BVB DATA
Preguntas frecuentes

Si. Un dato personal según definición contenida en el artículo 4 del RGPD es:

“Toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”

El numero de una tarjeta de crédito no nos muestra quien es la persona titular, pero se podría llegar a identificar. Por tanto, el número de tarjeta de crédito es un dato personal puesto que puede llegar a identificar a la persona titular de la misma.

Por tanto, por pequeño y poco complicado que parezca tu negocio, si cobras con tarjeta de crédito no de empresa, sino de persona física, estás tratando datos personales.

Si. Aunque tengas pocos empleados, hay un tratamiento habitual, no ocasional de datos de tus empleados. Estás tratando nombre, apellidos, DNI, número de la seguridad social, datos bancarios, datos de altas y bajas en la seguridad social, situaciones de maternidad, datos de discapacidad, partes de baja por enfermedad, accidentes de trabajo etc. Incluso de cara a las retenciones del IRPF, si te lo facilitan estás tratando ciertos datos de su situación familiar, su estado civil, etc.

Si no tienes una actividad que conlleve el tratamiento de datos, ni de tus clientes, ni de tus proveedores, ni de terceros, ni de empleados… efectivamente no estás tratando datos. Si puedes ejercer tu actividad perfectamente sin tratar datos personales, no tienes que hacer nada para adaptarte a la normativa.  Realmente es muy difícil que no trates algún dato, alguno tratarás … pero no te preocupes, mientras ese tratamiento sea ocasional, no habitual, no tienes que contratarnos para ayudarte.

No se trata del tamaño de tu negocio, sino del tamaño de los riesgos.

Si tienes tu centro de actividades en España o en cualquier país de la Unión Europea, tienes una página web y vendes ropa a España o a Europa con precios en moneda europea, estás tratando datos de los usuarios de la web y te tienes que adaptar a la normativa.

Tendrás que redactar los textos legales para la web y asegurarte que esa base de datos de clientes, con sus nombres, emails, teléfonos, dirección, datos de facturación, cuenta bancaria etc.… está legitimada y que tienes medidas de seguridad implantadas para que los datos de tus clientes estén seguros.

Si para cumplir el objetivo de tu negocio o de tu actividad comercial (actividad no doméstica) necesariamente tienes que tratar datos de personas físicas vivas, entonces te afecta la normativa.

Si por el contrario puedes realizarla sin tratar datos, te afecta igual porque a todos nos afectan las leyes, pero no tienes que hacer nada relativo a tu adaptación.

Por ejemplo, eres pastor, cuidas el rebaño, ordeñas, haces queso fresco y el único contacto que tienes es el administrativo de la cooperativa de ganaderos que centraliza la producción y comercializa. ¿Tienes que hacer algo? No. Pues está claro que puedes desempeñar tu actividad sin tratar datos personales. La actividad de tratamiento de datos no es principal y no tendrías que hacer ninguna adaptación. Quédate tranquilo.

La actividad en redes sociales en principio es una actividad privada, está dentro de tu ámbito doméstico. No tienes que hacer nada en cuanto a protección de datos, pero OJO, el Derecho te afecta como nos afecta a todos y no puedes lesionar los derechos de nadie. ¿Qué quiere decir esto? Que si por ejemplo publicas una foto sin consentimiento de la persona y dependiendo de cómo sea la foto puede que estés incurriendo en un ilícito penal. El que no te afecte la normativa en protección de datos no significa que no pueda afectarte otra normativa.

También estás expuesto a que la persona ofendida presente una reclamación ante la Agencia Española de protección de datos, si tu perfil es público y así tienes configurada tu privacidad. El salto a internet puede considerarse un salto de lo domestico a lo público y sería de aplicación la normativa. Nos encontramos ante un tratamiento de imágenes, que es un dato personal, sin base de legitimación, en este caso sin consentimiento.

Si, porque, aunque tienes el centro de operaciones fuera del territorio europeo te afecta la normativa al estar tratando datos de interesados europeos. Eso es muy fácil de detectar, si tienes la web redactada en algún idioma comunitario y los precios los tienes en euros, está muy claro quienes son tus interesados.

Lo que pretende esta normativa es que el intercambio de datos se lleve a cabo cada día más porque ello supone crecimiento y desarrollo de mercados, avances tecnológicos y muchas más ventajas, pero que se haga respetando los derechos y las libertades de las personas físicas.

Ha de haber un equilibrio, no todo vale y por eso es necesaria normativa que nos proteja. ¿Por qué ahora? Quizás porque ahora las sanciones se han endurecido.

A parte de evitar sanciones inasumibles para un bolsillo medio, esto es una cuestión de responsabilidad, de ética y respeto a los demás.

Quien tiene una empresa, un negocio, una actividad del tipo que sea ha de ser leal con quien le confía sus datos. El que trata datos ha de cumplir unas normas de fidelidad, honor y gratitud. Las organizaciones no podemos consentir acciones, omisiones, y descuidos que perjudiquen a los clientes, a los proveedores, a los empleados o a cualquier tercero.

Si cumples con la normativa tu imagen frente a competidores saldrá reforzada y será elegible entre otras.

En el peor de los casos, a sanciones económicas. Aunque es verdad que estas se imponen teniendo muy en cuenta las circunstancias personales del responsable del tratamiento, mira que cifras se manejan:

10.000.000 euros como máximo, o tratándose de una empresa, una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior.

En los casos más graves: 20.000.000 euros como máximo, o tratándose de una empresa, una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior.

¡Enhorabuena! Has hecho muy bien. La toma de fotografías de tu boda y la publicación es un tratamiento en principio hecho en el ámbito personal y doméstico. No hay que hacer nada, no tienes por qué pedir el consentimiento porque simplemente la normativa en materia de protección de datos no aplica.

Si a esa página web le has dado acceso a… digamos 3000 personas, entonces yo no tengo tan claro que no te afecte la normativa. Has transitado de lo doméstico a lo público, no te afectaría la exención doméstica. Aunque hayas puesto contraseña y clave, es una multitud de personas que excede lo íntimo y familiar, deberías haber pedido el consentimiento pues son muchas las personas que tienen claves.

No. Este tratamiento está legitimado por el interés legítimo de seguridad de personas, bienes e instalaciones. No tienes que pedir el consentimiento, pero tienes que informar. Tendrás que poner ese cartelito informativo.

¡Páralo inmediatamente! ¿Cómo? No contribuyas a su difusión. Acude al canal prioritario de la AEPD y repórtalo al instante para que la Agencia emita las ordenes de supresión inmediata.

Está claro que falta el consentimiento de la persona que ahí aparece, así que si lo difundes has de saber que tú también estás llevando a cabo un tratamiento ilegítimo de datos y por tanto puedes ser sancionado. 

La difusión de un video así es muy grave. Además de ser un tratamiento ilegitimo de datos, puede ser un delito tipificado en el código penal, articulo 197.7.

Tenemos una difusión ilegitima de imágenes sin consentimiento, lo cual es denunciable ante la AEPD. Estos “angelitos” no saben que los menores también tienen responsabilidad y se les puede castigar. La Ley Orgánica de Responsabilidad Penal del Menor (LORPM) prevé en su artículo 71, un amplio abanico de medidas que se pueden adoptar y que dependerá de las circunstancias del menor: desarrollo evolutivo, antecedentes etc. Si hay sanción económica, tú vas a responder, así que eduquemos a nuestros hijos para prevenir estas conductas. No solo es un tratamiento de datos ilegítimo de datos personales que incumple la normativa en protección de datos, sino que la burla, el insulto, el trato degradante podría constituir un delito contra la integridad moral del niño.

No. Los tratamientos que realizan las autoridades competentes, en este caso el visionado de las imágenes para investigar una sanción penal es un tratamiento donde no se aplica el Reglamento general de protección de datos. Si no te gusta que te hayan grabado, me temo que no puedes hacer nada.

El RGPD no te da respuesta, ya que no se refiere al tratamiento de datos de personas fallecidas. Ahora bien, en la ley orgánica hay un derecho de cancelación de datos del fallecido por los familiares u otras personas vinculadas al fallecido.

Depende. Si los textos de la página están en chino y los precios en yen claramente no es una página dirigida a europeos. El responsable es chino, ubicado en China y la página va dirigida a ciudadanos chinos, ¿Por qué iba a tener que cumplir una normativa europea?

No. El consentimiento está sobre valorado. El consentimiento es una causa mas de legitimación de un tratamiento de datos personales, una mas entre muchas. No hay por qué pedir el consentimiento para todo, si ya tenemos un contrato y para cumplirlo necesitamos tratar datos, si hay una obligación legal, si hay un interés publico etc… no necesitamos pedir el consentimiento.

Solo cuando el tratamiento se lleve a cabo gracias a la atribución de tal competencia al responsable mediante una norma con rango de ley. Por ejemplo:

  • Tratamiento de datos del Padrón Municipal (por la Ley de Bases de Régimen Local).
  • Tratamiento de datos de los impuestos municipales (por la Ley reguladora de las Haciendas Locales).

Del artículo 6.1.b) RGPD podemos extraer que no es necesario un consentimiento previo para la obtención de datos, pues ya se ha dado este consentimiento para la realización del contrato.

¿Qué es el contrato sino un acuerdo de voluntades?

Has recibido una comunicación de la Agencia, ante todo que no cunda el pánico. La Agencia se puede poner en contacto contigo para esclarecer los hechos que han dado lugar a una reclamación, quizás puede ordenarte que atiendas la solicitud de ejercicio de derechos de un interesado. No siempre tienes que pensar en lo peor, sobre todo si has tenido una actitud proactiva en cuanto al cumplimiento normativo y seguridad de la información.

Si efectivamente hubieras hecho algo contrario a la normativa, es conveniente que busques inmediatamente la ayuda del experto en protección de datos para que te acompañe desde el primer momento en tu relación con la Agencia. Va a ser decisivo cómo actúes a partir de este momento, cómo sea tu interlocución con la agencia y tu actitud. Si hay acuerdo de inicio de procedimiento sancionador el experto intentará manejar y hacer valer tus circunstancias individuales para inclinar la balanza a tu favor y en caso de sanción económica lograr una cifra abordable.

Si has llegado hasta aquí vemos que la Protección de Datos te genera mucho interés: puedes dejarnos tus datos y te contactaremos a la mayor brevedad.


    Información básica sobre Protección de Datos

    Responsable del tratamiento: DVD Data son: Margarita de Vega Sáenz de Tejada, Gloria Burgos de la Roca y Estefanía Bugallo Ibarrola.
    Finalidad del tratamiento de tus datos: Atender a las solicitudes de información realizadas.
    Legitimación: Interés legítimo.
    Derechos: Acceso, rectificación, supresión, limitación de tratamiento, u oposición al tratamiento, así como el derecho a la portabilidad de los datos datos en la forma y medida establecida en el RGPD artículos 15 al 22.
    Esta es una versión reducida de nuestra Política de Privacidad. Puedes leer la versión amplia a pie de página.