Ley de protección de datos
Ley orgánica 3/2018 de 5 de diciembre.
Es aplicable desde el 25 de mayo de 2018 a todas las empresas y personas físicas que traten datos personales.
Obligaciones
LOPD
Creación de un fichero con datos personales.
Notificación a AEPD.
Informar a la persona física de la inscripción de los datos en un fichero.
Derechos ARCO: Acceso, Rectificación, Corrección y Oposición.
RGPD
Deber de obtener el consentimiento informado.
Legitimación para obtención de datos.
Informar de la filtración, pérdida o modificación de datos.
Derecho al olvido.
Portabilización de los datos.
Seudonimización.
Obligatoriedad de mantener las medidas de seguridad necesarias.
Y ésto es sólo el principio…
¡¡MUY IMPORTANTE!!
Si vas a manejar datos de clientes, de proveedores, vas a enviar tus noticias por mail a una base de interesados en tu producto necesitas cumplir con esta ley que es obligatoria para todos desde 2018
PLAN DE SEGURIDAD
Debes identificar la información más relevante de la que somos responsables.
Aplicar las medidas que consideremos necesarias para proteger esos datos: cifrado, restricción de acceso, copias de seguridad.
Diseñar un protocolo de actuación en caso de sufrir un incidente de seguridad y respetarlo.
¿QUÉ PASA SI INCUMPLO LA LEY?
SANCIONES
Si no informo de un incidente de seguridad: la sanción máxima es de 10.000.000€ o 2% de la facturación global.
Si no tengo consentimiento, no es lícito o trato con negligencia los datos especialmente protegidos: 20.000.000€ o 4% de facturación global.
Si no cumplo ni implemento medidas de seguridad apropiadas: 10.000.000€ o 2% facturación global.
Cualquier otra norma dictada por los estados miembros: la cuantía no está fijada pero será con arreglo a RGPD.
CONSENTIMIENTO EXPLíciTO
Es válido cualquier mecanismo por el que el usuario tenga que realizar una acción: marcar una casilla, rellenar un formulario, elección de un parámetro…
No es válida cuanto le pides una inacción: silencio o casillas previamente marcadas.
LEGITIMIDAD EN EL TRATAMIENTO
Debe existir una legitimación para tratar los datos.
Los datos tienen que tener una coherencia con el propósito del tratamiento: tratamientos médicos, mercadotecnia o administración…
DEBER DE INFORMAR
La información siempre mejor por exceso.
En caso de incidente de seguridad debes:
– Informar a AEPD en 72 horas máximo. Si los datos son especialmente sensibles o suponen una amenaza para los derechos y libertades debes informar a los afectados.