Presentación de la empresa

WakeUp Estratégico, es una empresa dedicada a la consultoría en materia de Protección de Datos según ley 15/1999 y decretos posteriores (en adelante LOPD), Ley de Servicios de la información y de comercio electrónico 34/2002 ( en adelante LSSICE) y Seguridad de la Información.

Su sede central está ubicada en Pinoso (Alicante) y cuenta con sucursales en Murcia, Albacete, Almería y Baleares, y una red de partners por toda España, que permite dar cobertura a cualquier empresa del territorio nacional.

Los principales valores de la empresa son: Eficiencia, Compromiso, Personalización y Soporte Legal.

Servicios que podemos ofrecerle

1.‐ ADAPTACIÓN A LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL 15/1999, DE 13 DE DICIEMBRE, LOPD.

1.1.‐ NORMATIVA REGULADORA

La Constitución Española en su Art. 18,1,4: ”Se garantiza el derecho al honor, a la intimidad personal y familiar, a la propia imagen”. “La Ley limitará el uso de la informática para garantizar el honor, la intimidad personal y familiar de los ciudadanos, y el pleno ejercicio de sus derechos”.

La Ley Orgánica 15/1999 de 13 de diciembre y su Reglamento de Desarrollo RD 1720/2003, en cumplimiento del mandatoconstitucional garantiza y protege el honor de las personas físicas identificadas o identificables, y regula el tratamiento que puede hacerse de sus datos de carácter personal.

La Ley de la Sociedad de la Información LSSI 34/2002 de 11 julio, pretende incorporar al ordenamiento jurídico español la Directiva Europea 2000/31 CE, del Parlamento Europeo y el Consejo, así como parcialmente la Directiva 98/27 CE de 19 de mayo, que regulan la contratación de bienes y servicios por vía electrónica, actividades de intermediación, o servicios que se presten a petición individual a los usuarios.

También regulan Derechos de los ciudadanos la Ley General de Telecomunicaciones 32/2003 de 3 de noviembre, ley de Tarificación adicional Resolución de la Secretaria de Estado de Telecomunicaciones y Sociedad de la Información de 8 de julio 2009.

Las Leyes de Sanidad 41/2002 de 14 de noviembre, que regulan la autonomía del paciente, derechos y obligaciones en materia de información y documentación clínica, Ley 21/2000, de Cataluña relativos a la información de los pacientes.

Son también importantes las Recomendaciones que dicta el Director de la Agencia Española de Protección de Datos (AEPD), como la de video‐vigilancia, relaciones laborales, etc.

1.2.‐ QUE ES LA LEY DE PROTECCIÓN DE DATOS Y CUAL ES SU ÁMBITO DE APLICACIÓN

La protección de datos es un derecho fundamental de las personas físicas, que busca proteger su intimidad y su privacidad frente a las vulneraciones de tales derechos por empresas o particulares que recojan y almacenen datos de carácter personal.

Derivados de dicho derecho fundamental, el Ordenamiento Jurídico español, y el de la Comunidad Europea, reconoce a las personas una serie de derechos en relación con sus datos personales que las empresas deben respetar, e impone una serie de obligaciones formales y sustantivas que dichas empresas deben cumplir.

La Ley Orgánica de Protección de Datos de carácter personal obliga a cumplir las especificaciones reguladas en la Ley y demás normativa vigente sobre la materia a toda persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que utilice ficheros con datos de carácter personal.

Esta Ley obliga a toda entidad, sea persona física o jurídica, que posean ficheros públicos o privados , que contengan datos o información de carácter personal a inscribirlos en la Agencia Española de Protección de Datos. Tales como:

  • Profesiones liberales que ejerzan su actividad como persona física o jurídica, (abogados, economistas, gestores administrativos, asesores fiscales, laborales, agentes inmobiliarios, graduados sociales, agencias de publicidad…).
  • Empresas Cooperativas, Fundaciones, Clubs, Comunidades de Propietarios.
  • Empresas prestadoras de servicios (las de servicios de instalación, reparación, talleres…), comercializadoras, fabricantes o distribuidoras de productos, que tengan ficheros de datos de clientes y proveedores.
  • Entidades públicas, pertenecientes a la Administración y Organismos Públicos, o a la Administración y Organismo Público de Entidades Locales (Ayuntamientos), u otras personas jurídico públicas (Universidades, Colegios Oficiales, Cámaras de Comercio).
  • Todas las empresas que posean datos personales de clientes, proveedores, socios, administradores, personal, agentes comerciales, asegurados, pacientes, contribuyentes, están obligados al cumplimiento de la presente Ley.

1.3.‐ EN QUE CONSISTE LA IMPLANTACION DE LA LOPD EN LA EMPRESA

El proceso de adaptación de la LOPD en la empresa se compone de los siguientes pasos;

NOTIFICACIONES A.E.P.D.

Se inscribirán en la Agencia Española de Protección de Datos (AEPD), cuantos ficheros maneje la empresa que contengan datos de carácter personal.

ELABORACIÓN DEL DOCUMENTO DE SEGURIDAD

  • Análisis de la estructura de la empresa en lo referente a los departamentos, usuarios, delegaciones, así como de los datos de carácter personal tratados por el cliente, para la detección de los nuevos ficheros, cambio de finalidades o nivel en alguno de ellos.
  • Análisis de los datos de carácter personal tratados por el cliente, para la detección de los distintos ficheros.
  • Determinación de los niveles de seguridad de cada fichero detectado.
  • Elaboración del Documento de Seguridad.
  • Hacer y proponer las recomendaciones pertinentes y necesarias para cumplir con la Ley.
  • Redactar contratos con empleados y responsable de seguridad.
  • Redactar contratos con los Encargados del Tratamiento.

REDACCIÓN DE CLAÚSULAS

  • Elaboración de Cláusulas para correos, páginas web, facturas, presupuestos, video vigilancia, cesiones de datos de usuarios,secreto y confidencialidad de los empleados, etc.
  • Facilitar Formularios derechos ARCO, ( Acceso, Rectificación, Cancelación y Oposición).
  • Funciones y obligaciones del personal.
  • Formulario Inventario de soportes, Incidencias, Salida y Entrada de soportes, hoja inventario de copias de respaldo y recuperación.

MANTENIMIENTO Y ACTUALIZACIÓN EN PROTECCIÓN DE DATOS

  • Revisión presencial de la estructura de la empresa en lo referente a los departamentos, usuarios, delegaciones, etc. con el objetivo de comprobar los cambios producidos desde el inicio de la implantación.
  • Atención telefónica o cualquier otro medio telemático para consultas referentes a la LOPD.
  • Asesoramiento y orientación continúa mediante el envío puntual de pautas y actuaciones a seguir por el cliente.
  • Nuevas notificaciones de ficheros o modificación de los mismos.

ASESORAMIENTO Y FORMACIÓN DE RESPONSABLES DE SEGURIDAD EN PROTECCIÓN DE DATOS

Nuestros consultores están especializados y perfectamente preparados para impartir de manera presencial formación, a personas que van a responsabilizarse de la Seguridad de los datos de carácter personal de la empresa, le ayudamos a inscribir y modificar archivos en la Agencia de Protección de Datos.

El RD 1720/2007 en su Art. 89.2 exige que los empleados de las empresas conozcan las normas de seguridad en materia de protección de datos, las responsabilidades que adquieren frente al Responsable de Seguridad y del Fichero.

Para las personas que van a ser Responsables de Seguridad, o personas responsables dentro de esta área en la empresa, WakeUp Estratégico les ofrece un curso mixto, unas horas presenciales en la empresa y otras a distancia con tutorías de IMPLANTACIÓN DE LA LOPD EN LA EMPRESA que puede ser bonificable por la Fundación Tripartita, siempreque el empleado y la empresa cumplan con los requisitos previstos en el RD 395/2007 por el que se regula el subsistema de formación profesional para el empleo y la ORDEN TAS 2307/2007 que lo desarrolla.

Las unidades didácticas constan de Libro, CD, Bloc de notas, Prueba de Evaluación y Calificación de la Calidad del Servicio, el curso horas presenciales en la empresa y otras a distancia con tutorías. Se entrega Diploma acreditativo paralas personas que realicen el curso.

2.‐ AUDITORÍA BIENAL

La Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD) obliga a las empresas que tratan datosde carácter personal de nivel medio o alto a realizar auditorías de seguridad Lopd de carácter bienal.
Provista Servicios Implementados S.L. ofrece un exhaustivo servicio de auditoria Lopd en protección de datos, tanto si tiene obligación de hacerla, como si tan sólo quiere verificar el estado en el que se encuentra su empresa.

  • Auditoría bienal sobre el grado de cumplimiento de la LOPD en la empresa, actualización de documentos, detección de errores.
  • Auditorías legales bienales para los ficheros de nivel alto y medio.
  • Modificaciones derivadas de cambios en la legislación.
  • Reposición de Documentación.
  • Asesoramiento a petición del cliente sobre la aplicación de las medidas y actuaciones a realizar para una correcta implantación y actualización a la LOPD.

Para ello el cliente deberá:

  • Facilitar a WakeUp Estratégico, todos los datos solicitados para la correcta comprobación de los mismos, sin faltar a la veracidad de los mismos.
  • Implantar las correspondientes medidas de seguridad en función del nivel de cada fichero.
  • Firmar las cláusulas de confidencialidad con los usuarios.
  • Firmar los contratos con los Encargados del Tratamiento.
  • Cumplir con el deber de información.
  • Atender a los Derechos ARCO.
  • Mantener el Documento de Seguridad actualizado.
  • Seguir e implantar las recomendaciones dadas por PROVISTA SERVICIOS IMPLEMENTADOS SL.

SANCIONES AGENCIA ESPAÑOLA DE PROTECCION DE DATOS

Infracciones leves de la LOPD

a) No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo.
b) No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos.
c) El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal, cuando los datos sean recabados del propio interesado.
d) La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley.

Infracciones graves de la LOPD

a) Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal sin autorización de disposición general, publicada en el “Boletín Oficial del Estado” o diario oficial correspondiente.
b) Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley.
c) Tratar datos de carácter personal o usarlos vulnerando los principios y garantías establecidos en el artículo 4 de la presente Ley.
d) La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley.
e) El impedimento o la obstaculización del ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
f) El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos no hayan sido recabados del propio interesado.
g) El incumplimiento de los restantes deberes de notificación o requerimiento al afectado impuestos por esta Ley y sus disposiciones de desarrollo.
h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal, sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.
i) No atender los requerimientos de la Agencia Española de Protección de Datos o no proporcionarle los documentos e informaciones que sean solicitados.
j) La obstrucción al ejercicio de la función inspectora.
k) La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley.

Infracciones muy graves de la LOPD

a) La recogida de datos en forma engañosa o fraudulenta.
b) Tratar o ceder los datos de carácter personal a los que se refieren los apartados 2, 3 y 5 del artículo 7 de esta Ley, salvo en los supuestos en que la persona lo autorice, o violentar la prohibición contenida en el apartado 4 del artículo 7.
c) No cesar en el tratamiento ilícito de datos de carácter personal cuando existiese un previo requerimiento del Director de la Agencia Española de Protección de Datos para ello.
d) La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española
de Protección de Datos, salvo en los supuestos en los que conforme a esta Ley y cuando la autorización no fuera necesaria.

Sanciones por infringir la Ley de Protección de Datos

Infringir esta ley trae consigo una sanción en forma de multa que se pagará en función de la infracción cometida. En el caso de las infracciones leves, la multa está entre los 900 € y los 40.000 €, las graves entre los 40.001 € y los 300.000 €, y las muy graves entre los 300.001 € y los 600.000 €.

Para cuantificar y valorar el valor exacto de la multa, se tienen en cuenta una serie de criterios que exponemos a continuación.

a) El carácter continuado de la infracción.
b) El volumen de los tratamientos efectuados.
c) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
d) El volumen de negocio del infractor.
e) Los beneficios obtenidos tras la infracción.
f) El grado de intencionalidad.
g) La reincidencia por comisión de infracciones de la misma naturaleza.
h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.
i) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de Ios datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.
j) Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad del infractor.

El órgano sancionador establece la cuantía teniendo en cuenta la gravedad de la infracción, y si se cumplen alguno de los siguientes supuestos:

a) Cuando se aprecie una disminución de la culpabilidad del imputado o de la antijuridicidad del hecho.
b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.
d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.
e) Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.

De forma excepcional, el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos, no acordar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:

a) Que los hechos fuesen constitutivos de infracción leve o grave.
b) Que el infractor no hubiese sido sancionado o apercibido con anterioridad.

Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento.

En ningún caso podrá imponerse una sanción más grave que la fijada en la Ley.

NOVEDADES PRINCIPALES
NUEVO REGLAMENTO EUROPEO DE PROTECCION DE DATOS UE2016/679

Con la nueva Ley, se amplían los derechos de los usuarios, a continuación resumimos los cambios más destacados:

  • Desaparece el consentimiento tácito, a partir de mayo de 2018 será necesaria una afirmativa expresa por parte de la persona. Recordamos que este consentimiento hasta el momento implica que los datos pueden ser usados, excepto si se manifiesta una negativa de forma expresa.
  • Se permitirá que los herederos accedan a los datos de las personas fallecidas para su supresión o rectificación.
  • Se reduce la edad para el consentimiento de tratamiento de datos personales, hasta 13 años.
  • En caso de inexactitud de los datos personales obtenidos de forma directa, se excluye la imputabilidad del responsable de su tratamiento si éste ha adoptado todas las medidas necesarias.
  • Habrá supuestos en los que exista una prevalencia del interés legítimo del responsable del tratamiento de los datos en el cumplimientos de ciertos requisitos, como por ejemplo en los sistemas de información crediticia.
  • Responsables y encargados deberán mantener un registro de operaciones de tratamiento en el que contenga información sobre datos de contacto, finalidades del tratamiento, descripción de categorías de interesados, transferencias internacionales, etc.
  • Se regulan las situaciones en las que existe un interés público, como los sistemas de vídeo‐vigilancia o listas Robinson.
  • Los responsables de tratamiento deberán de realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD) con carácter previo a la puesta en marcha de aquellos tratamientos que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados.
  • Se crea una nueva figura: el delegado de protección de datos, que mantendrá relación directa con la Agencia Española de Protección de Datos, en representación de su entidad.
  • La citada agencia (AEPD) se constituye como una autoridad independiente vinculada al Gobierno a través del Ministerio de Justicia.

EL DELEGADO DE PROTECCION DE DATOS (DPD)

Como adelantábamos, la nueva norma establece la figura del delegado de protección de datos en el seno de la empresa.

Este delegado podrá ser una persona física o jurídica. Entre sus funciones, destaca la relación que deberá mantener con la Agencia Española de Protección de Datos en nombre de la empresa y custodiar los datos de los clientes.
Para determinados supuestos será fundamental la existencia del delegado, así como probar que éste ha adoptado todas las medidas necesarias conforme a la nueva normativa.
Nuevas sanciones por incumplimiento de la nueva Ley de Protección de Datos
Infringir la nueva normativa puede suponer multas de hasta el 4% sobre el volumen de facturación anual, con tope de 20 millones de euros. Es decir, la multa podrá ascender hasta 20 millones de euros. Por lo que, las empresas que no se adapten a la nueva normativa de LOPD, se arriesgan a multas millonarias, suponiendo incluso el cierre para algunas de ellas, por la elevada cuantía de las sanciones.

Será obligatorio en:

  • Autoridades y organismos públicos.
  • Responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala de datos sensibles.
  • El DPD ha de ser nombrado atendiendo a sus cualificaciones profesionales y, en particular, a su conocimiento de la legislación y la práctica de la protección de datos. Aunque no debe tener una titulación específica, previa a su cargo, en la medida en que entre las funciones del DPD se incluya el asesoramiento al responsable o encargado en todo lo relativo a la aplicación de la normativa LOPD , los conocimientos jurídicos en la materia son sin duda necesarios, pero también es necesario contar con conocimientos en materia de tecnología aplicada al tratamiento de datos o en relación al ámbito de actividad de la organización en la que desempeña su tarea.

    La designación del DPD y sus datos de contacto deben hacerse públicos por los responsables y encargados y deberán ser comunicados a las autoridades de supervisión competentes.

    La posición del DPD en las organizaciones tiene que cumplir los requisitos establecidos:

  • Total autonomía en el ejercicio de sus funciones.
  • Necesidad de que se relacione con el nivel superior de la dirección.
  • Obligación de que el responsable o el encargado faciliten al DPD todos los recursos necesarios para desarrollar su actividad.
  • Todavía estás a tiempo para adaptar tu empresa a la nueva Ley de Protección de Datos, existe un plazo de adaptación, que finaliza el 25 de mayo de 2018, con la entrada en vigor de la norma. Así que ahora, toca hacer los deberes, todo depende de ti.