--

9:00 - 20:00

Abierto de Lunes a Viernes

Contáctanos y Solicita Información

Facebook

Twitter

Search
 

¿Cómo afecta la nueva normativa RPGD a las gestorías?

Abogados en Segovia - Verae > Abogados Segovia  > ¿Cómo afecta la nueva normativa RPGD a las gestorías?

¿Cómo afecta la nueva normativa RPGD a las gestorías?

Verae Abogados Segovia Compliance Officer

¿Eres asesor fiscal, laboral o contable? ¿Tu negocio está relacionado con los sectores de asesoría o gestoría? Si la respuesta es sí, sigue leyendo porque este artículo te podría interesar si quieres contestar a al pregunta de ¿Cómo afecta la nueva normativa RPGD a las gestorías?

¿Qué es el RGPD?

A partir del 25 de mayo de 2018, cualquier empresa comunitaria o de fuera, si comercializa sus productos o servicios en algún país de la Unión Europea debe estar adaptada al nuevo Reglamento General de Protección de Datos (RGPD).

El RGPD es la norma que afecta por igual a las grandes corporaciones y a las micropymes (muchas de ellas muy activas en el uso de datos). 

El nuevo reglamento general de protección de datos entró en vigor en mayo de 2016 y es de aplicación obligatoria para todas las empresas de la Unión Europea a partir del 25 de mayo de 2018. 

Otorga un mayor control y seguridad a los ciudadanos sobre su información personal en el mundo 2.0. El RGPD amplía sus derechos a decidir cómo desean que sus datos sean tratados y cómo quieren recibir información de las empresas.


¿Qué deben tener en cuenta las empresas ante el RGPD?


Más allá de las sanciones que pueden acarrear la falta de cumplimiento del RGPD, todavía hay muchas pymes que están haciendo poco o nada ante esta nueva exigencia comunitaria. 

En esencia el nuevo reglamento de protección de datos endurece el control sobre los datos personales y otorga a cada individuo el derecho a que sean utilizados o no por cualquier entidad, pública o privada, así como la manera en la que se accede a ellos y hasta retirar su acceso. 

El RGPD es la norma que afecta por igual a las grandes corporaciones y a las micropymes

Sin embargo, muchas otras empresas están buscando ayuda para hacer del RGPD un aspecto diferencial y un valor añadido. 

Su nueva estrategia pasa por considerar que no hay mejor valor comercial, que conocer en profundidad los datos que les suministran sus clientes presentes y futuros. 

Ante el nuevo marco legal derivado del reglamento europeo de protección de datos, las empresas deben tener en cuenta los siguientes aspectos: 

¿Qué es un dato personal?


verae abogados en segovia constitución de una sociedad limitada y sanciones tributariasEs toda información sobre una persona física identificada o identificable, ya sea un nombre, un DNI, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. Implica diferencias con respecto a la antigua Ley Orgánica de Protección de Datos (LOPD).

Mayor transparencia 


Más transparencia con las personas a cuya información se accede. A partir de ahora, con el nuevo reglamento europeo de protección de datos, las empresas deberán explicar a los usuarios de quien recojan sus datos, para qué los están recopilando y demostrar que esos datos sólo están siendo empleados para los fines recabados.

Adiós al consentimiento tácito 


Los usuarios, por su parte, tendrán la capacidad de retirar su consentimiento y eliminar la información de los servidores de la empresa. Se acabó el consentimiento tácito.

El nuevo reglamento general de protección de datos obliga a muchos más controles para garantizar que, quien cede sus datos, lo hace con pleno conocimiento.  A partir de ahora las empresas deben revisar y rehacer el conjunto de contratos y cláusulas.

 Las empresas son responsables de su seguridad


Será cada empresa la que determine cuáles son los niveles de riesgo en los que incurre y las medidas que, en su opinión, debe adoptar para garantizar que la información de cualquier persona está correctamente custodiada y es utilizada de forma correcta. 

Proactividad en la comunicación de brechas de seguridad 


Actuar de forma proactiva en la comunicación de fallos. Ante una filtración de datos, el responsable de tratamiento de los mismos, deberá notificar los fallos de seguridad a la Agencia Española de Protección de Datos, en un plazo de 72 horas

Este experto tendrá que contar con un sistema efectivo para realizar el reporte o para comunicar el fallo a los afectados, en caso de existir algún riesgo para sus derechos.

Aparece la figura del DPO


Cambiar de asesoría de empresas 2 VeraeEl RGPD propicia la creación de la nueva figura del Data Protection Officer (DPO) o delegado de protección de datos. Una figura esencial en el nuevo reglamento europeo y que tendrá que identificar todos los posibles riesgos y buscar soluciones para solventarlos. 

Su presencia es obligatoria para todas las administraciones públicas y en aquellas organizaciones con tratamiento de datos a gran escala y puede ser interno o externo a la compañía.

Nuevos requerimientos para datos de menores


El nuevo reglamento general de protección de datos, considera que el consentimiento parental será requerido para procesar datos de menores de 16 años en servicios online. 

Los Estados miembros pueden legislar con el fin de rebajar la edad de consentimiento, aunque en ningún país podrá situarse el requerimiento del consentimiento paternal por debajo de los 13 años.

Nuevas certificaciones


El reglamento de protección de datos personales concede una atención especial a la implantación de esquemas de certificación y abre diversas posibilidades para su gestión. Las certificaciones pueden ser otorgadas por las autoridades de protección de datos, tanto individual como colectivamente desde el Comité Europeo, o por entidades debidamente acreditadas.

Ante una filtración de datos, el responsable de tratamiento de los mismos, deberá notificar los fallos de seguridad a la Agencia Española de Protección de Datos, en un plazo de 72 horas


Privacy by design & by default 


Medidas Tecnológicas para la Privacidad desde el diseño y por defecto. El nuevo reglamento general de protección de datos, establece que todo proyecto, ya sea comercial, de creación de una página web, de desarrollo de entorno tecnológico, etc. 

Debe evaluar desde el inicio de su diseño y por defecto (Privacy by design & by default) los riesgos que pueden comportar para la privacidad de los datos personales que incorporará. 

Además, debe verificar que se han puesto en marcha las medidas necesarias para eliminarlos o mitigarlos y, por último, que en todo momento los tratamientos de datos se ajusten a la normativa de protección de datos en vigor. 

Adaptación del RGPD a cada empresa 


Debido a todos los cambios respecto a la Ley Orgánica de Protección de Datos (LOPD), la AEPD ha preparado unas guías con instrucciones. No son guías estándar, sino que deberán adaptarse a cada empresa con la ayuda de un profesional externo.

Donde se fijan conceptos, metodología, ejemplos y modelos a seguir, recomendaciones e incluso listados de posibles riesgos de incumplimiento del RGPD y seguridad

¿Qué normativa se aplica a la Protección de Datos actualmente?


  • El Reglamento General de Protección de Datos (aplicable desde el 25 de mayo en todos los Estados Miembros de la UE)
  • Ley de protección de datos a nivel nacional (LOPD-GDD)

Las asesorías y gestorías trabajan cada día con datos de clientes, y la cantidad de información que pasa por sus manos es considerable. 

Es por ello, que es necesario mantenerse al día en la gestión de la protección de los mismos, pues es una obligación ineludible además marcada por ley.


Dos cosas importantes a tener en cuenta en la actuación sobre datos personales 


Primero, las asesorías actuarán como responsables del tratamiento de datos. Pues son responsables de su gestión con la guarda, control y proceso de los datos personales tanto de sus propios empleados, como de sus clientes. 

Esta relación exige que firmemos un contrato con el encargado del tratamiento de la información, garantizando el debido cumplimiento de la normativa

En el mismo documento se detallarán y tendrán en cuenta el objeto, la duración, la naturaleza y finalidad de dicho tratamiento, el tipo de datos personales y categorías de los interesados y las obligaciones y los derechos del responsable.

Por otra parte, las asesorías actuarán también como proveedores de sus clientes, tratando datos personales facilitados por éstos, siendo en este caso encargados del tratamiento. Aquí también se deberá firmar un contrato entre ambas partes, similar al anterior.

Es decir, asesorías y gestorías ocupan un perfil tanto de responsables como de encargados del tratamiento de datos. Siendo esta la principal peculiaridad frente a la protección de datos con respecto a otras empresas.

asesoría laboral

¿Qué obligaciones tienes como encargado del tratamiento de datos?


  • Cumplir las instrucciones del responsable del tratamiento
  • El deber de confidencialidad
  • Adoptar las medidas de seguridad pertinentes
  • Pactar el posible régimen de la subcontratación
  • Facilitar el ejercicio de los derechos de los interesados
  • Colaborar en el cumplimiento de las obligaciones del responsable
  • Cumplir con el destino de los datos al finalizar la prestación, que ha sido previamente pactado en el contrato
  • Colaborar con el responsable para demostrar el cumplimiento de todas las medidas

Esta relación exige que firmemos un contrato con el encargado del tratamiento de la información, garantizando el debido cumplimiento de la normativa


También debes tener en cuenta esto


Debes cumplir con las instrucciones de quien te encomienda un determinado servicio, realizando un correcto tratamiento de los datos personales a los que puedas tener acceso y garantizando su confidencialidad.

Deberás adoptar todas las medidas de seguridad necesarias, que garanticen la seguridad de esos datos de carácter personal a los que has tenido acceso.

También deberás poner a disposición del responsable, la información que sea precisa para demostrar el cumplimiento de estas medidas, e incluso permitirle realizar auditorías con esta finalidad.

En este caso, se trata de una exigencia impuesta por el nuevo reglamento a los responsables, enmarcado en el principio de responsabilidad proactiva de éstos.

Y este principio de responsabilidad proactiva, se extiende también al encargado. Éste tiene el deber de informar al responsable, en caso de que una de las instrucciones vaya en contra de los dispuesto por la norma aplicable.


¿Cuáles son las obligaciones como responsables de los datos?


  • Elaborar un registro de actividades de tratamiento de datos
  • Realizar un análisis de riesgos
  • Hacer una evaluación de impacto (en ciertos casos, cuando en función de los datos personales tratados exista un riesgo alto)
  • Firmar los contratos con terceros
  • Incluir los textos legales en la página web
  • Solicitar el consentimiento a los clientes
  • Facilitar el ejercicio de los derechos de los usuarios (acceso, rectificación, limitación, oposición, y supresión, incluido el derecho al olvido).
  • Firmar los compromisos de confidencialidad con los empleados
  • Nombrar un delegado de protección de datos (en ciertos casos, por ejemplo, cuando se tratan datos médicos de los clientes y/o terceros).


Legitimación para el tratamiento de datos de empresarios individuales y de profesionales


Abogados en Segovia -Irregularidades verano 3Los datos de los clientes que sean autónomos o empresarios individuales ya no están excluidos del ámbito de aplicación de la normativa de protección de datos y están considerados como datos personales.

Existe un porcentaje alto de clientes de asesorías y gestorías que son autónomos o empresarios individuales. Lo que hace que sea un aspecto importante a tener en cuenta.

En estos casos, podrá presumirse lícito el tratamiento de datos siempre que sea necesario para la satisfacción de los intereses legítimos del responsable, es decir, no sería necesario obtener su consentimiento, siempre que sobre dichos intereses, no prevalezcan los intereses o los derechos del interesado.

El interés legítimo en el caso de asesorías y gestorías será precisamente la prestación del servicio que ese empresario individual o autónomo ha contratado previamente con las mismas.


Algunos casos comunes que surgen en estos sectores


En mi asesoría se tramitan incapacidades de clientes y por ello, accedo a datos de salud de los mismos. ¿Cómo gestiono esto en materia de protección de datos?


Los datos de salud son datos sensibles para una evaluación de impacto. Hay que determinar qué clase de riesgos pueden existir por la pérdida o destrucción de esos datos, qué deficiencias existen en tus medidas de seguridad y qué soluciones debes aplicar para subsanarlas, y cumplir las obligaciones impuestas por la normativa aplicable.

¿Mis clientes pueden exigirme que adopte medidas de seguridad para proteger adecuadamente los datos personales de los clientes que me facilitan para prestarles mis servicios? 


Por supuesto que sí. En el contrato que suscribes con tu cliente, en el que actúas como encargado del tratamiento, se recogerán precisamente una serie de obligaciones que debes cumplir y que tienes justificar su cumplimiento. Todo ello para garantizar la seguridad y evitar incidencias. 

Abogados & Economistas Verae 


En Abogados & Economistas Verae somos líderes en asistencia jurídica para todos los campos que componen el derecho. Ofrecemos servicios de defensa y asesoramiento legal a empresas y particulares para todas las ramas del derecho.  

La firma está integrada por socios abogados y economistas de dilatada experiencia profesional que tienen como objetivo dar respuesta a tus necesidades empresariales. Entonces ¿A qué esperas? Contáctanos y asegura tu tranquilidad.

Más información

No Comments

Leave a Comment