¿CÓMO DEBEN CUMPLIR LOS DETECTIVES EL RGPD?
Actualizado: 16 ene 2020
La actividad de un detective privado conlleva, irremediablemente, el tratamiento de datos personales, no solo del particular que lo contrata, sino también de la persona u organización objeto de su investigación.
Y, por su actividad, se tratan esos datos sin el consentimiento del afectado.
Por eso necesitan adaptarse al RGPD.
¿No sabes cómo?
Tranquil@.
En este post te doy los pasos a seguir para adaptarte como detective a la nueva normativa de Protección de Datos.
NORMATIVA DE PROTECCIÓN DE DATOS QUE AFECTA A LOS DETECTIVES
Las normas que regulan la Protección de Datos para detectives privados son:
RGPD (vigente a partir del 25 de mayo en toda Europa)
LOPD (España) Nueva Ley de Protección de Datos (pendiente de aprobar aún en España) Real Decreto-ley 5/2018 de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datosLSSI (Ley de servicios de la sociedad de la información y de comercio electrónico)
Ley de Seguridad Privada, 5/2014, de 4 de abril.
¿CÓMO DEBEN CUMPLIR LOS DETECTIVES EL RGPD?
Los detectives forman parte de ese tipo de profesionales que tienen en sus manos una gran cantidad de datos, por lo que también tendrán que adaptarse a la nueva normativa.
Para asegurar un debido cumplimiento de esta, debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea.
Cada vez que un cliente te contrata los servicios de vigilancia o investigación como detective estás manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos.
Las principales actuaciones que debes realizar como detective para adaptarte al RGPD son:
Realizar un Registro de actividades de tratamiento
Elaborar un análisis de riesgos
Realizar una Evaluación de impacto
Firmar los contratos con tercerosIncluir los textos legales en la página web
Solicitar el consentimiento a los clientes
Facilitar los derechos de los usuariosFirmar los contratos con los empleados
Nombrar un DPD
Pero no te preocupes, te explico paso por paso todo lo que debes hacer.
1. Registro de actividades de tratamiento
Lo primero que debes tener en cuenta es qué tipo de datos manejas y qué cantidad.
Debes responder a preguntas como:
Tipo de datos que recopilas
Finalidad del tratamiento
Política de almacenamiento de esos datos
Si cedes esos datos o los transfieres fuera de nuestro país
Medios de tratamiento
Para ello es necesario realizar un registro de actividades de tratamiento que debes mantener actualizado.
Este documento te lo pueden pedir en caso de tener alguna inspección por la AEPD. Normalmente deberá constar por escrito aunque también es válido en formato electrónico.
2. Análisis de riesgos
Como detective privado debes también realizar un análisis del riesgo en el que valores las posibles contingencias de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones, el tipo de tratamiento:
¿dónde se almacenan los datos?
¿durante cuánto tiempo?
¿en un fichero o en una base de datos?
¿en qué equipos?
la naturaleza de los datos, identificativos financieros, penales, de salud ….el número de interesados afectados;1.0005.00050.000 …
Una vez realizado este análisis, debes implementar medidas de seguridad avanzadas, nunca obsoletas, que sean capaces de impedir o bloquear los ataques informáticos actuales. Un ejemplo de incumplimiento sería el uso de sistemas de cifrado obsoletos.
3. Evaluación de impacto
Aquí viene lo más complicado.
Agárrate a la silla!
Además, si el riesgo resultara ser especialmente alto deberás realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados; tras estos análisis deberás implementar unas medidas de seguridad adecuadas.
Las principales empresas que deberán realizar esta evaluación de impacto son:
Empresas que realicen una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.Entidades que realicen un tratamiento a gran escala de las categorías especiales de datos, o de los datos personales relativos a condenas e infracciones penales.Empresas que realicen una observación sistemática a gran escala de una zona de acceso público.
Resumiendo
Los detectives realizan un tratamiento de categorías especiales de datos ya que manejan datos financieros y de crédito, impuestos, rentas, e incluso datos de salud de los investigados. Por eso estás obligado a hacer esa Evaluación de impacto.
4. Contratos con terceros
Los investigadores privados se relacionan también con terceros que disponen de algunos de los datos de los usuarios.
Sí, sí, tú también tienes terceros a los que cedes datos.
Gestoría, empresas informáticas, colaboradores externos …
Así que, además de tener un registro de actividades de tratamiento, debes tener presente una lista de esas empresas externas con las que tienes contacto, y asegurar que también cumplan la normativa de Protección de Datos.
Numerosos detectives que administran datos financieros y personales en nombre de sus clientes recurren con regularidad al software de contabilidad. En el marco del cumplimiento del RGPD, resulta esencial tener en cuenta aspectos técnicos sobre cómo y dónde el software seleccionado procesa y aloja los datos personales, especialmente si está basado en la nube.
¿Es tu caso?
Entonces debes aclarar con tus proveedores de TI y de software de qué manera estos sistemas se adaptarán para la implementación del RGPD. Un cuestionario o una lista de verificación exhaustivos ayudarán a comprender los flujos de datos, así como a identificar posibles vulnerabilidades.
Y qué decir tiene que hay que estar seguros de que el cliente sepa qué datos suyos se recopilan a través de las páginas web de estas empresas.
Recuerda firmar el contrato de encargo de tratamiento con los terceros
Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.
5. Página web
Si ofreces los servicios a través de una página web debes incluir en ella los textos exigidos por la ley de Protección de Datos y la LSSI:
Aviso legal
Política de privacidad
Política de cookies
Aviso legal
Este es el documento donde se identifica al propietario de la página web. En él debes incluir:
Nombre del propietarioCIF / NIFDirecciónEmail
Debes poner un enlace visible a este texto desde cualquier página de la web.
Política de privacidad
Es importante revisar la política de privacidad de la web y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.
¿Dónde se utilizan esos datos?¿Se está haciendo con el consentimiento de los usuarios?¿Tiene fines comerciales?¿Se realizan cesiones a terceros o transferencias internacionales?
Así, al solicitar los datos personales del cliente, en el formulario tendrás que informar expresamente de:
existencia de un tratamiento de los datos que se le están solicitando, finalidad, destinatario o destinatarios de aquella información, identidad y dirección del responsable del tratamiento de los datos y posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.
Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, debes asegurarte de que esta nueva versión se publique en la web.
Política de cookies
Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.
Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.
La ley que re