SAMBIL

Marco normativo actual

• Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD).

• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantías de los Derechos Digitales (LOPDGDD).

• Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI)

Conceptos principales

• Datos personales: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. Especial atención a los datos de categorías especiales: origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos, datos relativos a la salud o datos relativos a la vida u orientación sexual.

• Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción

• Responsable del Tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la UE o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la UE o de los Estados miembros.

• Encargado de Tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

Calidad

a) Licitud, lealtad y transparencia: los datos deben ser tratados de manera lícita, leal y transparente en relación con el interesado.

b) Limitación de la finalidad: Los datos han de ser recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.

c) Minimización de datos: Los datos recogidos deben ser los adecuados, pertinentes y no excesivos.

d) Exactitud: Los datos deben ser exactos y si es necesario, actualizados.

*Interesante excepción que se recoge en la LOPDGDD de eximir al RT de cumplir este principio cuando los datos hubiesen sido obtenidos de registros públicos.

e) Limitación del plazo de conservación: Los datos deben mantenerse durante no más tiempo del necesario.

f) Integridad y confidencialidad: los datos deben ser tratados garantizando una seguridad adecuada.

Legitimación

Las bases legitimadoras para el tratamiento de datos son:

• Consentimiento expreso o inequívoco
• La ejecución de un contrato.
• Cumplir una obligación legal.
• Proteger intereses vitales del interesado.
• La satisfacción de intereses legítimos.

En cuanto a la elaboración de perfiles, el RGPD establece que toda persona tendrá derecho a que no se haga un perfil que cause efectos legales o que le concierna de manera significativa. Sólo se podrán elaborar perfiles si existe un contrato y se salvaguardan los intereses legítimos de la persona o ha dado su consentimiento expreso.

Consentimiento en menores de edad

El RGPD establece que los menores de edad podrán dar su consentimiento para el tratamiento de sus datos cuando sean mayores de 16 años, pero da libertad a los Estados miembros para que puedan bajar esta edad hasta los 13 años.

En España, la LOPDGDD lo ha establecido en 14 años.

Información

Los interesados deberán ser informados de manera concisa, transparente, inteligible, de fácil acceso y utilizando un lenguaje claro y sencillo de:

a) La identidad y los datos de contacto del responsable;

b) Fuente de obtención de los datos (En el caso de que no se hayan obtenido del interesado).

c) Los datos de contacto del delegado de protección de datos

d) Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento

e) Los destinatarios o las categorías de destinatarios de los datos personales, en su caso

f) El plazo durante el cual se conservarán los datos personales.

g) La existencia de los derechos que puede solicitar al responsable del tratamiento: acceso, rectificación, supresión, limitación de su tratamiento, u oposición al tratamiento, así como el derecho a la portabilidad de los datos.

h) El derecho a presentar una reclamación ante una autoridad de control.

i) La existencia de decisiones automatizas, incluida la elaboración de perfiles.

A la hora de utilizar la información con fines publicitarios se deberán tener en cuenta los listados de exclusión publicitaria (listas Robinson)

Información (Doble capa)

Se deberá facilitar al interesado la información básica* e indicarle una dirección electrónica o un medio que le permita acceder a la restante información.

Información básica si los datos se obtienen directamente del interesado:

• Identidad del Responsable de tratamiento
• Finalidad del tratamiento
• Donde puede ejercitar sus derechos

Información básica si los datos no se obtienen directamente del interesado:

• Identidad del Responsable de tratamiento
• Finalidad del tratamiento
• Donde puede ejercitar sus derechos
• Categorías de datos objeto de tratamiento
• Las fuentes de las que procedieran los datos

Responsabilidad activa de la empresa

• Protección de Datos desde el diseño y por defecto

Desde el Diseño: Las empresas analizarán antes del inicio de cualquier actividad qué tipos de datos van a tratar para establecer las medidas técnicas y organizativas más adecuadas teniendo en cuenta su estructura, tamaño, costes, etc.

Por Defecto: las empresas tendrán la obligación de recoger y procesar únicamente aquellos datos personales que les sean necesarios para la actividad y que solo tengan acceso los sujetos involucrados en el tratamiento.

• Obligación de llevar un Registro Interno de Actividades de Tratamiento

Se exige que los responsables y encargados de tratamiento lleven un registro de las actividades de tratamiento efectuadas bajo su responsabilidad.

Esta obligatoriedad solo es exigible para:

• Empresas con más de 250 trabajadores.
• Empresas que realicen un tratamiento que pueda entrañar un riesgo para los derechos y libertades de los interesados.
• Empresas que traten categorías especiales de datos personales.

• Realización de Análisis de Riesgos y Evaluaciones de Impacto

Se deberá llevar a cabo previamente un Análisis de riesgos en el tratamiento de los datos. Si de ese análisis o en los supuestos determinados en el Reglamento, se desprende un alto riesgo para los derechos y libertades de las personas físicas se deberá realizar también una Evaluación de Impacto por parte del responsable del tratamiento.

*Supuestos en los que se debe realizar Evaluación de Impacto conforme al art. 28 de la LOPDGDD:

d) Cuando el tratamiento implicase una evaluación de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos, en particular mediante el análisis o la predicción de aspectos referidos a su rendimiento en el trabajo, su situación económica, su salud, sus preferencias o intereses personales, su fiabilidad o comportamiento, su solvencia financiera, su localización o sus movimientos.

e) Cuando se lleve a cabo el tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad (menores o personas con discapacidad).

f) Cuando se produzca un tratamiento masivo que implique a un gran número de afectados o conlleve la recogida de una gran cantidad de datos personales.

• Violaciones de Seguridad

Si se produce una violación de la seguridad, el responsable debe notificarlo a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas, desde que se tenga conocimiento fehaciente de la incidencia, cuando constituya un riesgo para los derechos y libertades de las personas físicas.

¿Que puede ocurrir que suponga violación de seguridad?

• Un ordenador/teléfono móvil/USB con información de la empresa se pierde o es robado.

• Se envía un correo electrónico a un destinatario equivocado.

• Sospecha que ha sido víctima de un ataque cibernético.

• Archivos o documentos en papel se pierden o son robados.

Si ocurriera algo de ese tipo informe inmediatamente a David Díaz, Delegado de Protección de Datos en dpo@sambiloutlet.es o en david@mesher.es

Derechos que pueden ejercitar los interesados

Derecho de Acceso: El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, a una serie de información.

Derecho de Rectificación: El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan.

Derecho de Supresión: El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan.

Derecho de Oposición: El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento.

Derecho de Limitación del Tratamiento: El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumplan una serie de condiciones.

Derecho a la Portabilidad: El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado.

Decisiones individuales automatizadas: El interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en el o le afecte significativamente de modo similar.

Ejercicio de Derechos

Si alguien quisiera ejercitar alguno de los derechos de protección de datos, debe indicarse de forma clara y sencilla que:

• Debe presentarlo por escrito bien enviando comunicación, motivada y acreditada, por correo electrónico a dpo@sambiloutlet.es o bien por correo postal.
• La comunicación debe ir acompañada de documento acreditativo de la identidad del interesado.

En el caso de que llegue solicitud de derechos por una vía distinta por favor háganlo llegar a dpo@sambiloutlet.es

Delegado de Protección de Datos

El Reglamento introduce la figura del DPD o DPO, en algunos casos de forma obligatoria y en otros de forma voluntaria. El DPO podrá formar parte de la plantilla o actuar en el marco de un contrato de servicios. Esta figura deberá poder acreditar conocimientos y experiencia profesional y actuará con autonomía e independencia, no pudiendo ser removida por las decisiones tomadas en el ejercicio de sus funciones. Reporta a la Dirección directamente y tiene total acceso a los recursos de la empresa.

Cuando será obligatorio designar un Delegado de Protección de Datos:

RGPD (art. 37.1)

• Cuando el tratamiento lo realice una autoridad u organismo público (excepto juzgados y tribunales).
• Cuando las actividades principales consistan en la observación habitual y sistemática de interesados a gran escala.
• Cuando el tratamiento tenga por objeto el tratamiento de categorías especiales de datos personales o datos relativos a condenas o infracciones penales.

LOPDGDD (art. 34)

a) Los colegios profesionales y sus consejos generales.

b) Los centros docentes de enseñanza reglada.

c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas, cuando traten habitual y sistemáticamente datos personales a gran escala.

d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.

e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.

f) Los establecimientos financieros de crédito.

g) Las entidades aseguradoras y reaseguradoras.

h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.

i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.

j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude.

k) Las entidades que desarrollen actividades de publicidad y prospección comercial, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.

l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.

m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.

n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.

ñ) Las empresas de seguridad privada.

o) Las federaciones deportivas cuando traten datos de menores de edad.

CAMPAÑAS PUBLICITARIAS

Al realizar una campaña publicitaria que realice tratamiento de datos personales siempre se deberán cumplir los 3 principios que hemos visto, CALIDAD, LEGITIMACIÓN e INFORMACIÓN.

¿Como lo hacemos? Si vamos a realizar un concurso o evento en el que vaya a recoger datos personales:

PASO 1.- CALIDAD:

• Revisar que datos estoy pidiendo, de forma que no sean más que los necesarios para gestionar la participación del interesado en el concurso o evento.
• Establecer un protocolo de tratamiento de la información recogida (por ejemplo, si es en papel, en unos cupones, como se va a gestionar ese papel).

PASO 2.- LEGITIMACIÓN:

• Se deberá incluir check box en todos tus formularios de captación de datos personales recogiendo el consentimiento para cada finalidad.

Ejemplo:

Una persona te da sus datos para participar en el concurso, y quiero a su vez, utilizar sus datos para mandarle publicidad por whatsapp e email, y publicar fotografías suyas en redes sociales o en mi web. Se deberán poner VARIAS CASILLAS que no pueden estar premarcadas.

• Hay que tener cuidado en el caso de que en la campaña participen menores. En este caso tendré que tener en cuenta si son mayores de 14 o no para saber a quien tengo que solicitar el consentimiento. Si son menores de 14 el consentimiento se lo pediré a los padres.

AUTORIZO a SAMBIL OUTLET el envío de comunicaciones con carácter publicitario sobre ofertas y promociones por email.

AUTORIZO a que SAMBIL OUTLET publique en su web o redes sociales fotografías en las que aparezca.

¿Como se acredita ese consentimiento?

• El responsable deberá ser capaz de demostrar que el usuario/cliente consintió el tratamiento de sus datos personales.
• El interesado tendrá derecho a retirar su consentimiento en cualquier momento y de un modo sencillo y gratuito.

PASO 3.- INFORMACIÓN: se debe informar siempre a la persona de lo que se va a hacer con sus datos (tener en cuenta la doble doble capa que hemos visto anteriormente). Se pondrá una primera capa con los puntos de información básica en los formularios de recogida de datos, y remitirles a la política de privacidad de la web para más información

PASO ADICIONAL.- Si se van a elaborar perfiles y segmentar. Para ello se debe:

• Informar al usuario específicamente sobre la posibilidad de elaborar perfiles de usuarios para segmentar, definiendo las herramientas a utilizar y la finalidad.
• Establecer un apartado separado del resto de textos legales y de cualquier otra información.
• Requerir el consentimiento de manera clara y explícita al usuario con la utilización de sus datos en la elaboración de perfiles. (OTRA CASILLA)
• Ofrecer al usuario siempre el derecho a oponerse a la elaboración de perfiles en la medida en que esté relacionada con una campaña de marketing directo, ya sea con respecto a un tratamiento inicial o ulterior, y ello en cualquier momento y sin coste alguno.

REDES SOCIALES

• La empresa que desea anunciarse entre los usuarios de una red social es Responsable del Tratamiento por segmentar a una serie de usuarios de la red donde se publicitará.
• Al ser RT, se deberá informar a los interesados de alguna manera. Plataformas como Facebook ofrecen la posibilidad de configurar perfiles mediante la aportación tanto del enlace a la web de Sambil en este caso, como un apartado específico en donde se enlace directamente la política de privacidad de la empresa.

• Los Community Manager que sean externos deben tener un contrato de Encargado de Tratamiento y si son internos debe existir un Protocolo específico para el tratamiento de las comunidades virtuales.

VIDEOVIGILANCIA EN EL CENTRO COMERCIAL

Colocar carteles informativos de videovigilancia indicando la información básica y una dirección a la que puedan dirigirse para ejercitar sus derechos.

TERMOVIGILANCIA COMO MEDIDA CONTRA COVID-19

Se deberán elaborar protocolos tanto para empleados como para clientes en los cuales se informará de la manera en la que se efectuará la toma de temperatura.

No se debe conservar el dato de temperatura recabado, debiéndose también colocar un cartel informativo.