Preguntas Frecuentes

Consultas realizadas por los usuarios activos de SoftwareLOPD.

No dude en contactar con nosotros para realizar cualquier otra consulta.

Indice

Consultas frecuentes sobre Protección de Datos, recibidas por los Usuarios de SoftwareLOPD.

Mantenemos esta información actualizada permanentemente, por lo que le invitamos a incluirnos en sus Marcadores.

SoftwareLOPD

¿Qué incluye la contratación de la licencia?
  • Actualización proactiva del Registro de Actividades de Tratamiento.
  • Contratos confidenciales.
  • Cláusulas legales: emails, contratos, facturas, web, shop online…
  • Asesoramiento y Defensa Jurídica en el ámbito de la Protección de Datos.
  • Informe Anual de Auditoría de tu Proyecto.
¿Cómo puedo modificar la contraseña de acceso a SoftwareLOPD?
  1. Accede a tu Cuenta de Usuario SoftwareLOPD.
  2. Pulsa en la opción “Cambiar contraseña”.
  3. Cumplimenta los datos solicitados.
¿Puedo modificar algún dato de mi Proyecto?

No. Para realizar cualquier cambio deberás notificarlo vía e-mail a tuconsultor@softwarelopd.com. Nuestros consultores se encargarán de adaptar el cambio.

RGPD. Actualmente

Real Decreto Ley 5/2018, de 27 de Julio.

El pasado 27 de julio se publicó el Real Decreto-ley 5/2018 de medidas urgentes para la adaptación del Derecho español a la normativa de la UE en materia de protección de datos.

El texto pretende adecuar el marco normativo español a las novedades introducidas por el Reglamento General de Protección de Datos, de plena aplicación desde el pasado 25 de mayo, en las cuestiones cuya inmediata incorporación al derecho interno resulta imprescindible.

El Real Decreto Ley 5/2018, incorpora 3 Capítulos:

  • Capítulo I. La identificación de las competencias para el ejercicio de los poderes de investigación.
  • Capítulo II. El régimen sancionador.
  • Capítulo III. La regulación del procedimiento sancionador.
Real Decreto-ley 5/2018. NOVEDADES

A continuación haremos foco en aquellos puntos del nuevo Real Decreto-ley que pueden resultar más novedosos.

RÉGIMEN DE LAS INFRACCIONES

El nuevo Real Decreto-ley declara como infracciones las vulneraciones del artículo 83, apartados 4 a 6 del Reglamento Europeo, el cual tipifica las infracciones en graves y muy graves.

A diferencia de la LOPD que distinguía las infracciones leves, graves y muy graves.

RÉGIMEN DE LAS SANCIONES

Respecto a las sanciones no hay ninguna concreción respecto a lo establecido en el Reglamento Europeo.

PRESCRIPCIÓN

El Reglamento Europeo no regula regimen aplicable a la prescripción. Por su parte, el Real Decreto-ley distingue lo siguiente:

El plazo de prescripción de las infracciones será de 2 y 3 años, para las infracciones previstas en el artículo 83.4, por un lado y artículo 83. 5 y 6 del Reglamento Europeo, respectivamente.
El plazo de prespcripción de las sanciones será el siguiente:
Sanciones por importe superior a 300.000 €: 3 años
Sanciones por importe comprendido entre 40.001 y 300.000 €: 2 años
Sanciones por importe igual o inferior a 40.000 €: 1 año
RÉGIMEN DE RESPONSABILIDAD

En la Ley Orgánica de Protección de datos se consideraban, con carácter general, sujetos al regimen sancionador los Responsables de los ficheros y los Encargados de los tratamientos.

Por su parte, el Reglamento Europeo de Protección de Datos amplía la responsabilidad a los Organismos de certificación y a los Organismos de supervisión de los códigos de conducta. El nuevo Real Decreto-Ley añade a la lista a los Representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la UE.

Llama especialmente la atención el hecho de que los Delegados de Protección de Datos queden excluidos del regimen de responsabilidad.

PROCEDIMIENTO EN CASO DE VULNERACION DE LA NORMATIVA DE PROTECCIÓN DE DATOS

El nuevo Real Decreto-Ley dedica el capítulo III a los procedimientos tramitados por la AEPD y distingue:

Cuando el afectado reclama la falta de atención de su solicitud del ejercicio de sus derechos (regulados en los arts. 15 a 22 Reglamento Europeo).
Inicio: por acuerdo de admisión a trámite.
Plazo para resolver: 6 meses desde la notificación del acuerdo.
Resolución: cabe el silencio positivo.
Cuando se investigue la infracción del Reglamento Europeo o la normativa española en materia de protección de datos.
Inicio: por acuerdo de inicio adoptado por propia iniciativa, tras una reclamación o tras Comunicación a la AEPD por parte de la autoridad de control de otro Estado miembro cuando la Agencia tuviese la condición de autoridad de control principal.
Plazo para resolver: 9 meses desde el acuerdo de inicio o, en su caso, del Proyecto de acuerdo de inicio. Trascurrido ese plazo, se producirá la caducidad y el archivo de actuaciones.
Cuando se presente ante la AEPD una reclamación, la inadmitirá en los casos siguientes:

Cuando no verse sobre cuestiones de protección de datos de carácter personal.
Carezcan de fundamento.
Sean abusivas.
No aporten indicios racionales de la existencia de una infracción.
Cuando el responsalbe o encargado del tratamiento, previa advertencia de la Agencia, hubiera adoptado medidas correctivas, siempre que no haya causado perjuicio al interesado y el derecho del afectado quede garantizado.
ACTUACIONES DE INSPECCIÓN

La AEPD podrá llevar a cabo actuaciones de investigación a fin de lograr una mejor determinación de los hechos y las circunstancias que justifican la tramitación del procedimiento.

No podrán tener una duración superior a 12 meses a contar desde la fecha del acuerdo de admisión a trámite o de la fecha del acuerdo de iniciación.

La actividad de investigación de la AEPD se llevará a cabo por los funcionarios de la Agencia o por funcionarios ajenos a ella, habilitados expresamente por el Director de la AEPD.

Los funcionarios tendrán la consideración de agentes de la autoridad en el ejercicio de sus funciones y estarán obligados a guardar secreto, incluso después de haber cesado en el ejercicio de la función.

En el desarrollo de la investigación podrán:

Recabar la información precisa para el cumplimiento de sus funciones.
Realizar inspecciones.
Requerir la exhibición o el envío de documentos o datos necesarios.
Examinarlos, obtener copia e inspeccionar los equipos.
Requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del tratamiento sujetos a investigación.
Las entradas a domicilio debe ejercerse de conformidad con las normas procesales, en particular, en los que se precisa la autorización judicial previa.

Capítulo I. Inspección en materia de protección de datos.

Artículo 1. Ámbito y personal competente para el ejercicio de la actividad de investigación de la Agencia Española de Protección de Datos. 1. La actividad de investigación de la Agencia Española de Protección de Datos se llevará a cabo por los funcionarios de la Agencia o por funcionarios ajenos a ella habilitados expresamente por su Director. 2. En los casos de actuaciones conjuntas de investigación conforme a lo dispuesto en el artículo 62 del Reglamento (UE) 2016/679, el personal de las autoridades de control de otros Estados Miembros de Unión Europea que colabore con la Agencia ejercerá sus facultades con arreglo a lo previsto en la normativa española y bajo la orientación y en presencia del personal de ésta. 3. Los funcionarios que desarrollen actividades de investigación tendrán la consideración de agentes de la autoridad en el ejercicio de sus funciones, y estarán obligados a guardar secreto sobre las informaciones que conozcan con ocasión de dicho ejercicio, incluso después de haber cesado en él. Artículo 2. Alcance de la actividad de investigación. Quienes desarrollen la actividad de investigación podrán recabar las informaciones precisas para el cumplimiento de sus funciones, realizar inspecciones, requerir la exhibición o el envío de los documentos y datos necesarios, examinarlos en el lugar en que se encuentren depositados o en donde se lleven a cabo los tratamientos, obtener copia de ellos, inspeccionar los equipos físicos y lógicos y requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del tratamiento sujetos a investigación. Los poderes de investigación en lo que se refiere a la entrada en domicilios deben ejercerse de conformidad con las normas procesales, en particular, en los casos en los que sea precisa la autorización judicial previa. Cuando se trate de órganos judiciales u Oficinas Judiciales el ejercicio de las facultades de inspección se efectuará a través y por mediación del Consejo General del Poder Judicial.

Capítulo II. Régimen sancionador

Artículo 3. Sujetos responsables. 1. Están sujetos al régimen sancionador establecido en el Reglamento (UE) 2016/679 y la normativa española de protección de datos: a) Los responsables de los tratamientos. b) Los encargados de los tratamientos. c) Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea. d) Las entidades de certificación. e) Las entidades acreditadas de supervisión de los códigos de conducta. 2. No será de aplicación al delegado de protección de datos el régimen sancionador en esta materia. Artículo 4. Infracciones. Constituyen infracciones las vulneraciones del Reglamento (UE) 2016/679 a las que se refieren los apartados 4, 5 y 6 de su artículo 83. Artículo 5. Prescripción de las infracciones. 1. Las infracciones previstas en los apartados 5 y 6 del artículo 83 del Reglamento (UE) 2016/679 prescribirán a los tres años. 2. Las infracciones previstas en el artículo 83.4 Reglamento (UE) 2016/679 prescribirán a los dos años. 3. Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador, reiniciándose el plazo de prescripción si el expediente sancionador estuviere paralizado durante más de seis meses por causas no imputables al presunto infractor. Cuando la Agencia Española de Protección de Datos ostente la condición de autoridad de control principal y deba seguirse el procedimiento previsto en el artículo 60 del Reglamento (UE) 2016/679 interrumpirá la prescripción el conocimiento formal por el interesado del proyecto de acuerdo de inicio que sea sometido a las autoridades de control interesadas. Artículo 6. Prescripción de las sanciones. 1. Las sanciones impuestas en aplicación del Reglamento (UE) 2016/679 prescriben en los siguientes plazos: a) Las sanciones por importe igual o inferior a 40.000 euros, prescriben en el plazo de un año. b) Las sanciones por importe comprendido entre 40.001 y 300.000 euros prescriben a los dos años. c) Las sanciones por un importe superior a 300.000 euros prescriben a los tres años. 2. El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente a aquel en que sea ejecutable la resolución por la que se impone la sanción o haya transcurrido el plazo para recurrirla. 3. La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no imputable al infractor.

Capítulo III. Procedimientos si posible vulneración de la normativa .

Artículo 7. Régimen jurídico.

1. Las disposiciones de este capítulo serán de aplicación a los procedimientos tramitados por la Agencia Española de Protección de Datos en los supuestos en los que un afectado reclame que no ha sido atendida su solicitud de ejercicio de los derechos reconocidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, así como en los que aquélla investigue la existencia de una posible infracción de lo dispuesto en el mencionado reglamento y la normativa española de protección de datos.

2. Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la normativa española de protección de datos y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos.

Artículo 8. Forma de iniciación del procedimiento y duración.

1. Cuando el procedimiento se refiera exclusivamente a la falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, se iniciará por acuerdo de admisión a trámite, que se adoptará conforme a lo establecido en el artículo siguiente. En este caso el plazo para resolver el procedimiento será de seis meses a contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite. Transcurrido ese plazo, el interesado podrá considerar estimada su reclamación.

2. Cuando el procedimiento tenga por objeto la determinación de la posible existencia de una infracción de lo dispuesto en el Reglamento (UE) 2016/679 y la normativa española de protección de datos, se iniciará mediante acuerdo de inicio adoptado por propia iniciativa o como consecuencia de reclamación. Si el procedimiento se fundase en una reclamación formulada ante la Agencia Española de Protección de Datos, con carácter previo, ésta decidirá sobre su admisión a trámite, conforme a lo dispuesto en el artículo siguiente. Cuando fuesen de aplicación las normas establecidas en el artículo 60 del Reglamento (UE) 2016/679, el procedimiento se iniciará mediante la adopción del proyecto de acuerdo de inicio de procedimiento sancionador, del que se dará conocimiento formal al interesado a los efectos previstos en el artículo 5 de este real decreto-ley. Admitida a trámite la reclamación así como en los supuestos en que la Agencia Española de Protección de Datos actúe por propia iniciativa, con carácter previo al acuerdo de inicio, podrá existir una fase de actuaciones previas de investigación, que se regirá por lo previsto en el artículo 11 de este real decreto-ley. El procedimiento tendrá una duración máxima de nueve meses a contar desde la fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio. Transcurrido ese plazo se producirá su caducidad, y en consecuencia, el archivo de actuaciones.

3. El procedimiento podrá también tramitarse como consecuencia de la comunicación a la Agencia Española de Protección de Datos por parte de la autoridad de control de otro Estado miembro de la Unión Europea de la reclamación formulada ante la misma, cuando la Agencia Española de Protección de Datos tuviese la condición de autoridad de control principal para la tramitación de un procedimiento conforme a lo dispuesto en los artículos 56 y 60 del Reglamento (UE) 2016/679. Será en este caso de aplicación lo dispuesto en el apartado 1 y en los párrafos primero, tercero, cuarto y quinto del apartado 2.

4. Los plazos de tramitación establecidos en este artículo así como los de admisión a trámite regulado por el apartado 5 del artículo siguiente y de duración de las actuaciones previas de investigación previsto en el artículo 11.2 de este real decreto-ley, quedarán automáticamente suspendidos cuando deba recabarse información, consulta, solicitud de asistencia o pronunciamiento preceptivo de un órgano u organismo de la Unión Europea o de una o varias autoridades de control de los Estados miembros conforme con lo establecido en el Reglamento (UE) 2016/679, por el tiempo que medie entre la solicitud y la notificación del pronunciamiento a la Agencia Española de Protección de Datos.

Artículo 9. Admisión a trámite de las reclamaciones.

1. Cuando se presentase ante la Agencia Española de Protección de datos una reclamación, ésta deberá evaluar su admisibilidad a trámite, de conformidad con las previsiones de este artículo.

2. La Agencia Española de Protección de Datos inadmitirá las reclamaciones presentadas cuando no versen sobre cuestiones de protección de datos de carácter personal, carezcan manifiestamente de fundamento, sean abusivas o no aporten indicios racionales de la existencia de una infracción.

3. Igualmente, la Agencia Española de Protección de Datos podrá inadmitir la reclamación cuando el responsable o encargado del tratamiento, previa advertencia formulada por la Agencia, hubiera adoptado las medidas correctivas encaminadas a poner fin al posible incumplimiento de la legislación de protección de datos y concurra alguna de las siguientes circunstancias: a) Que no se haya causado perjuicio al afectado. b) Que el derecho del afectado quede plenamente garantizado mediante la aplicación de las medidas.

4. Antes de resolver sobre la admisión a trámite de la reclamación, la Agencia Española de Protección de Datos podrá remitir la misma al delegado de protección de datos que hubiera, en su caso, designado el responsable o encargado del tratamiento o al organismo de supervisión establecido para la aplicación de los códigos de conducta, a fin de que den respuesta a la reclamación en el plazo de un mes. La Agencia Española de Protección de Datos podrá igualmente remitir la reclamación al responsable o encargado del tratamiento cuando no se hubiera designado un delegado de protección de datos ni estuviera adherido a mecanismos de resolución extrajudicial de conflictos, en cuyo caso el responsable o encargado deberá dar respuesta a la reclamación también en el plazo de un mes.

5. La decisión sobre la admisión o inadmisión a trámite, así como la que determine, en su caso, la remisión de la reclamación a la Autoridad de control principal que se estime competente, deberá notificarse al reclamante en el plazo de tres meses. Si, transcurrido este plazo, no se produjera dicha notificación, se entenderá que prosigue la tramitación de la reclamación con arreglo a lo dispuesto en este capítulo a partir de la fecha en que se cumpliesen tres meses desde que la reclamación tuvo entrada en la Agencia Española de Protección de Datos.

Artículo 10. Determinación del alcance territorial.

1. Salvo en los supuestos a los que se refiere el artículo 8.3 de este real decreto-ley, la Agencia Española de Protección de Datos deberá, con carácter previo a la realización de cualquier otra actuación, incluida la admisión a trámite de una reclamación o el comienzo de actuaciones previas de investigación, examinar su competencia y determinar el carácter nacional o transfronterizo, en cualquiera de sus modalidades, del procedimiento a seguir.

2. Si la Agencia considera que no tiene la condición de autoridad de control principal para la tramitación del procedimiento remitirá, sin más trámite, la reclamación formulada a la Autoridad de control principal que considere competente, a fin de que por la misma se le dé el curso oportuno. La Agencia notificará esta circunstancia a quien, en su caso, hubiera formulado la reclamación. El acuerdo por el que se resuelva la remisión a la que se refiere el párrafo anterior implicará el archivo provisional del procedimiento, sin perjuicio de que por la Agencia se dicte, en caso de que así proceda, la resolución a la que se refiere el apartado 8 del artículo 60 del Reglamento (UE) 2016/679.

Artículo 11. Actuaciones previas de investigación.

1. Antes de la adopción del acuerdo de inicio de procedimiento, y una vez admitida a trámite la reclamación si la hubiese, la Agencia Española de Protección de Datos podrá llevar a cabo actuaciones previas de investigación a fin de lograr una mejor determinación de los hechos y las circunstancias que justifican la tramitación del procedimiento. La Agencia Española de Protección de Datos actuará en todo caso cuando sea precisa la investigación de tratamientos que implique un tratamiento masivo de datos personales.

2. Las actuaciones previas de investigación se someterán a lo dispuesto en el capítulo I y no podrán tener una duración superior a doce meses a contar desde la fecha del acuerdo de admisión a trámite o de la fecha del acuerdo por el que se decida su iniciación cuando la Agencia actúe por propia iniciativa o como consecuencia de la comunicación que le hubiera sido remitida por la autoridad de control de otro Estado miembro de la Unión Europea, conforme al artículo 8.3 de este real decreto-ley.

Artículo 12. Acuerdo de inicio del procedimiento para el ejercicio de la potestad sancionadora.

1. Concluidas, en su caso, las actuaciones a las que se refiere el artículo anterior, corresponderá al Director de la Agencia Española de Protección de Datos, cuando así proceda, dictar acuerdo de inicio de procedimiento para el ejercicio de la potestad sancionadora, en que se concretarán los hechos, la identificación de la persona o entidad contra la que se dirija el procedimiento, la infracción que hubiera podido cometerse y su posible sanción.

2. Cuando la Agencia Española de Protección de Datos ostente la condición de autoridad de control principal y deba seguirse el procedimiento previsto en el artículo 60 del Reglamento (UE) 2016/679, el proyecto de acuerdo de inicio de procedimiento sancionador se someterá a lo dispuesto en el mismo.

Artículo 13. Medidas provisionales.

1. Durante la realización de las actuaciones previas de investigación o iniciado un procedimiento para el ejercicio de la potestad sancionadora, la Agencia Española de Protección de Datos podrá acordar motivadamente las medidas provisionales necesarias y proporcionadas para salvaguardar el derecho fundamental a la protección de datos y, en especial, las previstas en el artículo 66.1 del Reglamento (UE) 2016/679, el bloqueo cautelar de los datos y la obligación inmediata de atender el derecho solicitado.

2. En los casos en que la Agencia Española de Protección de Datos considere que la continuación del tratamiento de los datos de carácter personal, su comunicación o transferencia internacional comportara un menoscabo grave del derecho a la protección de datos de carácter personal, podrá ordenar a los responsables o encargados de los tratamientos el bloqueo de los datos y la cesación de su tratamiento y, caso de incumplirse por éstos dichos mandatos, proceder a su inmovilización.

3. Cuando se hubiese presentado ante la Agencia Española de Protección de Datos una reclamación que se refiriese, entre otras cuestiones, a la falta de atención en plazo de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, la Agencia Española de Protección de Datos podrá acordar en cualquier momento, incluso con anterioridad a la iniciación del procedimiento para el ejercicio de la potestad sancionadora, mediante resolución motivada y previa audiencia del responsable del tratamiento, la obligación de atender el derecho solicitado, prosiguiéndose el procedimiento en cuanto al resto de las cuestiones objeto de la reclamación.

Artículo 14. Procedimiento en relación con las competencias atribuidas a la Agencia Española de Protección de Datos por otras leyes.

Lo dispuesto en este capítulo será de aplicación a los procedimientos que la Agencia Española de Protección de Datos hubiera de tramitar en ejercicio de las competencias que le fueran atribuidas por otras leyes.

Disposiciones finales

Disposición adicional primera. Representación española en el Comité Europeo de Protección de Datos.

La Agencia Española de Protección de Datos tendrá la condición de representante común de las autoridades de protección de datos en el Comité Europeo de Protección de Datos. La Agencia Española de Protección de Datos informará a las autoridades autonómicas de protección de datos acerca de las decisiones adoptadas en el Comité Europeo de Protección de Datos y recabará su parecer cuando se trate de materias de su competencia.

Disposición adicional segunda.

Publicación de resoluciones de la Agencia Española de Protección de Datos. La Agencia Española de Protección de Datos publicará las resoluciones de su Director que declaren haber lugar o no a la atención de los derechos reconocidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, las que pongan fin a los procedimientos de reclamación, las que archiven las actuaciones previas de investigación, las que sancionen con apercibimiento a las entidades a que se refiere el artículo 46 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, las que impongan medidas cautelares y las demás que disponga su Estatuto.

Disposición transitoria primera. Régimen transitorio de los procedimientos.

1. Los procedimientos ya iniciados a la entrada en vigor de este real decreto-ley se regirán por la normativa anterior, salvo que el régimen establecido en el mismo contenga disposiciones más favorables para el interesado.

2. Lo dispuesto en el apartado anterior será asimismo de aplicación a los procedimientos respecto de los cuales ya se hubieren iniciado las actuaciones previas a las que se refiere la Sección 2.ª del Capítulo III del Título IX del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre. Disposición transitoria segunda. Contratos de encargado del tratamiento. Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022. Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del Reglamento (UE) 2016/679.

Disposición derogatoria única. Derogación normativa.

Quedan derogadas todas las normas de igual o inferior rango que se opongan a lo establecido en el presente real decreto-ley, y en particular, los siguientes artículos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal: a) El artículo 40. b) Los artículos 43 al 49, con excepción del artículo 46.

Disposición final única. Vigencia.

El presente real decreto-ley entrará en vigor al día siguiente de su publicación en el «Boletín Oficial del Estado» y lo estará hasta la vigencia de la nueva legislación orgánica de protección de datos que tenga por objeto adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, y completar sus disposiciones.

Dado en Madrid, el 27 de julio de 2018.

FELIPE R. El Presidente del Gobierno, PEDRO SÁNCHEZ PÉREZ-CASTEJÓN.

Derechos

¿Quién puede ejercitar los Derechos?

Podrán ejercer un derecho el titular de los datos, su representante legal, en caso de menores o incapacitados, o por su representante voluntario designado específicamente para ejercer uno de estos derechos. Si lo solicita una persona que no sea el titular de los datos o que no acredite adecuadamente que actúa en representación de éste, no se podrá ejercitar ese derecho.

¿Qué hacer si no atienden la solicitud de ejercicio de derechos?
En caso de no recibir una notificación expresa por parte del responsable del fichero, dentro de los plazos establecidos, informando de que la resolución de la solicitud ha sido efectuada, la persona afectada podrá interponer una reclamación ante la Agencia Española de Protección de Datos.
¿Cómo ejercer los derechos?

Para ejercer cualquier derecho, el titular debe aportar al responsable la siguiente documentación:

  • Fotocopia del DNI o documento vigente.
  • Petición en que se concreta la solicitud.
  • Dirección a efectos de notificaciones, fecha y firma.
  • Documentos acreditativos de la petición formulada.
¿Cuáles son esos derechos?
  • Derecho de Acceso.
  • Derecho al Olvido.
  • Derecho a la Oposición al tratamiento de los datos.
  • Derecho a Limitación.
  • Portabilidad.
Derecho de Acceso

El derecho a conocer permite saber para qué van a utilizarse los datos, quién los tiene, a quién se van a ceder y quiénes son los destinatarios. Además, de conocer hasta cuándo se conservará o va a ser usada tu información. Dicha persona puede ejercer este derecho de cualquier forma (no es necesario un documento oficial), es preciso que junto a la solicitud entregue copia del DNI o documento que le identifique. Derecho a rectificar los datos Derecho a corregir/rectificarla información en el caso de que sea incorrecta, siendo preciso que se demuestre que el dato es erróneo. Teniendo en cuenta los fines para los cuales hayan sido tratados los datos, el interesado tendrá derecho a que se completen los datos personales cuando estos resulten incompletos, en particular por medio de la entrega de una declaración firmada.

Derecho al Olvido

El derecho a la supresión, derecho al olvido, es la denominación que da el Reglamento al tradicional derecho de cancelación, que regula la RGPD y su Reglamento de desarrollo. El derecho al olvido se presenta como la consecuencia del derecho que tienen los ciudadanos a solicitar, y obtener de los responsables, que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidas, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita.

Derecho a la Oposición al tratamiento de tus datos

El derecho de oposición, podemos decir que es el derecho del interesado a oponerse, en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento. Ante el ejercicio del derecho de oposición el responsable del tratamiento dejará de tratar los datos personales. Sin embargo no es este un derecho absoluto del interesado, por lo que procederá, en algunos supuestos realizar una ponderación con el fin de considerar si prevalece o no el derecho del interesado. Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejarán de ser tratados para dichos fines. Así pues en estos casos no procederá realizar ponderación alguna.

Derecho a limitación

El derecho a limitación se trata de una medida cautelar que reduce el tratamiento de los datos personales a la conservación. Supone que, a petición del interesado, no se aplicarán a sus datos personales las operaciones de tratamiento que en cada caso corresponderían. La limitación de tratamiento es un derecho de los interesados que no debe confundirse con el bloqueo de datos que existe en la legislación española. Como consecuencia de esta regulación, se impide la práctica habitual consistente en borrar los datos cuando se ejercitan otros derechos, como el de acceso, ya que impediría el ejercicio del derecho a la limitación del tratamiento.

Portabilidad

El derecho a la portabilidad implica que los datos personales del interesado se transmiten directamente de un responsable a otro, sin necesidad de que sean transmitidos previamente al propio interesado, siempre que ello sea técnicamente posible. Es una forma avanzada del derecho de acceso por el cual, la copia que se proporciona al interesado debe ofrecerse en un formato estructurado, de uso común y lectura mecánica. Es decir es una “especie de congelación de los datos” mientras se comprueban ciertas circunstancias de los mismos y no pudiendo el responsable cancelar o tratar dichos datos. Esa posibilidad que tendremos de poder “descargar toda nuestra información” y llevarla a otra plataforma para poder continuar con nuestra vida digital o incluso, la propia obligación al responsable para que no sólo se dé la posibilidad de descarga sino directamente se transmitan entre plataformas sin que el responsable de la plataforma se pueda negar a ello.

Obligaciones

¿Estoy obligado a cumplir con el Reglamento General de Protección de Datos?

Cualquier empresa que trate datos de clientes, proveedores o empleados tiene la obligación de cumplir con el Reglamento General de Protección de Datos. Igualmente deberá cumplir esta obligación, el Asesor o Agencia que maneje sus datos.

Avisos 72 horas

Hay ataques que pasan inadvertidos y se tarda meses en saber que hemos sufrido un robo de información, por ejemplo. Para estos casos, debe establecerse un Protocolo de Actuación en el que no puede faltar el contacto de la empresa en la que confiamos nuestra Ciberseguridad o bien, el del Experto en Seguridad responsable de atender y notificar en 72 horas, los ataques recibidos. Este Agente será un empleado de su Compañía, o bien un Agente Experto subcontratado para este tipo de Acciones de obligado cumplimiento, según el RGPD 2016/679.

Obligaciones según el RGPD 2016/679
  • Responsabilidad proactiva del Responsable de Tratamiento.
  • Informe situación de las Medidas de seguridad obligatorias.
  • Formalización de las medidas: Registro de actividades de tratamiento, antes denominado Documento de Seguridad.
  • Evaluación de impacto del riesgo en la protección de datos.
  • Transferencias Internacionales de datos.
  • Avisos Legales (firma email) y cláusulas a añadir en los contratos.
  • Notificación de violaciones de seguridad de datos en 72 horas.
  • Limitaciones en la elaboración de perfiles.
  • Derecho al olvido y Derecho de Portabilidad.
  • Tratamientos de datos personales con fines publicitarios: ads, push, email marketing.

Delegado · DPO

¿Qué es un DPO?

El Delegado de Protección de Datos es la figura especializada en protección de datos, junto al Responsable y al Encargado del Tratamiento de Datos Personales.

¿El DPO tiene que formar parte de la empresa?

El Delegado puede formar parte de la empresa o puede ser una figura, externa a la empresa, que desempeñe sus funciones a través de un contrato. No obstante, el DPO deberá estar cualificado profesionalmente a la legislación y práctica de la protección de datos.

¿Tengo que tener un DPO?

Será de obligado cumplimiento asignar un DPO en los siguientes casos:

  • Autoridades y organismos públicos.
  • Datos especialmente protegidos y que dispongan de un gran volumen de información.
  • Colegios Profesionales.
¿Necesito una certificación de DPO?

La AEPD promueve un sistema de certificación profesional de protección de datos para evaluar el perfil de los candidatos a ocupar el puesto de Delegado. La certificación no será necesaria para el ejercicio de las funciones, solo será una herramienta para facilitar al responsable y encargados el nombramiento del Delegado.

¿Qué funciones cumple un DPO?

El Delegado de Protección de Datos lleva a cabo las siguientes funciones:

  • Informar y asesorar a los responsables y encargados del tratamiento de datos personales de las obligaciones.
  • Supervisar el cumplimiento de dicho legislación y de la política de protección de datos de una Administración Pública, empresa o entidad privada.
  • Ofrecer el asesoramiento solicitado para la evaluación de impacto de un tratamiento de datos personales.
  • Cooperar con la AEPD.

Consentimiento

¿Qué es el consentimiento expreso?

La manifestación de voluntad libre, inequívoca, específica e informada mediante el cual el titular del tratamiento de datos personales, ya sea de forma verbal, escrita, por medios electrónicos, ópticos o por cualquier otra tecnología.

¿Cuándo es necesario recabar el Consentimiento?

Se necesita obtener los consentimientos de los afectados siempre que se vaya a realizar un tratamiento de sus datos personales.

¿En qué casos no es obligatorio recabar el Consentimiento?

Existen una serie de supuestos en los que no es necesario recabar el consentimiento.

  • Los datos personales se recojan para el ejercicio de las funciones de las Administraciones Públicas.
  • Los datos figuren en fuentes accesibles para el público.
  • Si se ha obtenido con anterioridad.
Ejemplo Documento para obtener el consentimiento

¿Dónde almacenar el consentimiento?

Es importante guardar el consentimiento, por posibles reclamaciones que se puedan plantear. Ese consentimiento lo deberá guardar la empresa para poder demostrar que el interesado ha aceptado el tratamiento de sus datos personales.

¿Se puede enviar comunicaciones comerciales a clientes sin su consentimiento?

Se podrá enviar mensajes comerciales o publicitarios por email a los usuarios que, con anterioridad, lo hayan solicitado o autorizado de manera expresa. Además, se permite el envío de estas comunicaciones a los individuos con los que se haya existido una relación contractual previa. En cualquier caso, la empresa deberá ofrecer la posibilidad de negarse al tratamiento de sus datos con finalidad comercial.

¿Qué ocurre con los consentimientos obtenidos antes del 25 de mayo de 2018?

Los consentimientos obtenidos con anterioridad a la fecha de aplicación del GDPR, 25 de mayo de 2018, solo seguirán siendo válidos si se obtuvieron respetando los criterios fijados por el propio Reglamento. Es decir, cuando sean consentimientos verificables, capaces de demostrar que el interesado les otorgó su consentimiento.

Ejemplo Email para obtener el consentimiento

Análisis de Riesgos

¿Qué es una evaluación de impacto de la protección de datos?

La “Evaluación de Impacto en la Protección de Datos Personales”, EI, es una herramienta que permite evaluar de manera anticipada cuáles son los potenciales riesgos a los que están expuestos los datos personales en función de las actividades de tratamiento que se llevan a cabo con los mismos.

¿En qué casos es obligatorio realizar una evaluación de impacto?

No siempre es necesario la redacción de una Evaluación de Impacto. No obstante, la nueva regulación europea tasa que es obligatorio cuando se dé los siguientes casos:

Alto riesgo.

Cuando el tratamiento vaya a entrañar un alto riesgo para los derechos y libertades de las personas físicas.

Evaluación sistemática.

Cuando se evalúe aspectos personales de personas físicas basadas en un tratamiento automatizado.

Tratamiento a gran escala de datos especialmente protegidos.

Si se realiza un tratamiento a gran escala de las categorías especiales de datos del artículo 9, apartado 1 del RGPD, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 del RGPD. Incluimos en este apartado también los datos personales relativos a menores. Uso de tecnologías invasivas Se vayan a utilizar tecnologías que se consideran especialmente invasivas con la privacidad. Entre ellas se engloban las siguientes:

Videovigilancia a gran escala.
  • Aeronaves no tripuladas (drones).
  • Vigilancia electrónica.
  • Minería de datos.
  • Biometría.
  • Técnicas genéticas.
  • Geolocalización.
¿En qué consiste la evaluación de impacto?

El objetivo de la evaluación de impacto es definir la probabilidad de que se produzcan situaciones no deseadas y determinar su gravedad en la empresa. Por lo tanto, se deben analizar las medidas previstas para reducir los riesgos del tratamiento.

¿Se puede enviar comunicaciones comerciales a clientes sin su consentimiento?

Se podrá enviar mensajes comerciales o publicitarios por email a los usuarios que, con anterioridad, lo hayan solicitado o autorizado de manera expresa. Además, se permite el envío de estas comunicaciones a los individuos con los que se haya existido una relación contractual previa. En cualquier caso, la empresa deberá ofrecer la posibilidad de negarse al tratamiento de sus datos con finalidad comercial.

Auditorías · Inspecciones

¿Tengo que tener un Certificado RPGD?

No. El Reglamento General de Protección de Datos no especifica ningún sistema de certificación que acredita la implementación del RGPD. No obstante, en SoftwareLOPD facilitamos un Certificado de Procedimientos Realizados.

¿Qué sucede si acude un inspector de la Agencia Española de Protección de Datos (AEPD), a mi negocio?

Con su licencia de SoftwareLOPD incluimos el acompañamiento de nuestro departamento jurídico, en caso de producirse una inspección.

¿A qué multas me enfrento si incumplo con el RGPD?

Las cuantías de las sanciones por incumplimiento de la norma RGPD 2016/679, pueden llegar a los 20 millones de Euros o al 4% de la facturación global anual.

¿Qué sucede si recibo una Carta Certificada por parte de la Agencia Española de Protección de Datos (AEPD)?

En el departamento jurídico, que respalda su licencia de SoftwareLOPD, atendemos el asesoramiento y la defensa jurídica de su situación hasta agotar la vía administrativa.

Formación

¿Disponen de Formación en el ámbito de la Protección de Datos?

Con nuestro Curso de Ciberseguridad, acreditamos que se han realizado los procedeimientos necesarios para garantizar, de manera preventiva, las medidas técnicas y organizativas establecidas por el RGPD.

¿Qué características formativas debe cumplir una empresa en materia de Ciberseguridad?

La Formación debe ser personalizada, acorde a la actividad que se desempeña en al organización. No es lo mismo formar a trabajadores de una banco que a los empleados que acceden a los equipos informáticos de un comercio, por ejemplo. En el caso de existir diferentes Departamentos en una misma Compañía o Empresa, deberá también atenderse esta circunstancia durante la Formación. Los departamentos financieros son más proclives a recibir potenciales amenazas que otros áreas, como es la Atención al Cliente, por ejemplo. Los Hackers son habilidosos dirigiendo sus acciones delictivas, cada vez más, acceden a determinados áreas concretos en los que el daño para la empresa, será mucho mayor.

Menores

¿Es necesario el Consentimiento de los Menores?

Sí, siempre que se vaya a tratar con datos personales.

¿Cuándo es necesario recabar el Consentimiento de los Menores?

Si el menor es mayor de 16 años, el consentimiento se proporcionará por el mismo. Por el contrario, si es menor de 16 años, se requiere la autorización de sus padres o tutores legales.

Mi empresa trabaja con niños, ¿puedo exponer fotos en una página web?

Para exponer fotos de menores es necesario el consentimiento del menor o de sus progenitores/tutores legales, si se trata de menores de 13 años. No se acepta la captación de imágenes de personas y que el fotógrafo las utilice como estime oportuno, sin su consentimiento y exponiéndola al público.

¿Será legal tratar con datos personales de mayores de 16 años?

Con el nuevo RGPD 2016/679, resulta lícito tratar datos personales de un menor de edad si éste ha alcanzado la edad de 16 años. En el caso de que no se alcanzara esa edad, es imprescindible conseguir el consentimiento de los tutores, siempre y cuando se vayan a tratar datos personales.

¿Quién debe verificar el consentimiento obtenido?

El responsable del tratamiento será quien verifique que los consentimientos son autorizados por el titular de la patria potestad o tutela del menor.

Páginas Web

¿Qué páginas web deben solicitar el consentimiento?

Las páginas web, blogs o tiendas online que recaben datos personales a través de formularios (de contacto, suscripción o presupuestos), tendrán que requerir el consentimiento.

¿Cómo solicitar el Consentimiento en la página web?

Ejemplos de fichas para obtener el consentimiento en páginas web.

Tienda Online

Paso 1: Modificar/incluir el Aviso Legal en la página web:

Requiere: Para modificar/incluir el Aviso Legal debes ponerte en contacto con la empresa/persona que realizó la web o bien, comunicarnos la necesidad y nuestro equipo técnico se encargará de implementarlo en tu web. ***El Aviso Legal, personalizado con sus datos de actividad o empresa, se puede encontrar en su Perfil de Usuario SoftwareLOPD > Tareas RGPD > Punto 5.***

Paso 2: Modificar/incluir la Política de Cookies en la página web:

Requiere: Para modificar/incluir el Aviso Legal debes ponerte en contacto con la empresa/persona que realizó la web para ejecutar esta tarea. ***Su texto personalizado “Política de Cookies” se encuentra en su Perfil de Usuario SoftwareLOPD > SoftwareLOPD > Tareas RGPD > Punto 6.***

Paso 3: Incorporar el "Check box" en los siguientes casos:

Cuando un usuario quiera crear una cuenta o inscribirse a su Boletín de Noticias (Newsletter), deberá incorporar el “Check box” o casilla de verificación correspondiente a la aceptación que debe recabar de todos sus Suscriptores. Importante: El Check box no podrá estar en ningún caso preseleccionado.

Redes Sociales

¿Cómo afecta a las redes sociales?

Para publicar imágenes y otros datos personales en redes sociales es necesario obtener el consentimiento expreso del titular de esos datos.

¿Cómo obtener el consentimiento?

Aunque no se especifica cuál es el método que se debe usar para obtener tal consentimiento. Éste puede obtenerse tanto dentro como fuera de la red social, por lo que, si tus usuarios han aceptado la política de privacidad que autorice a recoger sus datos para fines concretos, se entendería como válido, aunque haya sido fuera de dicha red social

¿Cuál es el procedimiento si realizo un Sorteo en Redes Sociales?

Obtener el consentimiento expreso es fundamental. Debemos informar a todos los implicados y solicitar su autorización sobre:

  • La finalidad y consecuencias de la recopilación de estos datos.
  • Quién es el destinatario que va a recibir estos datos.
  • El nombre y la dirección del responsable del tratamiento de estos datos.
  • La posibilidad de ejercer los derechos ARCO.

***Con su licencia SoftwareLOPD le facilitamos la Cláusula informativa personalizada con sus datos> SoftwareLOPD > Tareas RGPD > Punto 3***

   Whatsapp

¿Se necesita consentimiento para incluir a un cliente en un grupo de WhatsApp?

Es ilegal incluir a personas en grupos de “WhatsApp” sin su consentimiento.

Sorteos

Bases Legales. Requisitos.

Para que un concurso se gestione de manera transparente y evitar futuras reclamaciones por parte de los participantes, las bases del concurso deben incluirse la siguiente información:

I) Identificar el organizador:

El organizador del concurso deberá exponer algún dato identificativo, así como:

  • Razón Social
  • CIF
  • Correo electrónico
  • Dirección

Estos son los datos habituales para identificar al organizador del sorteo. No obstante, pueden facilitarse otros que sirvan de identificador.

II) Fecha de Inicio y Fecha de Fin:

Hay que dejar bien claro el día y la hora de inicio y la de fin del sorteo.

III) Mecanismo del sorteo:

Definir en qué consiste el concurso y cuáles son los criterios para seleccionar al ganador. Si se trata de un concurso literario, por ejemplo, habrá que explicar cómo se compone el jurado, exponer la normativa y las bases del jurado para elegir al ganador.

IV) Requisitos de participación:

Detallar las condiciones para que los interesados decidan participar o no.

V) Número de ganadores y premio obtenido:

Indicar si el ganador será un solo o varios y si se seleccionarán ganadores alternativos, para el caso en el que algún participante no quiera o no pueda aceptar el premio. Además, habrá que establecer el premio a otorgar.

VI) Mecanismos de notificación al ganador:

Las bases deben mencionar la fecha en la que el ganador será informado y el medio a través del cual será notificado.

VII) Cesión de derechos de imagen y/o propiedad intelectual:

Es esencial para que el organizador pueda dar a conocer, públicamente, los ganadores. Si el sorteo se realiza mediante redes sociales, los participantes deben aceptar previamente que sus perfiles se podrán hacer públicos en los perfiles u otros sitios web del organizador.

VIII) Posibles suspensiones o prórrogas:

Las bases deben contemplar la posibilidad de que el concurso o sorteo sea suspendido o se prorroguen las fechas de selección de los ganadores.

IX) Penalizaciones y descalificaciones:

Describir las circunstancias en las que los participantes pueden ser penalizados o descalificados del concurso.

Tu Proyecto

15 años de gestión en Protección de Datos, 17.000 usuarios activos y un equipo LEGAL + TECH, ahora, a tu servicio.

Prueba, sin coste, durante 15 días SoftwareLOPD.

Protege tus Datos, Protégete Tú.

Ciberseguridad

¿En qué estado normativo se encuentra el ámbito de la Ciberseguridad?

El pasado 8 de septiembre de 2018 fue publicado el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, que transpone, fuera de plazo – recordemos que la fecha máxima para transponer la directiva era el 9 de mayo de 2018 – la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, conocida también como “Directiva de seguridad” o “Directiva NIS”.

Se espera que, con la aprobación de este Real Decreto-ley, se impulse el desarrollo del mercado interior y se mejore la seguridad en las redes y sistemas de información, aumentando la confianza de los usuarios y prestadores de servicios, así como facilitándose la prestación de servicios con alcance transeuropeo al homogeneizar los requisitos mínimos de seguridad.

—-

Inicia Tu Proyecto SoftwareLOPD y te mantendremos informado de todos los aspectos de tu interés, en el ámbito de la Protección de Datos de tu Actividad o Empresa.

Directiva NIS. Objeto.

La Directiva NIS busca garantizar un elevado nivel de seguridad en las redes y en los sistemas de información en todos los Estados miembros mediante la publicación de unos requisitos mínimos comunes, sin perjuicio de la normativa sectorial aplicable a determinados sectores de la economía y de las acciones estatales para garantizar la protección de los intereses esenciales de su seguridad, preservar el orden público y la seguridad nacional, y permitir la investigación, detección y enjuiciamiento de infracciones penales.

—-

Inicia Tu Proyecto SoftwareLOPD y te mantendremos informado de todos los aspectos de tu interés, en el ámbito de la Protección de Datos de tu Actividad o Empresa.

Directiva NIS. Medidas.
  1. La obligación de identificar y comunicar a la Comisión los operadores de servicios esenciales y proveedores de servicios digitales de los Estados Miembros.
  2. La comunicación y notificación a la Comisión y a la autoridad nacional competente de los incidentes con “efecto perturbador significativo” (esto es, aquellos incidentes de ciberseguridad que pudieran tener efectos significativos y afectar a la continuidad de los servicios esenciales prestados).
  3. El desarrollo y comunicación a la Comisión de una Estrategia nacional de seguridad de las redes y sistemas de información.
  4. El establecimiento de un marco de gobernanza que se coordine con las estructuras europeas, mediante la designación de una o más autoridades competentes, un punto de contacto único nacional y uno o varios equipos de respuesta a incidentes de seguridad informática (CSIRT).
  5. La cooperación a escala nacional e internacional, mediante el establecimiento de una red en la cual los Estados miembros puedan intercambiar información, y la creación de un grupo de cooperación a nivel europeo.

—-

En Software LOPD facilitamos la formación requerida para cumplir con la obligación de información debida, en materia de Ciberseguridad, a los trabajadores de tu empresa. Consúltanos.

Real Decreto-ley 12/2018

El pasado 8 de septiembre de 2018 fue publicado el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, que transpone la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, conocida también como “Directiva de seguridad” o “Directiva NIS”.

—-

En Software LOPD facilitamos la formación requerida para cumplir con la obligación de información debida, en materia de Ciberseguridad, a los trabajadores de tu empresa. Consúltanos.

Real Decreto-ley 12/2018. Alcance

Extiende su ámbito de aplicación a otros sectores que no se encuentran expresamente incluidos en la Directiva, dirigiéndose a las entidades que prestan servicios esenciales y dependen de las redes y sistemas de información, así como a los proveedores de determinados servicios digitales, se regula la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y los servicios digitales.

—-

En Software LOPD facilitamos la formación requerida para cumplir con la obligación de información debida, en materia de Ciberseguridad, a los trabajadores de tu empresa. Consúltanos.

Real Decreto-ley 12/2018. Obligaciones
  1. La identificación, con frecuencia bienal, de los servicios esenciales y operadores que los prestan.
  2. La obligación (a priori) de implementar medidas técnicas y de organización, adecuadas y proporcionadas, para gestionar los riesgos planteados en las redes y sistemas con carácter preventivo.
  3. Un sistema (a posteriori) de notificación de incidentes significativos que ocurran en las redes y servicios de información empleados para la prestación de los servicios esenciales y digitales.
  4. La creación de un marco estratégico de seguridad y el nombramiento de autoridades competentes para la coordinación entre autoridades y órganos de cooperación europeos.

—-

En Software LOPD facilitamos la formación requerida para cumplir con la obligación de información debida, en materia de Ciberseguridad, a los trabajadores de tu empresa. Consúltanos.

Real Decreto-ley 12/2018. Notificación

El sistema de notificación de incidentes a la autoridad competente se realiza a través del CSIRT de referencia y se refiere tanto a las redes y servicios propios como a los de proveedores externos. P

Protege a la entidad notificante y al personal que informe sobre los incidentes, permitiendo la notificación de incidentes aun cuando la comunicación no sea obligatoria (por no desencadenar un efecto adverso real).

Este sistema se uniría a la obligación de notificación a la autoridad de control en materia de protección de datos de las violaciones de seguridad que puedan afectar a datos personales, ya contenida en el Reglamento General de Protección de Datos, creándose una plataforma común para la notificación de incidentes de conformidad con ambas normativas y unificar procesos.

—-

En Software LOPD facilitamos la formación requerida para cumplir con la obligación de información debida, en materia de Ciberseguridad, a los trabajadores de tu empresa. Consúltanos.

Real Decreto-ley 12/2018. Sanciones

Según el imperativo de la Directiva NIS de establecer nacionalmente las sanciones aplicables, este Real Decreto-ley impone sanciones que van desde la amonestación a multas de hasta 1.000.000 euros, en función de distintos factores como el grado de culpabilidad, la continuidad o persistencia, el número de usuarios afectados, la reincidencia, el volumen de facturación o las acciones realizadas para descubrir o paliar los efectos.

—-

En Software LOPD facilitamos la formación requerida para cumplir con la obligación de información debida, en materia de Ciberseguridad, a los trabajadores de tu empresa. Consúltanos.

Realice una consulta

Consentimiento

12 + 8 =