Preguntas frecuentes
En Enfoke LOPD sabemos que la normativa sobre protección de datos puede generar muchas dudas. Por eso, hemos recopilado las preguntas más comunes que recibimos de nuestros clientes para ayudarte a entender de forma clara tus obligaciones y derechos en materia de LOPDGDD y RGPD.
¿No encuentras la respuesta que necesitas?
Contáctanos hoy mismo y uno de nuestros expertos te asesorará sin compromiso.
Conceptos generales
El Reglamento General de Protección de Datos (RGPD) es una normativa europea de aplicación directa que regula el tratamiento de datos personales. Es obligatorio para todas las empresas, entidades y profesionales que manejen información de personas físicas en la UE. Garantiza los derechos de los ciudadanos y obliga a adoptar medidas para proteger sus datos.
La Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) complementa el RGPD en España. Regula aspectos específicos como el uso de videovigilancia, datos laborales, tratamiento de menores o derechos digitales en el entorno laboral.
Sí. El RGPD se aplica a cualquier persona o entidad que trate datos personales, sin importar el tamaño del negocio. Si tienes clientes, proveedores o empleados, estás obligado a cumplirlo.
Es cualquier información que pueda identificar directa o indirectamente a una persona física: nombre, DNI, correo electrónico, IP, matrícula, voz, imagen, etc.
Es cualquier operación realizada sobre datos personales: recogida, registro, almacenamiento, modificación, consulta, cesión, eliminación, etc.
Los llamados derechos ARSULIPO:
- Acceso
- Rectificación
- Supresión
- Oposición
- Limitación del tratamiento
- Portabilidad
- Oposición a decisiones automatizadas
Estos derechos garantizan que las personas controlen el uso de sus datos personales
Es la persona encargada de supervisar el cumplimiento de la normativa en una organización. Es obligatorio en sectores como educación, sanidad, administraciones públicas o empresas que tratan datos sensibles o a gran escala. También puede nombrarse voluntariamente.
El Responsable determina los fines y medios del tratamiento de datos. El Encargado trata los datos por cuenta del Responsable, bajo contrato. Por ejemplo, una asesoría laboral es Encargada del Tratamiento si gestiona nóminas.
El tratamiento de datos puede basarse en:
- Consentimiento del interesado
- Ejecución de un contrato
- Obligación legal
- Interés público
- Interés legítimo
- Protección de intereses vitales
Es una de las bases del RGPD. Significa que solo deben recogerse los datos estrictamente necesarios para la finalidad prevista, ni más ni durante más tiempo del necesario.
- Interés público
- Interés legítimo
- Protección de intereses vitales
Consentimiento y derechos
Depende. El consentimiento es solo una de las bases legales. Si no existe otra base como obligación legal o relación contractual, necesitarás su consentimiento, que debe ser libre, informado y verificable.
El consentimiento debe ser explícito y estar documentado. No se permiten casillas premarcadas. Puedes recogerlo por formularios, email o plataformas digitales, pero siempre conservando prueba de ello.
Solo durante el tiempo necesario para cumplir la finalidad del tratamiento o el plazo legal. Después deben eliminarse o anonimizarse. Es recomendable establecer una política de conservación.
A través de una solicitud dirigida al Responsable del Tratamiento, ya sea por correo electrónico, formulario web o carta. La empresa tiene un mes para responder.
Debes verificar la identidad del solicitante y gestionar la petición dentro del plazo legal (generalmente, 1 mes). Si no atiendes adecuadamente una solicitud, podrías ser sancionado.
Es el derecho del usuario a recibir sus datos en un formato estructurado y a transmitirlos a otro proveedor, siempre que el tratamiento esté basado en el consentimiento o en un contrato y se realice por medios automatizados.
En España, el tratamiento de datos de menores requiere consentimiento si tienen 14 años o más. Para menores de esa edad, se necesita autorización de padres o tutores legales.
Seguridad y brechas
Debes aplicar medidas técnicas y organizativas adecuadas: cifrado, control de accesos, contraseñas seguras, copias de seguridad, formación del personal, etc. Todo debe ajustarse al nivel de riesgo del tratamiento.
Es un incidente que compromete la confidencialidad, integridad o disponibilidad de los datos. Debes notificarlo a la AEPD en 72 horas y, si procede, a los afectados.
Evaluar si se trata de una brecha de seguridad. Si hay riesgo para los derechos de las personas, debe notificarse a la AEPD y aplicar medidas para minimizar el daño.
Sí, si hay un riesgo para los derechos y libertades de los afectados. Si el riesgo es alto, también debes informar directamente a las personas afectadas.
Es la evaluación de amenazas y vulnerabilidades en los tratamientos de datos. Permite aplicar medidas adecuadas y cumplir con el principio de responsabilidad proactiva.
Empresa y actividad profesional
Depende del tipo de actividad, pero como mínimo:
- Registro de Actividades de Tratamiento
- Análisis de riesgos
- Medidas de seguridad
- Contratos con Encargados
- Protocolos de ejercicio de derechos
- Políticas internas y externas
Es un documento obligatorio para la mayoría de empresas donde se detallan los tratamientos de datos realizados: finalidad, base legal, destinatarios, plazos, medidas de seguridad, etc.
Contratos de Encargado del Tratamiento, con cláusulas que regulen el acceso, uso, confidencialidad, medidas de seguridad y destrucción de los datos.
Debes asegurarte de que el subcontratista también cumple el RGPD, e incluirlo en el contrato con cláusulas adecuadas.
Sí. La formación es esencial para evitar errores humanos y cumplir con la normativa. Todo el personal con acceso a datos debe conocer sus obligaciones.
Sí. Esta política establece las normas internas sobre el tratamiento y protección de datos y es fundamental para cumplir con el principio de responsabilidad proactiva.
Web, marketing y videovigilancia
Debe incluir:
- Política de privacidad clara
- Aviso legal
- Política de cookies
- Formularios con cláusulas de información
- Recogida del consentimiento previo
Sí, pero debe respetar la privacidad de los trabajadores, estar justificado y señalizado. No puede grabar zonas privadas como vestuarios o baños.
Debes informar de forma clara sobre el uso de cookies y obtener el consentimiento antes de instalarlas (excepto las técnicas necesarias). El usuario debe poder configurarlas o rechazarlas.
Sí, si les has ofrecido productos o servicios similares y se les da la opción de darse de baja. Si no son clientes, necesitas su consentimiento previo.
Solo con su consentimiento explícito. La imagen es un dato personal, y su uso requiere autorización, especialmente si se trata de menores.
El aviso legal debe identificar al titular del sitio web. La política de privacidad debe informar sobre quién trata los datos, con qué finalidad, legitimación, destinatarios, derechos del usuario y cómo ejercerlos.
Solo si hay una base legal que lo justifique, se informa previamente a la persona y no se vulneran sus derechos fundamentales. Además, debe cumplir con los principios del RGPD.
Sanciones y servicios de ENFOKE
Las multas pueden alcanzar hasta 20 millones de euros o el 4 % de la facturación anual. También puede haber daños reputacionales, pérdida de clientes o denuncias individuales.
Analizamos tu situación, te acompañamos en la implantación del RGPD-LOPDGDD, redactamos los documentos necesarios, ofrecemos formación y actuamos como Delegados de Protección de Datos si lo necesitas.
- Adaptación completa RGPD-LOPDGDD
- Auditorías
- Formación y sensibilización
- Asesoramiento legal
- Gestión de brechas
- DPD externo
- Adecuación web y cookies
- Redacción de contratos y cláusulas legales