterritorial

El RGPD se aplicará a todos aquellos que procesen los datos personales de ciudadanos de la Unión Europea, independientemente del país en el que estén localizados.

Obligación de poner medidas preventivas de protección de datos

Aunque ya no es obligatorio notificar a la autoridad correspondiente sobre el tratamiento de los datos personales, ahora es imprescindible poner en marcha todas las medidas técnicas y organizativas necesarias con el fin de prevenir todo riesgo. Esto incluirá, entre otros, los contratos, las políticas de confidencialidad, la gestión de riesgos, la conservación de los datos, etc.

Deber de informar sobre brechas de seguridad

Con el nuevo RGPD (o GDPR, en inglés), en caso de brecha de seguridad, ya sea por accidente la empresa responsable de los datos deberá notificar a la autoridad nacional de protección en las 72 horas después del incidente, para que los usuarios puedan tomar las medidas apropiadas.

Si la fuga presenta un riesgo mayor para los derechos y las libertades de los individuos implicados, estos últimos deben ser informados. La empresa deberá conservar un registro interno de los diferentes incidentes. El incumplimiento de esta cláusula podría suponer una multa de 10 millones de euros o un 2% de los beneficios anuales, cualquiera que sea mayor.

La figura del Delegado de Protección de Datos

El requerimiento de contar con un delegado de protección de datos es aplicable tanto a las empresas que controlan como a las que procesan los datos, independientemente de su tamaño. El Reglamento General de Protección de Datos exige que haya un delegado de protección de datos en tres casos (más información disponible en la sección ¿Cómo me preparo para el RGPD?).

El incumplimiento de este requerimiento puede suponer una multa del 2% de los beneficios anuales o de 10 millones de euros, cualquiera que sea mayor. Si una empresa decide no nombrar un delegado de protección de datos, deberá mantener un registro de los motivos por los que tomaron esta decisión, que demuestren que se han tenido en cuenta todos los elementos que pudieran ser relevantes.

Medidas técnicas y organizativas más estrictas

Para prepararse para el RGPD (o GDPR, en inglés), las empresas deberían echar un vistazo a las recomendaciones y mejores prácticas más recientes. Puedes encontrar algunas medidas recomendadas aquí:

Medidas organizativas :

  • Contratar, formar y nombrar un delegado de protección de datos (ver “La figura del delegado de protección de datos”) o nombrar un representante de protección de datos externo a la organización;
  • Integrar un Sistema del Control del Riesgo adecuado;
  • Apostar por la formación y los programas de concienciación y educación de los usuarios;
  • Desarrollar un plan de trabajo a distancia y formar a los empleados.

Medidas técnicas :

  • Configuración segura de todos los sistemas (parches de seguridad, sistemas de inventario y construcción de base en todos los dispositivos);
  • Seguridad de red (hacer seguimiento y pruebas en los controles de seguridad);
  • Gestión de los privilegios de usuarios (menos privilegios y control de la actividad del usuario);
  • Seguimiento y control continuo de todos los sistemas y redes;
  • Encriptado;
  • Tokenización;
  • Anonimación;
  • Suedonimazión (separación de datos de su identificación directa para que no puedan vincularse a una identidad sin información adicional que es almacenada de forma separada);
  • Resiliencia del procesado de sistemas y servicios;
  • Permitir a las empresas restaurar la disponibilidad y el acceso a la información en el caso de una brecha de seguridad;
  • Pruebas frecuentes de la efectividad de las medidas de seguridad;
  • Implementar la privacidad por diseño en todos los nuevos programas técnicos y proyectos.

La entrada Descubre cuáles son los cambios clave con RGPD aparece primero en GuíaBurros RGPD.

]]> https://www.rgpd.guiaburros.es/descubre-cuales-los-cambios-clave-rgpd/feed/ 0 Respuesta a las Principales Preguntas sobre el RGPD https://www.rgpd.guiaburros.es/respuesta-las-principales-preguntas-rgpd/ https://www.rgpd.guiaburros.es/respuesta-las-principales-preguntas-rgpd/#respond Thu, 14 Jan 2021 12:24:21 +0000 https://www.rgpd.guiaburros.es/?p=1585 Aunque el reglamento de protección de datos lleva años vigente, aún existen personas que lo desconoce. Descubre las respuestas a las preguntas más frecuentes que surgen entre la población.

La entrada Respuesta a las Principales Preguntas sobre el RGPD aparece primero en GuíaBurros RGPD.

]]> Aunque el reglamento de protección de datos lleva años vigente, aún existen personas que lo desconoce. Descubre las respuestas a las preguntas más frecuentes que surgen entre la población.

Fuente: www.es.mailjet.com

Es normal que surjan dudas sobre el Reglamento General de Protección de Datos, pues es algo que no es muy sencillo de entender. A continuación, las respuestas a las preguntas más usuales:

¿Qué es el RGPD?

El RGPD, o Reglamento General de Protección de Datos (también conocido como GDPR, por sus siglas en inglés), es el nuevo texto de referencia europeo en materia de protección de datos, que viene para reforzar y unificar la protección de los datos de los individuos en el seno de la Unión Europea.
Este reglamento reemplazará a la actual Directiva 95/46/EC sobre la protección de datos personales, e incluye numerosos cambios claves que debes conocer. Esta nueva normativa europea de protección de datos extiende el campo de aplicación de la ley al conjunto de las empresas, incluidas aquellas no europeas cuando trabajen con información personal de residentes europeos.

El RGPD para B2B y B2C

El RGPD no diferencia entre empresas B2B (del inglés “business-to-business”, que trabajan con otras empresas) y B2C (del inglés “business-to-consumer”, que trabajan con los consumidores), y se aplica a ambos sin distinción. La dirección de email profesional de un individuo se considera ahora información personal.

¿Cuándo se aplicará el RGPD?

El RGPD se aplicó de forma oficial desde el 25 de mayo de 2018, momento a partir del cual aquellas organizaciones o empresas que no cumplían con el reglamento, pudieron ser multadas.

¿A quién se aplica el RGPD?

El RGPD, o GDPR por sus siglas en inglés, se aplica a todas las personas y entidades de todos los tamaños que procesan información personal de residentes de la Unión Europea, independientemente de dónde estén localizadas. Estas regulaciones se aplican tanto a los que controlan como a los que procesan los datos, incluídos terceros como los proveedores de servicios en la nube.

¿Dónde se aplica el RGPD?

El Reglamento General de Protección de Datos es aplicable en los 28 países miembros de la Unión Europea, y a organizaciones y entidades fuera de la Unión Europea, cuando procesen datos de ciudadanos dentro de ésta.

¿Cuál es la multa por incumplimiento del RGPD?

La pena máxima por incumplimiento del RGPD (o GDPR, en inglés) puede ser de hasta 20 millones de euros o el 4 % de los beneficios anuales, cualquiera que sea la mayor de las dos. El sistema de penalizaciones está organizado en niveles. Por ejemplo, una empresa puede ser penalizada con un 2 % por no tener al día sus registros (artículo 28), por no notificar sobre una brecha de seguridad a la autoridad supervisora y a los afectados, o no llevar a cabo un evaluación del impacto.

¿Tu empresa cumple con el RGPD?

Contesta a unas pocas preguntas y evalúa la situación de tu empresa de cara al nuevo Reglamento General de Protección de Datos. Este cuestionario te dará un resumen detallado de la preparación de tu empresa: Quiero empezar el cuestionario.

La entrada Respuesta a las Principales Preguntas sobre el RGPD aparece primero en GuíaBurros RGPD.

]]> https://www.rgpd.guiaburros.es/respuesta-las-principales-preguntas-rgpd/feed/ 0 Todo sobre el documento de seguridad https://www.rgpd.guiaburros.es/todo-sobre-el-documento-de-seguridad/ https://www.rgpd.guiaburros.es/todo-sobre-el-documento-de-seguridad/#respond Tue, 22 Dec 2020 09:59:23 +0000 https://www.rgpd.guiaburros.es/?p=1578 El documento de seguridad tendrá que recoger las medidas de seguridad que afectan a todos los ficheros que contienen datos de carácter personal.

La entrada Todo sobre el documento de seguridad aparece primero en GuíaBurros RGPD.

]]> El documento de seguridad tendrá que recoger las medidas de seguridad que afectan a todos los ficheros que contienen datos de carácter personal. 

El documento de seguridad es un documento interno de la empresa, autónomo, asociación, comunidad de propietarios, entidad u organismo público. Todos ellos deben tenerlo siempre que estén en poder de datos de personas físicas que permitan identificarlas o que las identifiquen. Al ser un documento interno propio de la organización del responsable, no se notifica a la Agencia Española de Protección de Datos, pero sí tiene que quedar a su disposición en caso de ser requerido por las autoridades de control.

No tienen que tenerlo cuando los datos de carácter personal que allí aparezcan sean utilizados por personas físicas en el ámbito doméstico, ya que la Ley Orgánica de Protección de Datos no se aplica en este ámbito.

¿Qué debe contener el documento de seguridad?

El documento de seguridad tendrá que recoger las medidas de seguridad que afectan a todos los ficheros que contienen datos de carácter personal. Teniendo en cuenta la forma en la que tratamos los datos que pueden ser de forma:

  • Automatizada (todo digital).
  • Manual (en soporte físico–papel).
  • Mixta (tanto digital como en soporte físico).

Todos los ficheros se pueden recoger en un único documento, o en varios si se contempla hacer un documento de seguridad por cada fichero. Además, se contará con anexos, que deberán estar redactados conforme a la normativa, recogiendo las medidas de índole técnica y organizativa necesarias para garantizar la protección de los datos de carácter personal, así como la confidencialidad de los mismos.

El documento de seguridad deberá contener principalmente:

  • El ámbito de aplicación del documento con especificación de los datos de carácter personal protegidos.
  • Identificación de los ficheros (denominación) y su código de inscripción en la Agencia Española de Protección de Datos.
  • Identificación del responsable de los ficheros y en su caso, de la persona o personas a las que se les han delegado las obligaciones del responsable.
  • Identificación del Delegado de Protección de Datos (DPD) en caso de que sea necesario.
  • Descripción de los ficheros: personas afectadas, tipo de dato que contienen (p. ej. nombres, apellidos, DNI, dirección, correo electrónico, información académica, nóminas, cuenta bancaria, imágenes, videos, información ideológica, religiosa, antecedentes penales, sanciones administrativas, etc. Aquí no se exponen los datos específicos de esas personas físicas, sino qué contiene el fichero en el caso de consistir en nombres de personas. Si contiene grabaciones de voz, es una identificación del tipo de dato y no los nombres en sí.
  • Procedimientos de gestión de reclamaciones/solicitudes por parte de las personas afectadas en el ejercicio de sus derechos de información, acceso, rectificación, cancelación y oposición (ARCO), así como el derecho al olvido.
  • Personas o empresas que acceden a los datos de carácter personal del fichero, información y obligaciones del personal. Confidencialidad.
  • Las medidas técnicas y organizativas encaminadas a garantizar la protección de los datos de carácter personal exigida para el tratamiento de esos datos, ya que no es lo mismo tratar datos sensibles que tratar datos no sensibles.
  • Personas que acceden a los datos de carácter personal desde el local de trabajo del responsable y desde fuera.
  • Lugar donde se alojan los datos y a quién pertenece. Niveles de seguridad de los locales físicos y de los que se hallan en soporte digital, que tienen que ser conforme al nivel de seguridad implantado en función del tipo de datos que contienen.
  • Indicación del país origen y país de destino, en caso de que se realicen transferencias internacionales de datos de carácter personal, en las que se requiere autorización por parte del Director de la Agencia Española de Protección de Datos, o el consentimiento inequívoco del afectado, a países fuera del Espacio Económico Europeo (EEE), medidas de seguridad contempladas en la transferencia internacional de datos.
  • Códigos de conducta a los que se encuentra adherido el responsable del fichero.
  • Procedimientos de notificación, gestión y respuestas ante las incidencias.
  • Procedimientos de revisión. Auditorías.

Anexos al documento de seguridad

A continuación, muy esquemáticamente se exponen los Anexos:

  • Anexo I. Descripción de ficheros. Incluirá: nombre del fichero o tratamiento, unidad con acceso al tratamiento, nº de identificador en el Registro General de Protección de Datos de la Agencia Española, identificador del responsable, indicación de si está incluido como Código Tipo Aplicable previsto en el art. 32 de la LOPD, estructura del fichero, finalidad, personas o colectivos afectados, nivel de seguridad implantado, cesiones previstas, transferencias internacionales y sistema de tratamiento. Además, indicación del tiempo en el que se guardan estos datos y actividades de registro del tratamiento.
  • Anexo II. Nombramientos del responsable del fichero y sus representantes si los hubiera.
  • Anexo III. Autorización de salida o recuperación de datos. Se han de adjuntar todas las autorizaciones que el responsable del fichero haya firmado para la salida de soportes que tengan datos de carácter personal, incluso de aquellos que tengan un carácter periódico. Identificación de las personas encargadas de la recuperación de los datos.
  • Anexo IV. Delegación de autorizaciones. Indicación de las personas a las que el responsable del fichero haya delegado alguna de las funciones, como copia de documentos en soporte papel o salida de portátiles de la oficina.
  • Anexo V. Inventario de soportes que contienen los datos de carácter personal.
  • Anexo VI. Registro de incidencias para el caso de que la información total o parcialmente se extravíe por cualquier causa. Medidas de recuperación de los datos de carácter personal.
  • Anexo VII. Encargados de tratamiento. Indicación de quiénes son los encargados del tratamiento, a qué tipo fichero acceden y qué servicio prestan al responsable del fichero.
  • Anexo VIII. Registro de entrada y salida de soportes. Esta solo es obligatoria cuando los datos de carácter personal requieren el nivel de seguridad medio y alto. Si está informatizado deberá indicar en el registro de entrada y salida de soporte la forma en la que entran y salen los archivos, y desde dónde lo hacen.
  • Anexo IX. Medidas alternativas. Se tendrán que indicar, cuando no sea posible adoptar las medidas previstas para el cumplimiento del RGPD, otras medidas alternativas que permitan garantizar el almacenamiento de la información en condiciones de seguridad adeudadas.

En resumen, es obligatorio tener el documento de seguridad que recopile la forma del tratamiento de los datos de carácter personal, que deberá estar actualizado siempre que se produzcan cambios que lo requieran. Por ejemplo, si nuestro personal laboral cambia tiene que actualizarse, si la forma en la que tratamos los datos varía, también; la actualización es obligatoria.

La entrada Todo sobre el documento de seguridad aparece primero en GuíaBurros RGPD.

]]> https://www.rgpd.guiaburros.es/todo-sobre-el-documento-de-seguridad/feed/ 0 ¿Sabes cómo mejorar la seguridad informática de tu empresa? https://www.rgpd.guiaburros.es/sabes-como-mejorar-seguridad-informatica-empresa/ https://www.rgpd.guiaburros.es/sabes-como-mejorar-seguridad-informatica-empresa/#respond Mon, 30 Nov 2020 12:18:06 +0000 https://www.rgpd.guiaburros.es/?p=1566 Hoy en día, la digitalización es una herramienta esencial para todas las empresas. Pero con ella viene el aumento de los ataques cibernéticos.

La entrada ¿Sabes cómo mejorar la seguridad informática de tu empresa? aparece primero en GuíaBurros RGPD.

]]> Hoy en día, la digitalización es una herramienta esencial para todas las empresas. Pero con ella viene el aumento de los ataques cibernéticos.

Fuente: Mundo Emprende

El 2020 está siendo un auténtico desastre para la seguridad informática. Según IBM, durante los tres primeros meses de 2020, los ciberataques aumentaron en un 125% en toda Europa. Por otro lado, en el resto del mundo fue de un 40%.

Desgraciadamente, la seguridad informática es una de las asignaturas pendientes de muchas empresas de España. Por ello, hemos recopilado algunos consejos que pueden ser muy útiles.

El correo electrónico

Una de las herramientas más utilizadas e importantes de las empresas es el correo electrónico. Sin embargo, también es una de las más peligrosas. Alrededor del 80% de los ataques cibernéticos se inician por el email. Por él pueden entrar todo tipo de archivos infectados con malware enlaces a sitios maliciosos. Por ello, es muy importante formar a los empleados a detectar ataques o suplantaciones de identidad.

Siempre hay que evitar descargar documentos o «clicar» en enlaces de correos electrónicos a no ser que tengamos el 100% de seguridad en el remitente.

Formación

Antes de ponernos manos a la obra, es fundamental que conozcamos la seguridad informática que opera en nuestra empresa. Gracias a una auditoría podremos saber qué es lo que tenemos y qué no. Ésta podemos realizarla o bien con nuestro propio equipo informático o con una empresa externa. A partir de ahí, hay que definir nuestras prioridades y diseñar nuestro plan de trabajo.

Otro de los puntos fuertes es el de la formación en ciberseguridad básica a los empleados de la empresa. Es muy probable que gracias a ella, nos ahorremos más de un problema en el futuro.

Equipos actualizados

Siempre hemos de mantener todos nuestros equipos actualizados, sobre todo en lo que respecta a actualizaciones de seguridad.

Aunque el software esté al día, el hardware también debemos actualizarlo. No significa que cambiemos de equipos cada año, sino que reemplacemos aquellos que están por jubilarse en tu empresa. Todos los equipos antiguos, por eso de la obsolescencia programada, dejan de recibir actualizaciones, lo que implica que se creen brechas de seguridad.

Contraseñas seguras

Por muy lógico que parezca, esto no suele ser muy recurrente en las empresas. Probablemente, incluso tú mismo lleves 5 años utilizando la misma contraseña. Es fundamental fomentar la cultura de la implementación obligatoria de contraseñas seguras, así como su cambio periódicamente.

Gestión de usuarios y copias de seguridad

Por todas las empresas pasan anualmente miles de personas y millones de datos. En ocasiones, incluso cedemos nuestros accesos a otras compañías, ya sea de forma permanente o momentánea.

Por estos motivos es importante realizar copias de seguridad de todos los datos con los que trabajamos. En el hipotético caso de sufrir un ataque, podremos recuperar todo lo que teníamos. Por otro lado, es fundamental gestionar los permisos específicos que le damos a cada usuario. Además, hemos de asegurarnos de que cada vez que uno de ellos abandona la compañía, estos permisos son eliminados.

El teletrabajo seguro

Debido a la situación actual, el teletrabajo ha llegado para quedarse. Son ya muchas empresas las que están pensando en implementar definitivamente este nuevo sistema de trabajo.

A pesar de ser una muy buena medida, además de efectiva, es potencialmente peligrosa. Por ello, debemos implementar la conexión por medios de VPN’s, garantizando de esta manera la privacidad y el cifrado de dicha conexión.

La entrada ¿Sabes cómo mejorar la seguridad informática de tu empresa? aparece primero en GuíaBurros RGPD.

]]> https://www.rgpd.guiaburros.es/sabes-como-mejorar-seguridad-informatica-empresa/feed/ 0 No dejes que los ciberdelincuentes infecten tu email durante el COVID-19 https://www.rgpd.guiaburros.es/no-dejes-los-ciberdelincuentes-infecten-email-covid-19/ https://www.rgpd.guiaburros.es/no-dejes-los-ciberdelincuentes-infecten-email-covid-19/#respond Tue, 27 Oct 2020 11:27:36 +0000 https://www.rgpd.guiaburros.es/?p=1556 Las campañas de malware han aumentado notablemente ante la situación de confinamiento que estamos viviendo por el COVID-19.

La entrada No dejes que los ciberdelincuentes infecten tu email durante el COVID-19 aparece primero en GuíaBurros RGPD.

]]> Las campañas de malware han aumentado notablemente ante la situación de confinamiento que estamos viviendo por el COVID-19.

Con el estado de alarma del coronavirus, se ha aumentado significativamente el tráfico de internet y de los usuarios frente a las pantallas. Esta situación, ligada a la confusión y temor de los ciudadanos ante la situación, ha provocado que los ciberdelincuentes estén aprovechando la pandemia de coronavirus para realizar campañas de malware.

Organizaciones, fabricantes y expertos relacionados con el ámbito de la ciberseguridad están preocupados frente a las consecuencias que esto pueda tener, por lo que ofrecen consejos para evitar que los usuarios sean víctima de ataques informáticos por ataques que usan el COVID como cebo.

Consejos frente al (ciber) COVID-19

El Centro Criptológico Nacional (CCN) ha detectado campañas de phishing (engaños mediante suplantación de identidad), malware (software malicioso, virus informáticos), así como ransomware (secuestro de datos) y de desinformación a raíz del COVID-19. Bajo el hashtag #CiberCOVID19, ha creado un documento gráfico en el que detalla de forma sencilla consejos sencillos que recomiendan seguir.

  • Respecto al phishing, su recomendación es prestar especial atención a los correos electrónicos recibidos. Y subrayan: “La cura del coronavirus no la recibirás por correo electrónico”.
  • Evitar abrir documentos y archivos adjuntos sobre el COVID-19 en los e-mails que se reciban.
  • En ningún caso descargar aplicaciones o herramientas no oficiales que prometan conocer el alcance internacional de la pandemia.
  • En cuanto a la desinformación, los consejos frente al COVID-19 pasan por no difundir información que no provenga de medios y fuentes oficiales.
  • Asimismo, no contribuir a la difusión de contenido que no esté contrastado.
  • Tampoco se deben compartir mensajes que puedan generar alarma entre la población.

ciberdelincuentes

Estos consejos, aunque especialmente importantes en la situación por la que estamos atravesando, son útiles en cualquier momento, y los expertos advierten que lo deseable es que los usuarios los interioricemos y sigamos en nuestra navegación online.

 

Cuidado con algunas webs sobre el COVID-19

Del mismo modo, a través de la red social de Twitter, el CCN-CERT ha creado un hilo mediante el hashtag #NoTeinfectesConElMail con notificaciones y noticias relevantes para la ciudadanía en este ámbito y así evitar de algún modo que se infecten más equipos.

Por ejemplo, se hace referencia al riesgo de robo de información de mapas fraudulentos sobre zonas infectadas por coronavirus. Asimismo, recomiendan echar un vistazo a este artículo publicado por Forbes en el que se detallan algunos de los sitios web maliciosos que están tratando de engañar a los usuarios para infectar sus equipos.

Lo mejor ante esto es ser consciente y estar informado acerca de las campañas de software y phising malicioso para evitar ponernos en peligro y frenar a los oportunistas que quieren aprovechar la crisis para lucrarse.

Fuente: www.bitlifemedia.com

La entrada No dejes que los ciberdelincuentes infecten tu email durante el COVID-19 aparece primero en GuíaBurros RGPD.

]]> https://www.rgpd.guiaburros.es/no-dejes-los-ciberdelincuentes-infecten-email-covid-19/feed/ 0 Infracciones y sanciones en la protección de datos: Derecho a indemnización y responsabilidad https://www.rgpd.guiaburros.es/infracciones-sanciones-proteccion-datos-derecho-indemnizacion-responsabilidad/ https://www.rgpd.guiaburros.es/infracciones-sanciones-proteccion-datos-derecho-indemnizacion-responsabilidad/#respond Wed, 23 Sep 2020 05:37:35 +0000 https://www.rgpd.guiaburros.es/?p=1547 La protección de datos de carácter personal es un derecho fundamental que debe ser protegido por quienes ejercen una actividad que conlleva el tratamiento de datos de carácter personal.

La entrada Infracciones y sanciones en la protección de datos: Derecho a indemnización y responsabilidad aparece primero en GuíaBurros RGPD.

]]> La protección de datos de carácter personal es un derecho fundamental que debe ser protegido por quienes ejercen una actividad que conlleva el tratamiento de datos de carácter personal.

Esta protección de datos es considerada en nuestro ordenamiento jurídico de obligado cumplimiento, lo que implica que en caso de poner en riesgo los datos personales de los afectados e ignorar e infringir lo dispuesto en las disposiciones legales, tiene como consecuencia la imposición de multas administrativas como sanción.

Estas infracciones pueden iniciarse de oficio por las autoridades competentes en materia de protección de datos o ponerse de manifiesto a instancia de parte del interesado que considera desprotegidos sus datos personales, habiendo sido violados sus derechos y libertades fundamentales en materia de datos de carácter personal.

En este último caso, el interesado podrá interponer una reclamación ante la autoridad de control en el Estado miembro de la Unión Europea donde tenga su residencia habitual, lugar de trabajo o donde se produzca la infracción, sin perjuicio de cualquier otro recurso administrativo o acción judicial que corresponda. En España las reclamaciones o denuncias en materia de protección de datos se interponen en la Agencia Española de Protección de Datos a través de su sede electrónica o presencialmente, ya que tiene establecido un canal de denuncias.

Infringidas las obligaciones en materia de protección de datos de carácter personal, la autoridad de control aplicará como sanción a tales infracciones unas multas administrativas, teniendo en cuenta cada caso en concreto para determinar su cuantía.

Las multas administrativas deberán ser efectivas, proporcionadas y disuasorias, teniendo en cuenta, conforme al art. 83 del Reglamento (UE) 2016/679, entre otros, los siguientes factores:

  • La naturaleza, gravedad y duración de la infracción, el número de afectados y el nivel de daños y perjuicios causados a los interesados.
  • El grado de intención y voluntariedad o negligencia de la comisión de la infracción.
  • Las medidas adoptadas por el responsable del tratamiento o su encargado para mitigar los daños causados a los afectados.
  • Las medidas técnicas y organizativas que hayan aplicado para eliminarlo o disminuir los riesgos ocasionados por la infracción cometida.
  • Si la infracción ha sido cometida por el responsable o encargado del tratamiento.
  • El nivel de intencionalidad de cooperar con la autoridad de control para reparar la infracción cometida y disminuir los daños causado por la infracción.
  • El tipo de datos de carácter personal afectados por la infracción.
  • Si el responsable del tratamiento o el encargado pusieron en conocimiento de la autoridad competente la infracción, y de qué manera.
  • Si la autoridad de control ya ha aplicado unas medidas correctivas al responsable o encargado del tratamiento, y si han sido o no cumplidas por el infractor.
  • La adhesión a códigos de conducta o mecanismos de certificación.
  • Cualquier factor atenuante o agravante aplicable a las circunstancias del caso en concreto.

En atención a estos factores y conforme al Título VII de la LOPD hay tres tipos de infracciones: leves, graves y muy graves, aplicándose las correspondientes sanciones a cada una de ellas. Estas sanciones, con la entrada en vigor del nuevo Reglamento, se han endurecido respecto a la cuantía de las multas administrativas, produciéndose una ampliación de las mismas. En base a esto, podemos distinguir dos tipos de multas administrativas:

  1. Multa administrativa de 10 000 000 euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % del volumen de negocio total global del ejercicio financiero anterior como máximo. Este tipo de sanciones se aplica para infracciones cometidas por:
  • El responsable del tratamiento y encargado del tratamiento en el cumplimiento de sus obligaciones, tales como: Códigos de conducta y certificación, Seguridad en el tratamiento de los datos, Cooperación con la autoridad de control, Registro de actividad del tratamiento, Análisis de riesgo y, cuando proceda, evaluación de impacto.
  • Los organismos de certificación en relación a los códigos de conducta y certificación.
  • La autoridad de control en relación a sus funciones de supervisión en el cumplimiento de los códigos de conducta aprobados.

2. Multa administrativa de 20 000 000 euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % del volumen de negocio total global del ejercicio financiero anterior como máximo. Este tipo de sanciones se aplica para infracciones por incumplimiento de:

  • Los principios básicos del derecho de protección de datos de carácter personal como son: el tratamiento de datos personales, en especial el tratamiento de datos considerablemente sensibles de alta protección, licitud del tratamiento, así como los requisitos para el consentimiento otorgado por el interesado.
  • Los derechos de los interesados, como son el derecho de transparencia de la información, comunicación, acceso a datos personales, derechos ARCO (acceso, rectificación, cancelación y oposición de los datos personales), derecho al olvido y derecho a la limitación del tratamiento.
  • Transferencias internaciones de datos personales a un tercer país o una organización internacional, cuando la transferencia se haya llevado a cabo sin garantías adecuadas respecto al nivel de protección de los datos, o sean transferencias no autorizadas por el Derecho de la Unión Europea.
  • Obligaciones impuestas por cada Estado miembro por la adopción en su derecho interno de la normativa europea en materia de protección de datos de carácter personal.
  • Incumplimiento de una resolución emitida por la autoridad de control, de limitación o suspensión temporal o permanente en el tratamiento de los datos personales.

En cualquiera de los dos casos, siempre se optará por la de mayor cuantía, debiendo ser la sanción individual, efectiva, proporcionada y disuasoria. Cada Estado miembro de la Unión Europea deberá establecer en su ordenamiento jurídico normas de protección de datos personales que recojan sanciones aplicables a su incumplimiento, no teniendo por qué ser de carácter económico, pero debiendo velar en todo momento por su cumplimiento. En cualquier caso, siempre se podrá aplicar de manera subsidiaria las multas administrativas establecidas en el Reglamento 2016/679, siendo incoadas por la autoridad de control e impuestas por los tribunales nacionales competentes.

Derecho a indemnización y responsabilidad

Todo incumplimiento de las obligaciones en la protección de datos personales conlleva la imposición de una sanción al infractor, pero además el interesado que entienda que el tratamiento de sus datos personales ha sido vulnerado generándole un daño, tiene derecho a percibir una indemnización por ello.

Este derecho a la indemnización del interesado viene recogido en el art. 82 del Reglamento 2016/679 al disponer que “toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o encargado del tratamiento una indemnización por los daños y perjuicios sufridos”.

Tanto el responsable del tratamiento como el encargado responderán solidariamente de todos los daños ocasionados al afectado, sin perjuicio del derecho de cada responsable o encargado del tratamiento que abone la indemnización, de reclamar a los demás infractores que hayan participado en la comisión del daño o perjuicio del afectado, de su parte de la indemnización, que debe ser proporcionada a su parte de responsabilidad.

La carga de la prueba ante este tipo de infracciones corresponde al responsable o encargado del tratamiento, al tener que probar que están exentos de responsabilidad, debiendo demostrar el cumplimiento de sus obligaciones en materia de protección de datos de carácter personal.

 

La entrada Infracciones y sanciones en la protección de datos: Derecho a indemnización y responsabilidad aparece primero en GuíaBurros RGPD.

]]> https://www.rgpd.guiaburros.es/infracciones-sanciones-proteccion-datos-derecho-indemnizacion-responsabilidad/feed/ 0