¿Qué es el Reglamento General y Ley de Protección de Datos en España?

Son muchas las obligaciones derivadas de las leyes de protección de datos y dependen de la situación concreta. Cada caso tendrá unas obligaciones diferentes.

En esta entrada se condensa mucha información que va desde el diseño de tu proyecto hasta su desarrollo en el tiempo. Para que te hagas una idea, antes de empezar quiero establecer unas pautas.

  • Si has llegado a este post es porque probablemente recojas datos y tengas obligaciones que cumplir pero no sabes cómo.
  • Antes de nada, ten en cuenta que no podrás tratar datos personales si no cumples con los requisitos que fija la ley.
  • Primero debes saber qué son los datos personales, qué tipos hay y qué significa su tratamiento. Es esencial para poder saber si tendrás que cumplir con las obligaciones que te iré citando o no.
  • Hay diferentes tipos de personas implicadas en los datos, del mismo modo que en las empresas puede haber un director general, un coordinador y un oficial. En las leyes de protección de datos se llaman responsable, encargado y delegado de protección de datos.
  • Existe un informe previo a la recogida de datos llamado evaluación de impacto que es posible que tengas que realizar, pero depende de tu caso concreto. Más información aquí.
  • Ya no es obligatorio inscribir tu fichero, pero ahora puede que tengas que realizar un documento que se llama registro de tratamiento. Más información aquí.
  • En cualquier caso, siempre que efectúes un tratamiento de datos personales, tendrás que avisar a las personas implicadas sobre lo que harás con ellos. En el caso de Internet, se hará mediante la política de privacidad.
Índice de contenidos

Resumen de conceptos importantes

  • Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no. Concepto extendido aquí.
  • Datos personales: Toda información sobre una persona identificada o identificable (al que llamaremos interesado). Concepto extendido aquí.
  • Consentimiento: toda manifestación de voluntad libre, específica, informada e inequívoca, por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. Concepto extendido aquí.
  • Responsable de protección de datos: La persona física o empresa, autoridad pública, servicio u otro organismo que, solo o junto con otros, decida para qué y cómo se tratan los datos. Concepto extendido aquí.
  • Encargado de protección de datos: El encargado del tratamiento es la persona o empresa, autoridad pública, servicio u otro organismo que trabaja para el responsable llevando el tratamiento de datos personales en su nombre. Más información aquí.
  • Delegado de protección de datos: Será una persona o una empresa con conocimientos en materia de protección de datos que te guiará para cumplir adecuadamente las leyes. Más información aquí.
  • Datos biométricos: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.

¿Qué es una política de privacidad?

La política de privacidad es un texto con el que explicas, principalmente, a tu usuario: qué harás con sus datos personal, hasta cuando los tendrás y para que los quieres.

Estarás obligado a tener una política de privacidad cuando trates datos personales. Por ejemplo, si haces alguna de estas actividades estarás obligado.

  • Tienes boletín de suscripción.
  • Tienes habilitados los comentarios.
  • Recoges datos de los mensajes de los formularios de contacto.
  • Haces concursos.
  • Vendes productos.
  • Etc.

Si tus usuarios te dan datos personales y los tienes almacenados, te va a tocar cumplir con las normas de protección de datos. Y por tanto eres responsable de ellos.

¿Qué significa tratamiento de datos personales?

Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados (ordenador) o no, como:

  • Recogida.
  • Registro.
  • Organización.
  • Estructuración.
  • Conservación.
  • Adaptación o modificación.
  • Extracción.
  • Consulta.
  • Utilización.
  • Comunicación por transmisión.
  • Difusión .
  • Habilitación de acceso.
  • Cotejo o interconexión.
  • Limitación.
  • Supresión o destrucción.

Cualquiera de estas actividades realizadas por algún sistema automático (ordenador) te convierte en responsable de los datos.

¿Qué son y qué tipos hay de datos personales?

Toda información sobre una persona identificada o identificable (al que llamaremos interesado). Se considerará que una persona es identificable cuando su identidad pueda determinarse por algún dato identificador, como por ejemplo: un nombre, un número de identificación (D.N.I.), datos de localización, IP, datos genéticos… entre otros.

¿Qué tipos de datos personales hay?

Datos personales especialmente protegidos

A este tipo de datos la ley los trata de forma más cuidadosa, por lo que si quieres pedirlos deberás tener más precauciones. No dudes en escribirme para contarme tu caso concreto.

Este tipo de informaciones pueden ser:

Origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, los datos genéticos o biométricos dirigidos a identificar sin lugar a dudas a una persona, los datos relativos a la salud y vida sexual, o las orientaciones sexuales.

No es una lista cerrada y puede ser ampliada por la Ley.

Datos personales en general

El resto de datos que puedas recopilar.

Ejemplos de datos personales: el nombre, los apellidos, donde vive, el D.N.I. …

Base jurídica del tratamiento de datos personales

O lo que es lo mismo, motivos por los cuales la Ley te permite tratar los datos. La Ley parte de la idea de que no es posible que realices tratamiento de datos personales de otras personales, SALVO que cumplas algunos de estos requisitos:

  • Tengas el consentimiento del usuario.
  • Exista un contrato entre vosotros.
  • Por los intereses vitales del interesado o de un tercero.
  • La existencia de una obligación legal para el responsable.
  • La consecución del interés público o el ejercicio de poderes públicos e intereses legítimos prevalentes del responsable o de terceros a quienes comunican los datos.

Ahora los vamos a ver con detenimiento.

Consentimiento del usuario

Para empezar debes saber que, por lo general, sólo los mayores de 14 años pueden darte su consentimiento en materia de datos personales en España. Los menores de esa edad deben pedir que sus padres o tutores consientan por ellos.

El usuario deberá decir que está de acuerdo en que trates sus datos. Pero no de cualquier manera. La norma exige que te den el consentimiento de manera explícita, y esto significa que deberás contar con las siguientes características:

  • Manifestación de voluntad libre. Es decir, el usuario debe consentir sin coacciones / presión.
  • Específica. Cede sus datos sólo para aquello que le estas diciendo que los usarás.
  • Informada e inequívoca. Tiene que saber todo lo que va a pasar con sus datos y qué opciones tiene. Sin política de privacidad bien hecha no se pueden tomar datos mediante la vía del consentimiento.

Por lo tanto, si estás usando un formulario para solicitar datos a tu usuario, puedes poner un apartado con una casilla en la que deba hacer tick para confirmar que acepta la política de privacidad. Pero, cuidado, esta casilla no debe estar pre-marcarda.

Para tu seguridad, deberás tener una forma de probar que el usuario te dio ese consentimiento.

Además, tendrás que avisarle de la posibilidad de retirar el consentimiento en cualquier momento. Siempre avisando que la retirada del consentimiento no implica que el tratamiento anterior sea inválido, es decir, que lo hecho hasta su retirada es legal.

Una relación contractual

Imaginemos que vendes un curso en tu página web. En este caso estarás firmando un contrato con el usuario comprador para que el que necesitarás algunos datos como podría ser una dirección de correo electrónico para enviarlo, o el D.N.I. para la factura.

Esos datos sólo serán recogidos con motivo de la compra y por lo tanto, esa será la base jurídica o la razón para el tratamiento. No requerirá de un consentimiento más allá del propio contrato.

Intereses vitales del interesado o de un tercero

Sería el caso por ejemplo del control de plagas, epidemias, catástrofes naturales…

Existencia de una obligación legal para el responsable

Que la ley te obligue a tratar los datos. En ese caso más que nunca depende de tus características concretas. Podría ser por ejemplo la obligación de conservar durante 4 años las facturas de la Ley del IVA.

Intereses legítimos

Ocurre cuando tus intereses están por encima de los de tus usuarios y te permita tratar sus datos. Es bastante complejo determinar cuándo se produce este supuesto por lo que hay que estudiar con detenimiento cada caso.

Algunos ejemplos de interés legítimo:

  • Prevención del fraude.
  • Tratamiento realizado por los responsables de empresas afiliadas a un organismo central con fines administrativos.
  • Para garantizar la seguridad de la red y de la información.

Como decía, depende mucho del caso concreto.

Consecución del interés público o el ejercicio de poderes públicos

Tratamiento de datos para el bien de la sociedad o poderes del Estado. Por ejemplo se daría cuando los colegios piden un certificado negativo de delitos sexuales para aquellos que van a trabajar con menores.

¿Quién es el responsable, el encargado y el delegado de protección de datos, y cuál es su función?

Responsable

La persona física o empresa, autoridad pública, servicio u otro organismo que, solo o junto con otros, decide para qué y cómo se tratan los datos.

Ello supone que tú, como propietario de la web que recoges y tratas datos personales eres el responsable del tratamiento.

Encargado

El encargado del tratamiento es la persona o empresa, autoridad pública, servicio u otro organismo que trabaja para el responsable llevando el tratamiento de datos personales en su nombre.

Puede haber muchos tipos de encargados de tratamiento de datos.

Por ejemplo, puede ser una empresa que se dedique al almacenamiento de datos o una aseguradora entre otros.

Sin embargo, podría haber muchos otros tipos, por lo que habrá qué ver en cada caso. Será el responsable de los datos (tú como propietario de la web) quien decida para qué y de qué forma se usa la información, limitándose el encargado a obedecerte.

Delegado de protección de datos

Será una persona o una empresa con conocimientos en materia de protección de datos que te guiará para cumplir adecuadamente las leyes. También actuará como interlocutor entre la Agencia de Protección de Datos y tu.

¿Cuando es obligatorio tener un delegado de protección de datos?

Será obligatorio el delegado de protección de datos, en general, cuando:

  • Los datos sean recogidos y tratados por un organismo público, salvo los tribunales de justicia.
  • Recogida y tratamiento de datos a gran escala.
  • Recogida principalmente de datos especialmente protegidos y de datos relativos a condenas e infracciones penales.

Específicamente necesitarán de la figura del delegado de protección de datos (esta lista es más amplia pero te dejo solo los más generales):

  • Los colegios profesionales y sus consejos generales.
  • Los centros docentes y Universidades públicas y privadas.
  • Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
  • Actividades en internet que recojan y traten datos a gran escala de los usuarios.
  • Los bancos.
  • Las cajas de ahorros.
  • Las cooperativas de crédito.
  • El Instituto de Crédito Oficial.
  • Los establecimientos financieros de crédito.
  • Las entidades aseguradoras y reaseguradoras.
  • Las empresas de servicios de inversión.
  • Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
  • Las entidades responsables de evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude.
  • Las entidades que desarrollen actividades de publicidad y prospección comercial.
  • Los centros sanitarios. Salvo profesionales sanitarios que ejerzan su actividad en solitario.
  • Las entidades que tengan como uno de sus objetos la emisión de informes comerciales.
  • Los operadores que desarrollen la actividad de juego a través de la red.
  • Las empresas de seguridad privada.
  • Las federaciones deportivas cuando traten datos de menores de edad.

Aunque no estés obligado, puedes designar un delegado de protección de datos voluntariamente.

Cuando contrates o designes a un delegado de protección de datos deberás comunicarlo en un plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos.

¿Cuales son las funciones del delegado de protección de datos?

Las funciones del Delegado de Protección de Datos, en general, serán: de información, asesoramiento y supervisión en materia de protección de datos.

Veamos las un poco más en detalle.

  • Informar y asesorar al responsable o al encargado del tratamiento y a los empleados de las obligaciones que les afectan en todos los aspectos de protección de datos.
  • Verificar que se están cumpliendo todas las normas de protección de datos, asignando las responsabilidades que corresponden a cada persona, formar al personal y realizar auditorías periódicas.
  • Asesorar en todos los aspectos que afectan a las evaluaciones de impacto y supervisar el cumplimiento de las normas internas.
  • Asesorar a los empleados durante el tratamiento de datos.
  • Cooperar con las Agencias Autonómicas y con la Agencia Española de Protección de Datos
  • Atender las consultas que las personas realicen a la empresa en materia de protección de datos.
  • Actuar como enlace con la autoridad de control para cuestiones relativas al tratamiento y la realización de consultas.

Recuerda que entre mis servicios se encuentran las funciones de delegado de protección de datos. Escríbeme para más información.

¿Qué es y cuándo estoy obligado a una evaluación de impacto?

La evaluación de impacto relativa a la protección de datos (EIPD) es un documento que debe elaborar el responsable del tratamiento antes de iniciar las actividades si éstas pueden suponer un alto riesgo.

En otras palabras, antes de empezar a tratar datos deberás pensar qué riesgos puede suponer tu actividad empresarial, medirlos y minimizarlos. Todo depende de tu caso concreto.

La Agencia Española de Protección de Datos elabora una lista (no cerrada) basándose en la guía: “Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento entraña probablemente un alto riesgo» a efectos del RGPD del Grupo de Trabajo del Artículo 29.

A continuación te dejo algunas situaciones concretas reflejadas en esa lista, y que te obligarían a realizar una evaluación de impacto.

Recuerda que tratamiento es cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no. Concepto extendido aquí.

  • Tratamiento que implique la valoración de personas, también la recogida de datos del sujeto en múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y comportamiento), que cubran varios aspectos de su personalidad o sobre sobre sus hábitos.
  • Tratamiento que implique la observación, monitorización, supervisión, geolocalización o control de la persona de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público, así como el procesamiento de identificadores únicos que permitan la identificación de usuarios de servicios de la sociedad de la información como pueden ser los servicios web, TV interactiva, aplicaciones móviles, etc.
  • Tratamiento sobre datos especialmente protegidos, como infracciones penales o que permitan determinar la situación financiera o crediticia.
  • Tratamiento que implique el uso de datos biométricos con el propósito de identificar a una persona.
  • Tratamiento que suponga el uso de datos genéticos para cualquier fin.
  • Tratamiento que haga uso de datos a gran escala (Big Data).
  • Tratamiento que implique la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.
  • Tratamiento que implique uso de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardia y custodia.

Depende mucho de qué datos estés recogiendo, qué cantidad de ellos, para qué los recojas, y muchas otras cuestiones. Consúltame tu caso específico y veré si estás obligado a realizar esta evaluación de impacto o no.

¿Debo inscribir mi fichero en la Agencia Española de Protección de Datos?

Con el Reglamento General de Protección de Datos, se suprime la obligación de notificar ficheros a la Agencia Española de Protección de Datos para su inscripción en el Registro General de Protección de Datos.

El día 14 de mayo de 2018 dejaron de estar operativos los sistemas de notificación de ficheros en todos los sistemas.

La obligación de notificar ficheros se sustituye a partir del 25 de mayo de 2018 por la de elaborar un registro de actividades de tratamiento.

Sin embargo, no estarán obligados a este registro de actividades de tratamiento ninguna empresa ni organización que emplee (tenga contratados) a menos de 250 personas. PERO esta excepción tiene requisitos adicionales, consúltame si estás en esa situación.

¿Qué es y cómo elaborar un registro de actividades de tratamiento?

En caso de estar obligados (lee el anterior punto para comprobarlo), los responsables y encargados del tratamiento deberán confeccionar y mantener el registro de actividades de tratamiento. El registro deberá especificar:

  • El nombre y los datos de contacto del responsable del tratamiento.
  • Los fines del tratamiento.
  • Categorías de interesados.
  • Categorías de datos personales.
  • Destinatarios a quienes se hayan comunicado o se vayan a comunicar los datos. También los que sean de otros países u organizaciones internacionales.
  • Plazo para la supresión de las categorías de datos. Si es posible.
  • Medidas técnicas y organizativas de seguridad. Si es posible.

Formato y obligaciones sobre el resgistro:

  • El registro debe ser escrito o en formato electrónico.
  • Estará disponible para AEPD siempre que lo solicite. De hecho, si te lo piden y no se lo das, te podrá suponer una sanción al ser una infracción grave.
  • El registro debe estar completo pues en caso contrario podrías ser sancionado al ser una infracción leve el tenerlo incompleto.

Como has leído en el punto anterior, no estarán obligados a este registro de actividades de tratamiento ninguna empresa ni organización que emplee a menos de 250 personas. PERO esta excepción tiene requisitos adicionales, consultame si estás en esa situación.

¿Cómo hacer una política de privacidad?

Como te dije en puntos anteriores, los usuarios deben estar bien informados de qué va a hacerse con la información que trates. En internet se realiza principalmente mediante la política de privacidad.

Recuerda que cada caso es diferente, por lo que según tu situación, la información incluida en esta puede variar de forma considerable. Aun así, te enumero los aspectos generales que posiblemente debas incluir al redactar la política de privacidad:

  • La identidad y los datos de contacto del responsable y, en caso de haberlo, del representante. Ello quiere decir que deberás informar de tu nombre, D.N.I. o número de identificación, dirección de contacto y todos aquellos datos que ayuden a identificarte a ti o a tu representante.
  • Los datos de contacto del delegado de protección de datos. En el caso de que tengas uno, revisa los puntos anteriores en caso de que tengas dudas, o consúltame.
  • Los fines del tratamiento a los cuales se destinan los datos personales, y la base jurídica del tratamiento. Es decir, para qué usarás los datos y qué te ha permitido tratarlos. Consulta el punto de base jurídica del tratamiento para más información.
  • Cuando trates los datos en base a un interés legítimo deberás explicar en qué se basa. Consulta el punto de base jurídica del tratamiento para más información.
  • Los destinatarios o las categorías de destinatarios de los datos personales. Es decir, a quién darás los datos.
  • La intención de transferir datos personales a un tercer país u organización internacional. Este supuesto sólo se dará si vas a transmitir los datos a otros países u organizaciones internacionales. Si los datos que recojas van a viajar a EEUU por ejemplo, deberás informarlo. Este sería el caso de usar por ejemplo Mailchimp. Al ser una empresa establecida en los Estados Unidos, debes avisar de ello.
  • Los derechos que tienen tus usuarios sobre sus datos y cómo ponerlos en marcha o ejercerlos. Estoy hablando de los derechos de: acceso, rectificación, supresión, limitación, portabilidad y oposición. Deja bien claro al usuario que tiene derecho a retirar el consentimiento que haya prestado para el tratamiento de sus datos.
  • Plazo de conservación de los datos.
  • Derecho a presentar una reclamación ante una autoridad control.

Toda la información extra que quieras añadir siempre será bienvenida.

En el caso de que hayas comprado los datos tendrás que tener en cuenta otros requisitos de información. Estos puntos hacen referencia a supuestos en los que es el propio usuario el que te da los datos personales.

Derechos de los usuarios

Todo usuario que esté en nuestra base de datos tiene unos derechos. Estos son: el derecho a la supresión o al olvido; la limitación del tratamiento; la portabilidad de los datos; el derecho de oposición; y el derecho de acceso. Vamos a verlos más detenidamente. Estos derechos vienen reflejados en la LOPD o Ley de Protección de Datos.

Derecho de Acceso

Cualquiera de tus usuarios te podrá solicitar información acerca de los datos que tengas sobre él.

Por ejemplo: para que los tienes, a quién se los has enviado o comunicado, de dónde los has obtenido, cuándo tiempo los tendrás, o facilitarle una copia de estos.

Derecho de supresión o derecho al olvido

Ante una petición como «quiero que suprimas los datos que tienes sobre mí», deberás suprimir sin tardanza los datos personales del usuario que lo haya solicitado.

Pero ¡ojo!, siempre y cuando se trate de alguno de los supuestos establecidos en la Ley, es decir:

a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo.

Por ejemplo, recogiste los datos para hacer un concurso y éste ya finalizó. En ese caso, el concursante podría solicitarte la retirada de los datos.

b) el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico.

Cuando el usuario te proporcione sus datos de forma voluntaria, siempre podrá pedirte su eliminación.

c) el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2

Ocurre cuando la persona se opone a que se le envíen comunicaciones comerciales.

d) los datos personales hayan sido tratados ilícitamente;

Si has recogido los datos sin cumplir lo que dice la ley, tendrás que eliminarlos.

e) los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;

Puede existir alguna ley europea que te exija eliminarlos, pero depende mucho del caso concreto.

f) los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1.

Esto sucede cuando tu web está destinada a menores y se recogen datos de los niños.

Recuerda, menores de 16 años necesitan el consentimiento de los padres o tutores para la recogida de sus datos. Lo veremos en otros apartados, pero en esos casos siempre es recomendable avisar al menor de que ser sus padres deben ser los que acepten la recogida de los datos.

Existen otras excepciones a este derecho, pero se tratan de supuestos muy concretos. Si tienes dudas con algún punto no dudes en ponerte en contacto conmigo.

Derecho a la limitación del tratamiento

Ante una petición como «quiero que limites los datos que tienes sobre mí por X meses o días», querrá decir que no podrás modificalos o suprimirlos. Esto se dará cuando se produzca alguno de los supuestos establecidos en la ley.

  • El usuario afirme que los datos no son exactos. Deberás bloquearlos hasta que se compruebe si son correctos.
  • El usuario necesita los datos para formular reclamaciones. Por ejemplo, quiere poner una reclamación ante la Oficina de Consumidores y Usuarios.
  • Los datos se hayan tomado de forma irregular y la persona solicite que los datos se limiten en lugar de oponerse al tratamiento. Tu usuario quiere una prueba de la supuesta la infracción y para ello te pide que no hagas nada con los datos hasta que él te lo diga.

Portabilidad de los datos

Ante una petición como «quiero que envíes los datos que tienes sobre mí a X empresa», deberás enviar los datos en un formato estructurado, de uso común y lectura mecánica, por ejemplo un excel.

Requisitos: que te hayan dado los datos voluntariamente y que hayan sido recopilados por, por ejemplo, un ordenador.

Derecho de oposición

Ante una petición como «me opongo a que realices tratamiento de mis datos», tal como suena, se estará negando a que se recojan y clasifiquen sus datos. Sólo podrás oponerte en caso de acredites que tienes una buena razón para conservarlos.

Además, la ley especifica que te podrán formular la petición de derecho de oposición en todo momento, en el caso de marketing directo, es decir, comunicarse directamente con el usuario por motivos publicitarios.

Derecho de rectificación

Ante una petición como «la dirección que tienes de mí no es correcta, cámbiala por … x», te estará pidiendo que modifiques los datos que figuren en el sistema sobre esa persona. Podrá pedirte que modifiques unos datos en concreto y la corrección que quiere que hagas.

Cómo responder a una solicitud de protección de datos

Derechos de los usuarios

Todo usuario que esté en nuestra base de datos tiene unos derechos. Estos son: el derecho a la supresión o al olvido; la limitación del tratamiento; la portabilidad de los datos; el derecho de oposición; y el derecho de acceso. Vamos a verlos más detenidamente. Estos derechos vienen reflejados en la LOPD o Ley de Protección de Datos. Para más información acude al punto de derechos de los usuarios.

Vía para el ejercicio de los derechos

Cuando estés pidiendo los datos personales a través de Internet (como por ejemplo a través de un formulario de suscripción a la newsletter), deberás facilitar a los usuarios una forma de ejercer esos derechos a través de Internet.

Una solución sería usar un sistema específico dentro de tu web, como hace por ejemplo Amazon, o simplemente facilitar un email para gestionar los datos de tus usuarios al que deberás estar atento. Es recomendable incluir ese correo electrónico de contacto en la política de privacidad y en todos los mensajes que le envíes a tu usuario.

¿Cómo puedo saber que la persona que me escribe es quién dice ser?

No es una pregunta baladí, hace poco me llegó el mensaje de una persona que llevaba una tienda online y había recibido un correo por parte de un supuesto cliente que exigía la contraseña de acceso a su cuenta.

Ante estas situaciones lo más adecuado es solicitar una fotocopia del D.N.I. (u otro similar) que te permita comprobar la identidad de esa persona.

En caso de no poder identificar al usuario, puedes negarte a esa petición si cuentas con pruebas de ello.

¡Dato extra! Especificar en la política de protección de datos que esas solicitudes de derechos deberán ir acompañadas de un medio mediante el cual se pueda reconocer a la persona titular, también puede ayudarte a evitar quebraderos de cabeza.

¿Cuánto tiempo tengo para responder?

Tienes un mes para responder al usuario. No se trata de un mes para avisarle de la recepción, este plazo es para hacer aquello que te han pedido.

En caso de que esa petición sea muy compleja o requiera de mucho tiempo, se puede ampliar el plazo. Imaginemos que te han pedido toda la información que tienes sobre esa persona y es un usuario muy antiguo. En ese caso, podrás avisarle dentro del primer mes ampliando el plazo a dos meses.

Así mismo, si no vas a atender la demanda del usuario deberás informarle dentro del primer mes y explicarle el motivo. No debes no responder o simplemente negarte.

¿Qué pasa si no contesto a la solicitud?

La Resolución número R/01618/2018 de la Agencia Española de Protección de Datos (en adelante, AEPD) servirá de ejemplo.

El 8 de febrero de 2018, Carlos (nombre ficticio) recibe un correo electrónico publicitario desde la página lacestademma.com y ese mismo día, decide mandar correo de oposición.

Le contestan los responsables que no son propietarios de ningún fichero. Sin embargo, al día siguiente vuelve a recibir correos publicitarios del mismo dominio.

El propietario de la web informa a Carlos de que su correo electrónico fue recogido a través de cookies de la página web del banco ING del que era cliente. Carlos sabía que había aceptado las cookies, pero no que su correo iba a ser traspasado a cualquiera.

Finalmente el propietario del dominio lacestademma.com es sancionado con una multa de 1600€.

En ese caso, la empresa denunciada no atendió a las solicitudes del usuario y tampoco obtuvo los datos de forma lícita con lo que la AEPD la sancionó.

Modelos para responder a una solicitud de Protección de Datos

Te voy a dejar algunos modelos de respuesta para ahorrarte tiempo y trabajo.

Contestación al primer contacto. Consulta simple.

Estimado [USUARIO],

Gracias por ponerse en contacto con el servicio de atención al cliente de [EMPRESA].

De acuerdo con su escrito en el que conforme a lo previsto en la normativa vigente de protección de datos, usted ejerce su derecho de [OPOSICIÓN, CANCELACIÓN, ACCESO…..] de los datos de carácter personal contenidos en los ficheros de [EMPRESA], le informamos que, en conformidad con lo previsto en la citada normativa, la solicitud de [OPOSICIÓN, CANCELACIÓN, ACCESO…..] de datos debe realizarse enviándonos la copia del documento de identidad por ambas caras.

Usted debe enviar la documentación citada anteriormente a:

[DIRECCIÓN]

Le recordamos que estamos encantados de atender sus consultas.

Reciba un cordial saludo,

Departamento de atención al cliente de [EMPRESA].

Contestación al segundo contacto. Ampliación de plazo.

Estimado [USUARIO],

Gracias por ponerse en contacto con el servicio de atención al cliente de [EMPRESA].

Le informamos de que hemos recibido correctamente la documentación identificativa y, por lo tanto, procederemos a tramitar la solicitud de ejercicio del derecho de [OPOSICIÓN, CANCELACIÓN, ACCESO…..] de los datos de carácter personal contenidos en los ficheros de nuestra empresa.

Lamentablemente, el ejercicio de dicho derecho requerirá de un plazo superior al habitual debido al volumen de trabajo que requiere. En consecuencia, el periodo de respuesta a su petición quedará alargado a dos meses a contar desde el día de su solicitud.

Le recordamos que estamos encantados de atender sus consultas.

Reciba un cordial saludo,

Departamento de atención al cliente de [EMPRESA].

Infracciones y sanciones del RGDP o Reglamento de protección de protección de datos

Sanciones o multas

Las sanciones establecidas en el Reglamento General de Protección de Datos pueden llegar hasta 20.000.000 euros por lo que prestar atención a estas normas es esencial.

Infracciones muy graves

Te cito algunas de las infracciones que considera muy graves la ley:

  • El tratamiento de datos personales sin cumplir alguno de los requisitos que lo permiten (consentimiento, interés legítimo, contrato…).
  • Incumplir las exigencias de la ley para el consentimiento del usuario. Por ejemplo, no informar al usuario de que la retirada del consentimiento no invalida el consentimiento anterior.
  • La utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos sin consentimiento.
  • El tratamiento de datos personales especialmente protegidos sin cumplir con los requisitos que establece la ley. Por ejemplo, que te den el consentimiento o permiso.
  • El tratamiento de datos personales relativos a condenas e infracciones penales fuera de los supuestos permitidos por la ley.
  • El tratamiento de datos personales relacionados con infracciones y sanciones administrativas fuera de los supuestos permitidos por la ley.
  • No informar al usuario debidamente, es decir, en el caso de internet no tener política de privacidad.
  • La vulneración del deber de confidencialidad.
  • Solicitar dinero a cambio de la información de protección de datos o por ejercer los derechos que establece la ley (acceso, rectificación, oposición, supresión, limitación del tratamiento, portabilidad).
  • Impedir o dificultar el ejercicio de los derechos que establece la ley (acceso, rectificación, oposición, supresión, limitación del tratamiento, portabilidad).
  • La transferencia internacional de datos personales a un destinatario que se encuentre en un tercer país o a una organización internacional, cuando no concurran las garantías, requisitos o excepciones establecidos en la ley.
  • El incumplimiento de las resoluciones dictadas por la autoridad de protección de datos competente. Por ejemplo, la Agencia Española de Protección de Datos.

Infracciones graves

Te cito alguna de las infracciones que se consideran graves en la ley.

  • El tratamiento de datos personales de un menor de edad sin su permiso o el de sus padres si es menor de 14 años.
  • No probar haber hecho todo lo posible para verificar la validez del consentimiento prestado por un menor de edad o por sus padres o tutores.
  • El impedimento o la obstaculización o la no atención reiterada de los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando este, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación.
  • La falta de adopción de aquellas medidas técnicas y organizativas necesarias para aplicar las leyes de protección de datos.
  • La falta de adopción de las medidas técnicas y organizativas apropiadas para garantizar que sólo se tratarán los datos personales justos y necesarios para cada fin.
  • La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar la seguridad.
  • El incumplimiento de la obligación de designar un representante en la Unión Europea cuando el encargado o responsable es de otro país fuera de la UE.
  • La falta de atención por el representante en la Unión del responsable o del encargado del tratamiento de las solicitudes efectuadas por la autoridad de protección de datos o por los afectados.
  • No disponer del registro de actividades de tratamiento.
  • No poner a disposición de la autoridad de protección de datos que lo haya solicitado, el registro de actividades de tratamiento.
  • No cooperar con las autoridades de control en el desempeño de sus funciones.
  • El tratamiento de datos personales sin haber llevado a cabo la evaluación del impacto.
  • El incumplimiento de la obligación de designar un delegado de protección de datos.
  • No posibilitar la efectiva participación del delegado de protección de datos en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones.

Infracciones leves

Al igual que en las anteriores te pongo algunos de los supuestos que fija la ley como infraccion leve.

  • El incumplimiento del principio de transparencia de la información o el derecho de información del afectado por no facilitar toda la información exigida.
  • La exigencia de pago para facilitar al afectado la información exigida o por atender las solicitudes de ejercicio de derechos de los afectados, si su cuantía excediese el importe de los costes afrontados para facilitar la información o realizar la actuación solicitada.
  • No atender las solicitudes de ejercicio de los derechos (acceso, rectificación, oposición, supresión, limitación del tratamiento, portabilidad).
  • El incumplimiento de la obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento.
  • El incumplimiento de la obligación de informar al afectado, cuando así lo haya solicitado, de los destinatarios a los que se hayan comunicado los datos personales rectificados, suprimidos o respecto de los que se ha limitado el tratamiento.
  • El incumplimiento de la obligación de suprimir los datos referidos a una persona fallecida.
  • Disponer de un Registro de actividades de tratamiento que no incorpore toda la información exigida.
  • La notificación incompleta, tardía o defectuosa a la autoridad de protección de datos de la información relacionada con una violación de seguridad de los datos personales.
  • El incumplimiento de la obligación de documentar cualquier violación de seguridad.
  • No publicar los datos de contacto del delegado de protección de datos, o no comunicarlos a la autoridad de protección de datos, cuando su nombramiento sea exigible.

Autoridades control de protección de datos

La Agencia Española de Protección de Datos o AEPD es una autoridad pública independiente encargada de velar por la privacidad y la protección de datos de los ciudadanos.

Actuará velando por el cumplimiento de las leyes de protección de datos (LOPD, RGDP, entre otras). Por lo tanto, será quién te sancione cuando no lo hagas bien.

Deberás reflejar información de la AEPD en tu política de protección de datos.

¿Qué normas se aplican al tratamiento de datos?

En lo que respecta a las páginas web estándar se aplican las siguientes normas:

Puede que haya disposiciones específicas que se apliquen a tu negocio, consúltame si tienes dudas.


No hemos podido validar su suscripción.
Comprueba tu bandeja de entrada para confirmar tu suscripción.

Conoce las leyes para tu negocio online de forma fácil y sencilla

Suscripción gratuita

Nombre *

Correo electrónico *

* Campos obligatorios


[Información sobre la suscripción al boletín] Responsable del tratamiento: Laura Pérez Torres. Finalidad: envío de noticias e información comercial de esta web. Legitimación: consentimiento del usuario. Destinatario: fichero «Suscripctores de laurapereztorres.com» alojado en la plataforma de SendinBlue establecida en la Unión Europea. Ejerce tus derechos de acceso, rectificación, oposición, supresión, limitación del tratamiento y/o portabilidad de tus datos enviando un email a info@laurapereztorres.com. Siempre tendrás derecho a revocar tu consentimiento. Toda la información relativa al tratamiento de tus datos está extendida en la Política de privacidad.


Recuerda que las casillas de datos en los comentarios no son obligatorias por lo que es posible comentar de forma anónima. Todos los comentarios serán sometidos a moderación. Más información sobre los comentarios en la política de privacidad.