Si eso ocurre, el cliente nos está ejercitando su derecho de supresión y, ¿en qué consiste?
Si un interesado nos solicita que borremos sus datos por ser inexactos, incompletos, desactualizados o no relevantes, debemos borrarlos, eliminarlos totalmente de nuestra base de datos.
Antes, en la LOPD solo se bloqueaban, (derecho de cancelación), por lo que seguían estando en el archivo en el que habían sido guardados aunque no se pudiera acceder a ellos.
Pero, con la nueva normativa de protección de datos, Reglamento General de Protección de Datos y la Ley Orgánica 3/2018, la obligación de la empresa es hacer desaparecer los datos, que sean eliminados de forma total y permanente, si así nos lo pide un cliente.
Una vez solicitada la eliminación por parte de un cliente, nuestra empresa deberá facilitar un formulario al interesado, para que solicite formalmente la supresión de sus datos.
En el plazo de 10 días hábiles, a contar desde la solicitud de supresión, debemos resolver, aportando al cliente un escrito en donde se confirme la supresión de los datos.
Ojo!!! Si en el plazo de diez días no respondemos o la respuesta es insatisfactoria, ese cliente puede reclamar ante la Agencia Española de Protección de Datos, acompañando la documentación acreditativa de haber solicitado la supresión.
Si necesitas nuestra ayuda, no dudes en contactar con #EQUIPOMENTORA.
En el mes de julio, la APDCAT, publicó diversas recomendaciones de privacidad, para promover un uso responsable de las redes sociales entre la ciudadanía.
La campaña cuenta con seis recomendaciones para no perder el control de los datos personales en las RRSS:
- Medir la información que publicas, como la localización o imágenes.
- Configurar las opciones de privacidad del teléfono.
- Controlar cuándo los otros pueden publicar información tuya.
- Valorar las «amistades» que aceptas, porque tendrán acceso a toda tu información.
- Vigilar qué permisos otorgas en las app descargadas, y si son estrictamente necesarios (por ejemplo acceder a contactos o a la galería de imágenes).
- Ejercer el derecho a la protección de datos incluido en el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018, como el acceso, la supresión, la rectificación, y la oposición y limitación del tratamiento, entre otros.
Te facilitamos el enlace a la campaña de difusión.
Se trata de uno de los documentos manejados por cualquier entidad que quiera cumplir con la LOPDGDD y con el RGPD según nos recomienda la www.aepd.es.
¿En qué consiste?
Es un acuerdo entre dos o más partes mediante el cual se determina qué información confidencial es susceptible de ser compartida y/o empleada para un determinado propósito entre las partes contratantes. Tiene consideración de contrato legal.
Los documentos de confidencialidad pueden ser unilaterales, solo una de las partes revela información, o bilaterales. La mayoría suelen ser bilaterales, pues ambas partes tienen obligaciones recíprocas y se protege de esta manera el intercambio de información en ambos sentidos.
Son también un instrumento útil en la protección de secretos industriales. Nos permite restringir la circulación de la información susceptible de perjudicar la futura invención.
La finalidad del documento de confidencialidad es prohibir a la parte receptora de la información la revelación a terceros de datos clasificados como confidenciales. Limitar su utilización a la finalidad pactada en el acuerdo. Y establecer la duración de esas limitaciones a tiempos suficientemente prudenciales.
Un documento de confidencialidad, debe especificar:
- Las partes que intervienen .
- El servicio o finalidad al que va asociada su aplicación.
- Cuál es la información que se considera protegida o confidencial por el acuerdo y cuál no (listas de clientes, proveedores, cifras financieras, etc.).
- Mediante qué medios se facilita la información y por cuáles puede ser accesible.
- Duración del acuerdo.
- Medidas de seguridad destinadas a proteger la información mencionada, que serán adoptadas durante y después del servicio.
- Restricciones que se aplicarán al receptor de la información o proveedor del servicio en cuanto a su utilización (uso de la información facilitada para fines concretos definidos, permiso de divulgación a otras personas para la realización del servicio, obligación de garantizar la confidencialidad de la información divulgada a personas afines al receptor, etc.).
- Cuál es el compromiso o responsabilidad de ambas partes (bilateral) en el acuerdo en caso de incumplimiento.
- Excepciones de la obligación, cuando la información no se considera confidencial o es obtenida por ambas partes, fruto del servicio, y podría ser de dominio público.
- Legislación que se aplica al acuerdo.
- Jurisdicción a la que quedan sometidas las partes.
Si necesitas mayor información consulta con #EQUIPOMENTORA.
La Agencia Española de Protección de Datos acaba de publica un Guía acerca de la protección de datos y las relaciones laborales.
La aplicación del Reglamento General de Protección y la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD) ha supuesto una serie de cambio
– en lo relativo a los derechos de las personas trabajadoras
– en la recogida y el uso de sus datos por parte de los empresarios.
La guía también aborda temas que se plantean cada vez con mayor frecuencia:
- la consulta por parte del empleador de las RRSS de la persona trabajadora
- los sistemas internos de denuncias (whistleblowing)
- el registro de la jornada laboral
- la protección de los datos de las víctimas de acoso en el trabajo o de las mujeres supervivientes a la violencia de género
- el uso de la tecnología wearable como elemento de control
Es una Guía que os recomendamos, pero si necesitas mayor información puedes acudir a #EQUIPOMENTORA.
Al comienzo de la CAMPAÑA DE LA RENTA, el INCIBE nos alerta:
Si has recibido un correo electrónico de AGENCIA TRIBUTARIA, se ha detectado una campaña de envío de correos electrónicos fraudulentos que suplantan a la Agencia Tributaria para difundir malware. En dicha campaña, el correo tiene como asunto: « Acción fiscal».
En el cuerpo del mensaje se solicita al usuario que acceda a la Sede Electrónica o descargue un archivo PDF para acceder a una supuesta información fiscal dirigida al destinatario del correo.
Tanto el supuesto enlace de acceso a la Sede Electrónica como el de descarga del PDF redirigen al usuario a una página web donde se descargará el malware.
El nombre del archivo malicioso tiene un nombre aleatorio, aunque sigue el mismo patrón: « 9 números aleatorios + .zip».
- Es importante que ante la mínima duda analices detenidamente el correo.
- No abras correos de usuarios desconocidos o que no hayas solicitado: elimínalos directamente.
- No contestes en ningún caso a estos correos.
- Revisa los enlaces antes de hacer clic, aunque sean de contactos conocidos.
- Desconfía de los enlaces acortados.
- Desconfía de los ficheros adjuntos, aunque sean de contactos conocidos.
- Ten siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprueba que está activo.
- Asegúrate de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y no tienen permisos de administrador.
- Además, es importante que realices periódicamente copias de seguridad!!!!!
- Guárdalas en una ubicación diferente y verifica que se realizan correctamente y que sabes recuperarlas. De esta forma, en el caso de verte afectado por algún incidente de seguridad, podrás recuperar la actividad de tu empresa de forma ágil.
Mas información en WWW.INCIBE.ES.
Os adjuntamos interesante Resolución de la Agencia Española de Protección de Datos.
La Agencia sanciona a un centro médico, por ceder datos de una HISTORIA CLÍNICA a una mútua de accidentes de trabajo sin el consentimiento del paciente.
Se trata de un grupo de empresas, que abarca a distintos centros médicos privados. El grupo de empresas, tiene acceso a TODA toda la historia clínica del paciente, y comparte la información médica de los pacientes entre sus centros.
Se realiza una prueba médica en uno de los centros médicos por encargo de una mútua de accidentes de trabajo.
Junto con los resultados de la prueba solicitada, se le cede a la mútua de accidentes información médica del paciente con otras pruebas médicas anteriores.
No existía un consentimiento del paciente para ceder dichos datos a la mútua, lo que supone una extralimitación y pérdida de confidencialidad. Sólo debía haber facilitado los datos de la prueba encargada y no la restante información del paciente.
Os dejamos aquí la Resolución.
Muchas empresas están empleando aplicaciones móviles para verificar que cada trabajador entra y sale de la empresa, como sistema de registro horario. Esto se traduce en un tratamiento de datos personales, cuya finalidad es la realización de un CONTROL LABORAL.
No podemos olvidar que la geolocalización no es una obligación, sino una opción de la empresa.
Por ello, la licitud de ese tratamiento viene dada en el CONSENTIMIENTO del trabajador.
Pero, también sabemos que el empresario, perfectamente puede realizarlo en base a la POTESTAD DE DIRECCIÓN.
Por tanto, se puede realizar el tratamiento, pero con los siguientes límites:
1.- la monitorización se puede realizar solo durante la jornada laboral.
2.- el trabajador será informado expresa y previamente
3.- la APP y el internet empleado serán de la empresa
Resumiendo: ¿Puede emplear una empresa una APP con fines de geolocalización de los trabajadores? La respuesta es SI, con los matices expuestos.
Concepto clave en PROTECCIÓN DE DATOS
El concepto de privacidad por defecto se refiere a que sólo sean objeto de tratamiento los datos personales que sean estrictamente necesarios para cada uno de los fines de tratamiento.
Es decir, independientemente del conjunto de datos recogidos por el responsable con el objeto de implementar los distintos servicios que se proporcionan al sujeto de los datos, el responsable ha de compartimentar el uso del conjunto de datos entre los distintos tratamientos, de tal forma que no todos los tratamientos accedan a todos los datos, sino que actúen solo sobre aquellos que sean necesarios y en los momentos en que sea estrictamente necesario.
El principio de « necesidad de conocer» se aplica a la protección de datos de carácter personal en la medida que significa que los empleados de la empresa sólo han de tener acceso a los datos de carácter personal que son estrictamente necesarios para realizar su trabajo o proporcionar un servicio.
Desde #EquipoMentora te dejamos posibles estrategias básicas que permiten implementar medidas técnicas y organizativas para cumplir con la privacidad por defecto:
- Recogida de datos: analizar los tipos de datos que se recaban con un criterio de minimización en función de los productos y servicios seleccionados por el usuario;
- Tratamiento de los datos: analizar los procesos asociados a dichos tratamientos para que se acceda a los mínimos datos personales necesarios para ejecutarlos;
- Conservación de datos: implementar una política de conservación de datos que permita, con un criterio restrictivo, eliminar aquellos datos que no sean estrictamente necesarios;
- Accesibilidad: limitar el acceso por parte de terceros a dichos datos personales.
Más información como siempre en www.aepd.es