Entradas

¿Cumple su empresa con el nuevo Reglamento de Protección de Datos europeo que entró en vigor el 25 de mayo de 2018?

/en /por

Ya es una realidad. El pasado 25 de mayo de 2018 entró el vigor el Nuevo  Reglamento General de Protección de Datos de la Unión Europea (RGPD), que afecta tanto a las empresas, como a los autónomos y organismos públicos y privados que traten datos de carácter personal. Entre los grandes cambios, se deberán contar con el consentimiento explícito de los usuarios para el uso de sus datos; aclarar qué información tienen, dónde, por cuanto tiempo, quién la usa y para qué; cumplir con el derecho al olvido; y nombrar a un delegado de datos que velará por el cumplimiento de la normativa. El incumplimiento de la nueva normativa podría llegar a acarrear sanciones de hasta 20 millones de euros o del 4% del volumen total global del negocio de la compañía, con el evidente y grave perjuicio reputacional que también supondría para la organización.

El pasado 25 de mayo de 2018 entró en vigor el  nuevo Reglamento Europeo General de Protección de Datos (RGPD), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, una norma que es de aplicación obligatoria y que impone a las empresas numerosos deberes en relación a la privacidad.

Queda, además, pendiente la aprobación de la nueva Ley Orgánica de Protección de Datos, que se encuentra actualmente en tramitación parlamentaria. De todas formas, esto no supone ningún tipo de ventaja o inconveniente, puesto que el Reglamento europeo será plenamente exigible de todas formas.

Atención. El RGPD es un tipo de norma que tiene aplicación directa en todos los estados de la UE y, por tanto, no precisa de ningún tipo de mecanismo de transposición específico. Dicho de otra forma, no hace falta que exista ninguna ley española para que el Reglamento europeo resulte obligatorio, es exigible como si fuera una ley nacional.

Las compañías que operen en Europa deberán acatar el RGPD, independientemente de que estén registradas en países que no pertenecen a la Unión Europea.

Es importante establecer un mapa de ruta para cumplir con el nuevo Reglamento, ya que hay numerosas decisiones jurídicas relevantes a tener en cuenta. 

El primer paso que todas las empresas deberían ejecutar es identificar y analizar las áreas de riesgo y documentar los tratamientos de datos personales que se llevan a cabo, a través de un inventario de todas las actividades de tratamiento que realiza la compañía. De esta manera será más sencillo clasificar los datos de acuerdo con: su naturaleza, finalidad, categoría, origen, si son susceptibles de ser compartidos, etc. 

¿Qué entendemos por datos personales?

Se definen los datos personales de las personas como toda aquella información que se puede vincular directa o indirectamente a una persona. Es decir, pueden ir desde el nombre completo o domicilio de un individuo hasta información acerca de su condición social, estado civil o inclusive dirección IP. 

Son muchas las obligaciones que tanto las empresas, autónomos y organismos públicos y privados que traten datos de carácter personal deben conocer y el tiempo es escaso, por lo que es necesario adoptar sin dilación las decisiones necesarias para llegar a ese plazo en situación de cumplimiento. El riesgo de no hacerlo es el de posibles sanciones: las multas pueden llegar hasta los 20 millones de euros o el 4% de la facturación anual global del infractor. La autoridad de control puede actuar de oficio o por denuncia de los interesados. 

Algunas de los puntos básicos de este Reglamento son:

  • • Los datos personales son siempre del titular, no de quien los trata.
  • • Los datos deben utilizarse sólo para la finalidad para la que fueron recabados.
  • • Los interesados pueden ejercer el derecho a la portabilidad de sus datos, estando obligado el responsable del tratamiento a facilitar una copia completa de los datos en soporte electrónico.

Las personas viviendo dentro de la UE tendrán derecho a:

  • – Recibir información clara y comprensible sobre quien procesa sus datos y por qué.
  • – Acceder a los datos que las organizaciones tienen sobre ellos.
  • – Pedir que se eliminen los datos personales si no existe un motivo legítimo para guardarlos.
  • – Poder corregir los datos si son incorrectos.
  • – Mover los datos de un proveedor de servicios, como el correo electrónico o red social, a otro.

LAS CLAVES DEL NUEVO RGPD

1. Consentimiento expreso, no tácito

La nueva normativa establece que las empresas deben contar con el permiso expreso del usuario para disponer y utilizar sus datos. Hasta ahora valía con el permiso tácito, es decir, la presunción de que el usuario aceptaba lo que no rechazaba. 

Para proceder a la recogida y al tratamiento de datos personales las organizaciones han de haber obtenido previamente un acuerdo escrito, claro o explícito de los titulares de los datos. 

Por tanto, las empresas necesitarán obtener el consentimiento voluntario, específico, inequívoco e informado de las personas para procesar sus datos. También necesitarán que los usuarios opten por aceptar el procesamiento de sus datos, no será válido darles solo una opción de “opt-out” o exclusión. En otras palabras, las empresas ya no podrán pedir a los consumidores que marquen una casilla después de un extenso conjunto de términos y condiciones que la mayoría de los usuarios nunca lee.

2. La legalidad del procesamiento de datos

Las empresas que procesen datos personales deben asegurarse de que es legal, justo y transparente. No pueden usar datos para fines distintos de aquellos para los que se recopilaron, con excepciones limitadas.

El procesamiento de datos es legal si:

  • • Un individuo ha dado su consentimiento.
  • • Es necesario para la ejecución de un contrato.
  • • Es necesario cumplir una obligación legal en virtud de la legislación nacional o de la UE.
  • • Es necesario para proteger los intereses vitales de un individuo.
  • • Es necesario llevar a cabo una tarea de interés público en virtud de la legislación nacional o de la UE.
  • • Es en interés legítimo de la compañía, siempre que no se imponga sobre los derechos y libertades fundamentales de un individuo.

Si una empresa recopiló datos sobre la base del consentimiento, no puede usarlos para otros fines.

3. Tiempo y uso concreto

Las compañías no solo están obligadas al consentimiento expreso, sino que deben especificar el uso y el tiempo concreto que tienen pensado disponer de estos datos.  El RGPD establece que se deben guardar no más del «tiempo necesario». 

4. Portabilidad de datos

El RGPD prevé un mecanismo de portabilidad que ofrece la posibilidad de pasar de un servicio a otro. Un usuario puede solicitar a cualquier empresa que le otorgue acceso a todos los datos personales recolectados con anterioridad, para de esta forma transferirlos a otra compañía, sí así lo desea.

5. Robo de datos

Además de informar claramente a los ciudadanos para qué y cómo procesan sus datos personales, deberán informar acerca de posibles brechas de seguridad en un plazo máximo de 72 horas. Si, por ejemplo, un banco sufre un ciberataque, sus clientes deberán conocerlo antes de tres días.

6. Descarga de toda la información a un «clic»

Los usuarios tienen derecho a saber toda la información que las compañías poseen sobre ellos y a tener una copia electrónica.

7. El derecho al olvido

Aunque ya estaba en vigor, a partir de ahora se refuerza el llamado «derecho al olvido» y podrán solicitar a servicios de internet y empresas que tratan datos personales que borren todos sus datos o que se establezca el límite de tiempo que el usuario da permiso de uso de su información.

8. Mayor protección de los menores

La edad mínima aumenta de los 14 a los 16 años para acceder a los diferentes servicios digitales.

9. La letra pequeña, reflejada de forma clara

El nuevo reglamento establece que los términos de uso y las políticas de privacidad de datos deben redactarse y publicarse de una manera más sencilla y clara, es decir, comprensible para todos.

10. El Registro de Ficheros en la AEPD.

Al contrario que hasta ahora, la nueva normativa no obliga a registrar Ficheros en la Agencia Española de Protección de Datos (AEPD). Todo el cumplimiento de la normativa será responsabilidad de los obligados (Instituciones, Empresas y Organizaciones), que internamente establecerán los medios para la aplicación de la normativa. 

¿Qué pasará con los ficheros registrados? Será una obligación cumplida bajo una normativa anterior, ya no habrá ningún procedimiento de presentación o de consulta de los ficheros comunicados.

11. Nuevas reglas para procesadores de datos

El RGPD distingue entre “controladores” de datos y “procesadores” de datos. Un controlador de datos determina por qué se deben recopilar y procesar los datos personales y cómo. Un procesador de datos solo procesa datos personales en nombre del controlador y generalmente es una empresa externa.

Por ejemplo, un minorista que contrata a una empresa de recursos humanos para manejar la nómina y otras funciones es el controlador de datos, mientras que la empresa de recursos humanos es el procesador de datos.

Bajo el RGPD, los procesadores de datos deben garantizar los mismos estándares que los controladores y garantizar que cumplan con los requisitos de la ley. Debe haber un contrato legal entre un procesador y un controlador, y un procesador no puede contratar a otra compañía para procesar datos sin el consentimiento del controlador.

12. Delegado de Protección de Datos

Una de las exigencias que introduce el RGPD es la designación obligatoria de un Delegado de Protección de Datos o Data Protection Officer (DPO, por sus siglas en inglés). Ahora nace una figura especializada en derecho de protección de datos que se crea junto a las ya existentes de responsable y encargado del tratamiento de los datos. Sus funciones se orientan a garantizar el cumplimiento del reglamento y asesorar al responsable del tratamiento de datos.

Sus funciones es velar o supervisar que se realiza el cumplimiento de la normativa de LOPD adecuadamente, en el caso de autoridades y organismos públicos, entidades que realicen una observación habitual y sistemática de las personas a gran escala, y entidades que tengan entre sus actividades principales el tratamiento, también a gran escala, de datos sensibles.

13. Nuevas sanciones por incumplimiento.

La cuantía de las multas sube de forma sustanciosa para evitar lo que se conoce como las “infracciones rentables”. Por ello, el RPGD habla de que es posible cifrar las administrativas con cantidades entre 10 y 20 millones de euros. Si hace referencia a una empresa, la multa podría ascender al 2 o 4% del volumen de negocio total, en base al anual global del ejercicio financiero anterior.

PAUTAS A SEGUIR: 

1. Actualice sus documentos legales y realiza auditorías internas

En este primer punto, se tendrá que tener en cuenta qué se necesita para ajustarse al nuevo Reglamento en cada caso particular.

2. Solicite el certificado o permiso para poder procesar datos

Si el consentimiento actual que tiene no cumple con la nueva normativa, tendrá que solicitarlo de nuevo.

3. Organice una auditoría de información

Le permitirá explicar a sus clientes porque almacena sus datos y cómo trabaja con ellos, así como actualizar los datos de los empleados.

4. Informe a su equipo de trabajo

Es importante que su equipo sepa qué es el RGPD y cómo puede afectar  a la empresa. Además de formarle para que lleve a cabo los procedimientos adecuados para cumplir la normativa.

5. Eliminación de datos 

Es indispensable tener un sistema eficiente y eficaz que le permita borrar los datos cuando se solicite o no sean necesarios.

6. Situación de crisis

Es necesario elaborar y establecer una estrategia de gestión de crisis por si la situación lo requiriera.

7. Muestre que está cumpliendo con la normativa

Actualice sus diferentes canales, página web, redes sociales y soportes varios y ponga de manifiesto que está poniendo en práctica y cumpliendo el RGPD.

8. Canales de acceso

Aquellos que estén interesados en formar parte de sus  bases de datos, acepten los términos y lo soliciten, se les incluirá. Por el contrario, aquellos que no hayan dado su autorización no se les estará permitido y no deberían entrar a formar parte de la base de datos de la compañía.

9. Protección de datos para menores de 16 años

Los menores de 16 años necesitarán el permiso de sus padres o tutor con la nueva Ley de Protección de Datos.

10. Nuevo cargo: Delegado de Protección de Datos (DPD)

Se recomienda incluir la figura de Delegado de Protección de Datos  para asegurar que se respeta y cumple con lo establecido en la RGPD. Este punto no es obligatorio, pero si lo recomienda la UE. El perfil de DPD abarca desde un profesional externo a la empresa o algún trabajador que asuma el rol.

Para más información, puede consultar también la página Web de la AEPD: 

https://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php

¿Están las empresas obligadas a ofrecer un servicio de comedor?

/en , /por

Es bastante frecuente que la jornada ordinaria de un trabajador sea partida con un descanso de unas dos horas para comer en su casa. Sin embargo, en muchas ocasiones, ese tiempo no es suficiente para ir hasta el domicilio, comer y volver al centro de trabajo. Por lo tanto, el disponer de un comedor habilitado por la empresa en un centro de trabajo es una cuestión de gran importancia.

Pues bien, en Palacio Asesores queremos informarles de que todas las empresas con más de 50 trabajadores y horarios partidos, que asignen menos de dos horas para comer a su plantilla tienen la exigencia legal de contar con un comedor estable en el que se sirvan comidas a precio más asequible que los bares y restaurantes.

Entendamos por “comedor” tanto como un espacio para comer lo que uno trae de casa como un lugar donde se sirven comidas solo para los empleados.

Pese a que la normativa que obligaba a las empresas a habilitar un servicio de comedor es muy antigua, los Tribunales consideran que todavía está en vigor. Así lo establece una sentencia del Tribunal Superior de Justicia del País Vasco, de 7 de marzo de 2017, que recoge la doctrina jurisprudencial del Tribunal Supremo, plasmada en las sentencias de 26 de diciembre de 2011 y de 19 de abril de 2012.

El Tribunal Supremo considera plenamente vigente la normativa sobre comedores de empresa contenida en el Decreto de 8 de junio de 1938 y en la Orden de 30 de junio del mismo año.

 

¿A qué empresas y empleados afectan?

En primer lugar, hay que señalar que si los trabajadores no disponen de dos horas de descanso para almorzar o para comer, dicha normativa le obliga a habilitar un local comedor en su empresa (si los trabajos se realizan al aire libre –salvo si se trata de trabajos agrícolas–, se debe habilitar un barracón o cobertizo). Esta obligación también existe aunque sus empleados sí dispongan de dos horas o más para descansar si al menos la mitad de su plantilla solicita habilitar un comedor.

En la normativa no se especifica nada de si los trabajadores deben ser por cuenta ajena o por cuenta propia, y también es obligatorio crear estas instalaciones si lo pide más de la mitad de los 50 o más trabajadores, aunque el horario de comida supere las dos horas. La única alegación que puede hacer la empresa para no hacerlo es que no se le vaya a dar uso en la práctica, por ejemplo por tener turnos horarios continuados que no incluyan la hora de la comida.

En segundo lugar, las empresas que cuenten con centros de trabajo de 50 o más trabajadores (con independencia del tiempo que tengan para efectuar la comida), deben habilitar un local habilitado como comedor en dicho centro. Además, la normativa le obliga a procurar comida a sus trabajadores a un precio asequible (no obstante,  sería válido contratar a una empresa de catering que proporcione la comida ya preparada).

 

¿Cómo debe ser el comedor?

 La legislación a la que nos hemos referido es bastante antigua por lo que habría que adaptarla a la actualidad. No obstante se dan algunas indicaciones para los comedores solicitados por los empleados o cuando el tiempo de descanso sea inferior a dos horas:

  • El local-comedor debe estar a cubierto de los rigores del tiempo.
  • Debe estar provisto de las correspondientes mesas, asientos y agua.
  • Debe estar acondicionado para poder calentar las comidas.

Es decir, lo que en la actualidad se traduce en agua corriente, luz y un microondas como mínimo.

 

¿Son válidas las máquinas expendedoras automáticas (“vending”) como sistema sustitutivo del restaurante?

La respuesta es no. Los Tribunales consideran insuficiente una sala con máquinas expendedoras automáticas (“vending”) como sistema sustitutivo del restaurante, aunque dispensen comidas preparadas.

Dicen los Tribunales que un servicio de esta naturaleza «no permite tener cumplido el deber que le incumbe, no solo porque el coste lo asume en exclusiva el trabajador, sino también porque el recurso diario a ese tipo de alimentación no garantiza una dieta sana, equilibrada y variada como la que está obligada a procurar la empresa, aparte de los riesgos derivados del posible deterioro de los productos y de los problemas de todo tipo que una alimentación diaria de esa clase genera. Y es que si hablamos de realidad social, la que actualmente nos toca vivir en nuestro país no secunda la pretensión de equiparar servicio de comedor o cheque restaurante con servicio de vending».

 

¿Puede ser sancionada la empresa?:

 En caso de incumplimiento de esta obligación por parte de la empresa, el trabajador podrá reclamar su derecho ante los Juzgados de lo Social y ante la Inspección de Trabajo. Además, se podrá entender como falta grave cometida por la empresa con una sanción económica que va desde los 300 € hasta los 3.000 €.

 

Una alternativa: los cheques restaurantes

 Pese a lo anterior, si su empresa tiene centros de trabajo de más de 50 empleados pero no puede poner en marcha un comedor que procure comida a su plantilla puede sustituir dicha obligación por la entrega de cheques restaurante a sus trabajadores, que están exentos del IRPF hasta un importe máximo diario de 9 euros, si  bien la empresa debe cotizar por ellos a la Seguridad Social.