Blog del Colegio Oficial de Aparejadores, Arquitectos Técnicos e Ingenieros de Edificación de Valencia

¿Cómo afecta la nueva normativa de protección de datos en el desarrollo de una actividad profesional?

A estas alturas ya todo el mundo está, más o menos enterado, de que el pasado día 25 de mayo entraba en vigor una nueva normativa en materia de protección de datos. Nos han bombardeado con multitud de correos electrónicos, comunicándonos cambios en políticas de privacidad, pero ¿quién los ha leído? ¿qué implicaciones conllevan?

Desde CAATIE Valencia se ha considerado interesante explicar, con un enfoque práctico, cuáles son las obligaciones que afectan a los colegiados en el desarrollo de su actividad profesional, sin ánimo de resultar exhaustivo ni tedioso, sino con el objetivo de dar a conocer esta normativa al colectivo, y aconsejando siempre, que se acuda a un profesional en la materia para poder ser asesorados con arreglo a las características de la actividad personal.

¿A quién va dirigida?

El Reglamento (UE) 2016/679 del Parlamento y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (RGPD), es de aplicación a aquellos tratamientos de datos que afecten a personas físicas. Por tanto, tendremos que fijarnos en aquellos datos de carácter personal a los que un profesional, en el desarrollo normal de su actividad, tenga acceso.

Lo más habitual será que tenga acceso a los siguientes datos:

  • Los datos personales de sus trabajadores y de posibles candidatos; en el caso de que manejara currículums para futuras selecciones.
  • Los datos personales de sus clientes, incluidos los datos de contacto.
  • Los datos personales de terceros que tengan relación con la actividad (por ejemplo, los titulares de los inmuebles que se periten).
  • Los datos personales de empresarios individuales (por ejemplo, otros compañeros con los tengamos una colaboración profesional).
  • Los datos de las imágenes procedentes de una cámara de videovigilancia.
¿A qué nos obligaría?

Una vez delimitado el tipo de datos personales que un profesional puede tratar, existirá una serie de obligaciones que habrá que cumplir.

Deber de información

Los profesionales deberán informar a los interesados de cuáles son los derechos que les asisten (la nueva normativa ha venido a añadir tres derechos nuevos, además de la modificación del derecho de acceso que ya existía). Asimismo, se les informará de otras cuestiones tales como la legitimación para utilizar los datos, o cual va a ser la utilización que se hará de ellos.

Esta cláusula informativa será necesaria únicamente cuando la recogida de los datos la realice el profesional en primera persona, pero no si nos los proporciona otra persona, por ejemplo, un cliente.

Por último, hay que decir que en caso de videovigilancia la obligación de informar se cubre con un cartel informativo.

Contrato de confidencialidad

Cuando en el desarrollo de la actividad tengamos la necesidad de acudir a otras entidades para que nos presten un servicio, y para ello pongamos a su disposición los datos personales que hemos recogido (personal, clientes, contactos, etc.), tendremos la obligación de formalizar un contrato que regule las obligaciones que le imponemos en materia de seguridad, con el fin de asegurarnos que los datos están en buenas manos.

Medidas de seguridad

El profesional será el responsable de establecer aquellas medidas de seguridad que garanticen que no se producirá un tratamiento no autorizado o ilícito, o que no se producirá la pérdida de los datos personales, la destrucción o el daño accidental. La manera en que se garantizará será a través del establecimiento de medidas técnicas y organizativas tales como:

  • Los dispositivos y ordenadores utilizados para el almacenamiento y el tratamiento de los datos personales deberán mantenerse actualizados en la medida de lo posible.
  • En los ordenadores y dispositivos donde se realice el tratamiento automatizado de los datos personales, se dispondrá de un sistema de antivirus que garantice en la medida de lo posible el robo y destrucción de la información y datos personales. El sistema de antivirus deberá ser actualizado de forma periódica.
  • Para evitar accesos remotos indebidos a los datos personales, se procurará la existencia de un firewall activado en aquellos ordenadores y dispositivos en los que se realice el almacenamiento y/o tratamiento de datos personales.
  • Cuando se precise realizar la extracción de datos personales fuera del recinto donde se realiza su tratamiento, ya sea por medios físicos o por medios electrónicos, se deberá valorar la posibilidad de utilizar un método de encriptación para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la información.
  • Periódicamente se realizará una copia de seguridad en un segundo soporte distinto del que se utiliza para el trabajo diario. La copia se almacenará en lugar seguro, distinto de aquel en que esté ubicado el ordenador con los ficheros originales, con el fin de permitir la recuperación de los datos personales en caso de pérdida de la información.
Cesión de datos

Tener siempre presente una máxima y es que no es posible realizar la cesión de los datos de carácter personal que nos han confiado en el desarrollo de la profesión, a no ser que se cumplan alguna de las dos condiciones siguientes:

  • Tener el consentimiento expreso de la persona afectada.
  • Que la cesión tenga lugar para que nos presten un servicio (una colaboración profesional, por ejemplo).
Conclusión

Si bien la mayoría de las obligaciones ya existían con la normativa anterior, el aumento de los derechos de los usuarios, así como el importe de las sanciones, hace necesario que actualicemos nuestras políticas de privacidad y revisemos nuestros procedimientos de recogida de datos personales y su posterior tratamiento. Debemos dar la bienvenida a esta masiva llegada de correos electrónicos, ya que, al menos en este momento, nos permite concienciarnos de la importancia de tratar los datos de carácter personal con las garantías adecuadas. Veremos lo que nos dura.

 

Alejandro Pla Civera
Consultor de Protección de Datos
Versis Consulting

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies