¿CÓMO DEBEN CUMPLIR LOS DETECTIVES EL RGPD?
Actualizado: 16 ene 2020
La actividad de un detective privado conlleva, irremediablemente, el tratamiento de datos personales, no solo del particular que lo contrata, sino también de la persona u organización objeto de su investigación.
Y, por su actividad, se tratan esos datos sin el consentimiento del afectado.
Por eso necesitan adaptarse al RGPD.
¿No sabes cómo?
Tranquil@.
En este post te doy los pasos a seguir para adaptarte como detective a la nueva normativa de Protección de Datos.
NORMATIVA DE PROTECCIÓN DE DATOS QUE AFECTA A LOS DETECTIVES
Las normas que regulan la Protección de Datos para detectives privados son:
RGPD (vigente a partir del 25 de mayo en toda Europa)
LOPD (España) Nueva Ley de Protección de Datos (pendiente de aprobar aún en España) Real Decreto-ley 5/2018 de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datosLSSI (Ley de servicios de la sociedad de la información y de comercio electrónico)
Ley de Seguridad Privada, 5/2014, de 4 de abril.
¿CÓMO DEBEN CUMPLIR LOS DETECTIVES EL RGPD?
Los detectives forman parte de ese tipo de profesionales que tienen en sus manos una gran cantidad de datos, por lo que también tendrán que adaptarse a la nueva normativa.
Para asegurar un debido cumplimiento de esta, debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea.
Cada vez que un cliente te contrata los servicios de vigilancia o investigación como detective estás manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos.
Las principales actuaciones que debes realizar como detective para adaptarte al RGPD son:
Realizar un Registro de actividades de tratamiento
Elaborar un análisis de riesgos
Realizar una Evaluación de impacto
Firmar los contratos con tercerosIncluir los textos legales en la página web
Solicitar el consentimiento a los clientes
Facilitar los derechos de los usuariosFirmar los contratos con los empleados
Nombrar un DPD
Pero no te preocupes, te explico paso por paso todo lo que debes hacer.
1. Registro de actividades de tratamiento
Lo primero que debes tener en cuenta es qué tipo de datos manejas y qué cantidad.
Debes responder a preguntas como:
Tipo de datos que recopilas
Finalidad del tratamiento
Política de almacenamiento de esos datos
Si cedes esos datos o los transfieres fuera de nuestro país
Medios de tratamiento
Para ello es necesario realizar un registro de actividades de tratamiento que debes mantener actualizado.
Este documento te lo pueden pedir en caso de tener alguna inspección por la AEPD. Normalmente deberá constar por escrito aunque también es válido en formato electrónico.
2. Análisis de riesgos
Como detective privado debes también realizar un análisis del riesgo en el que valores las posibles contingencias de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones, el tipo de tratamiento:
¿dónde se almacenan los datos?
¿durante cuánto tiempo?
¿en un fichero o en una base de datos?
¿en qué equipos?
la naturaleza de los datos, identificativos financieros, penales, de salud ….el número de interesados afectados;1.0005.00050.000 …
Una vez realizado este análisis, debes implementar medidas de seguridad avanzadas, nunca obsoletas, que sean capaces de impedir o bloquear los ataques informáticos actuales. Un ejemplo de incumplimiento sería el uso de sistemas de cifrado obsoletos.
3. Evaluación de impacto
Aquí viene lo más complicado.
Agárrate a la silla!
Además, si el riesgo resultara ser especialmente alto deberás realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados; tras estos análisis deberás implementar unas medidas de seguridad adecuadas.
Las principales empresas que deberán realizar esta evaluación de impacto son:
Empresas que realicen una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.Entidades que realicen un tratamiento a gran escala de las categorías especiales de datos, o de los datos personales relativos a condenas e infracciones penales.Empresas que realicen una observación sistemática a gran escala de una zona de acceso público.
Resumiendo
Los detectives realizan un tratamiento de categorías especiales de datos ya que manejan datos financieros y de crédito, impuestos, rentas, e incluso datos de salud de los investigados. Por eso estás obligado a hacer esa Evaluación de impacto.
4. Contratos con terceros
Los investigadores privados se relacionan también con terceros que disponen de algunos de los datos de los usuarios.
Sí, sí, tú también tienes terceros a los que cedes datos.
Gestoría, empresas informáticas, colaboradores externos …
Así que, además de tener un registro de actividades de tratamiento, debes tener presente una lista de esas empresas externas con las que tienes contacto, y asegurar que también cumplan la normativa de Protección de Datos.
Numerosos detectives que administran datos financieros y personales en nombre de sus clientes recurren con regularidad al software de contabilidad. En el marco del cumplimiento del RGPD, resulta esencial tener en cuenta aspectos técnicos sobre cómo y dónde el software seleccionado procesa y aloja los datos personales, especialmente si está basado en la nube.
¿Es tu caso?
Entonces debes aclarar con tus proveedores de TI y de software de qué manera estos sistemas se adaptarán para la implementación del RGPD. Un cuestionario o una lista de verificación exhaustivos ayudarán a comprender los flujos de datos, así como a identificar posibles vulnerabilidades.
Y qué decir tiene que hay que estar seguros de que el cliente sepa qué datos suyos se recopilan a través de las páginas web de estas empresas.
Recuerda firmar el contrato de encargo de tratamiento con los terceros
Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.
5. Página web
Si ofreces los servicios a través de una página web debes incluir en ella los textos exigidos por la ley de Protección de Datos y la LSSI:
Aviso legal
Política de privacidad
Política de cookies
Aviso legal
Este es el documento donde se identifica al propietario de la página web. En él debes incluir:
Nombre del propietarioCIF / NIFDirecciónEmail
Debes poner un enlace visible a este texto desde cualquier página de la web.
Política de privacidad
Es importante revisar la política de privacidad de la web y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.
¿Dónde se utilizan esos datos?¿Se está haciendo con el consentimiento de los usuarios?¿Tiene fines comerciales?¿Se realizan cesiones a terceros o transferencias internacionales?
Así, al solicitar los datos personales del cliente, en el formulario tendrás que informar expresamente de:
existencia de un tratamiento de los datos que se le están solicitando, finalidad, destinatario o destinatarios de aquella información, identidad y dirección del responsable del tratamiento de los datos y posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.
Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, debes asegurarte de que esta nueva versión se publique en la web.
Política de cookies
Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.
Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.
La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.
¿Cuánto cuesta cumplir la LOPD?
6. Consentimiento de clientes
Además de actualizar la política de privacidad, como detective debes tener el consentimiento expreso de todos tus clientes para poder tratar sus datos.
Este consentimiento puede solicitarse de dos formas:
En la web
Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
En la oficina
En caso de que el cliente facilite sus datos personalmente en la oficina, debe firmar un documento en el que se le informe sobre:
responsable del tratamiento, finalidad para la que se van a usar los datos, si se van a ceder a terceros y el medio por el que puede ejercer sus derechos ARCO.
Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.
7. Derechos de los usuarios
Los interesados, los dueños de los datos personales, pueden ejercer, según el RGPD, sus derechos. Estos son los derechos que pueden ejercer los interesados:
acceso a los propios datos personales; rectificación si los datos son inexactos; supresión (derecho al olvido) si se tratan de forma ilegal o ya no son necesarios para la finalidad con que se recogieron; imitación del tratamiento; portabilidad de los datos; oposición a un uso posterior con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; ya no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).
Debes proveer mecanismos para que los interesados puedan ejercer sus derechos. Estos medios deben indicarse en el documento de consentimiento a firmar por los clientes y en la política de privacidad de la página web.
El derecho de portabilidad es uno de los nuevos derechos recogidos en el RGPD. Por ejemplo, si una particular trabaja con un profesional, pero decide cambiar a otro, puede llevarse consigo cualquier dato en posesión de aquel. Así pues, los datos personales deben ser almacenados y administrados en un formato estructurado, de uso común y lectura mecánica para que sean fáciles de utilizar y compartir.
8. Contratos con empleados
¿Tienes algún empleado?
Pues esto te interesa.
Los empleados tienen acceso a toda la información que maneja el detective y, por tanto, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.
En un despacho de detectives, los empleados tienen acceso a un correo electrónico para comunicarse entre ellos internamente, y también para comunicarse con clientes y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.
9. Notificar brechas de seguridad
Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa, tanto a los afectados como a la AEPD.
En el caso de que se dé una situación de ciberataque o infracción en tu despacho, lo ideal es que estésr prevenido con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.
¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas
Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.
10. Nombrar un DPD
Puede ser necesario que como detective, por el volumen de datos que trates, debas designar a un profesional con la cualificación necesaria en esta materia para que salvaguarde los procesos y políticas internas del tratamiento de datos personales. Este profesional será el Delegado de Protección de Datos (DPD).
Además, para cumplir con el principio de información del nuevo RGPD, la designación del DPD y sus datos de contacto deben hacerse públicos y deberán ser comunicados a las autoridades de supervisión competentes.
El Delegado de Protección de Datos podrá ser tanto una persona en plantilla de la empresa como una externa y el cargo podrá ser desempeñado también por una empresa que ofrezca el servicio.
PREGUNTAS FRECUENTES
¿Es posible investigar los datos personales en materia financiera sin vulnerar la Ley de Protección de Datos?
Sí. Los detectives privados están habilitados por la Ley de Seguridad Privada para investigar este tipo de información sensible a la hora de elaborar informes que las entidades financieras pueden presentar como prueba en un juicio.
Pueden obtener información de personas, siempre que no se utilicen para ello “medios materiales o técnicos que atenten contra el derecho al honor, la intimidad personal o familiar”.
¿Puede una mutua utilizar detectives privados para la investigación de bajas laborales?
Sí, pueden hacerlo siempre que tengan un interés legítimo en esa investigación.
Cualquier persona, ya sea física o jurídica, no puede encargar libremente a detectives privados para realizar una investigación concreta sobre una tercera persona, ya que supondría una vulneración en su intimidad, sino que deberá existir una motivación e interés legítimo que permita ampararlo, y que guarde relación directa con la persona investigada.
¿Debo someterme a auditorías o inspecciones por el RGPD?
En el RGPD no existe obligación de que se realicen auditorías o inspecciones periódicamente. Pero la AEPD, como autoridad de control, tiene la potestad de llevarlas a cabo dentro de sus competencias de inspección. Sin embargo, esto no significa que las auditorías o inspecciones auto impuestas no sean aconsejables o incluso un requisito de hecho para el cumplimiento del RGPD.
¿Puedo comunicarme con mis clientes a través de WhatsApp?
Sí, puedes utilizar este sistema de comunicación con los clientes. Pero necesitas su consentimiento expreso para ello.
A partir de la entrada en vigor del RGPD los autónomos y empresas que utilicen WhatsApp con sus clientes podrían ser multados al ser éstos los responsables del tratamiento de los datos de sus clientes, sobre todo si no se ha requerido el consentimiento del afectado de forma libre, informado y específico. Es decir, hay que advertir que WhatsApp puede compartir sus datos con la red social Facebook de forma clara para que el usuario consienta dicho traspaso de información. Este sistema agiliza mucho la comunicación, ya que prácticamente todo el mundo lo tiene instalado y por ello es fundamental recoger correctamente los consentimientos de los usuarios.
¿Cómo puedo demostrar que cumplo el RGPD?
Puedes demostrar el cumplimiento de las siguientes formas:
Estableciendo políticas internas de protección de datos. Adoptando códigos de conducta aprobados por asociaciones y otros organismos que representan categorías de responsables y encargados del tratamiento. Obteniendo certificaciones de protección de datos por parte de organismos de certificación acreditados. Ejecutando las directrices dadas por el Consejo Europeo de Protección de Datos. Cumpliendo las indicaciones específicas dadas por un Delegado de Protección de datos