Hemos puesto en marcha la ‘máquina de la verdad de Metricson‘ para aclarar 7 falsos mitos sobre protección de datos que pueden ocasionar más de un problema a empresas y profesionales:
1.Siempre se necesita el consentimiento expreso para tratar datos personales
No. El consentimiento expreso es una de las seis posibles bases de legitimación que permiten el tratamiento de los datos personales.
Es posible tratar los datos personales de una persona sin su consentimiento cuando, por ejemplo, existe un contrato entre esta y la entidad que pretende tratar los datos, o cuando la entidad tiene una obligación establecida por ley de tenerlos, entre otros supuestos. No obstante, aunque a veces no sea necesario el consentimiento, se deberá informar al interesado sobre el tratamiento de sus datos personales y de la base que permite él mismo.
Si el consentimiento es la base legítima que se elige para el tratamiento de los datos, no obstante, este siempre deberá ser expreso, es decir, deberá ser una “clara acción afirmativa” o una declaración expresa del/de la interesado/a.
2. Cualquier política de privacidad en mi web me sirve para cumplir con las normas de protección de datos
No. La Política de Privacidad de una web debe reflejar detalladamente cómo la entidad va a tratar los datos de las personas cuando éstas suministren sus datos personales por los medios que la entidad pone a su disposición.
No todas las páginas webs son iguales ni todas las empresas tratan los datos de la misma forma o para las mismas finalidades, por lo que cada Política de Privacidad deberá ser elaborada en base a las prácticas concretas de la entidad a la que pertenece.
3. El peligro de sufrir una brecha de seguridad solo ocurre a las grandes empresas
No. Lo cierto es que una brecha de seguridad puede ocurrirle a cualquier empresa. A veces no somos conscientes de la importancia que tiene la formación de nuestros empleados.
El error humano suele ser la causa más común de la ocurrencia de brechas de seguridad: seguir enlaces sospechosos en emails, el exceso de permiso a datos por defecto que dan lugar a la filtración de datos, la debilidad de las contraseñas empleadas e incluso el uso de software pirata son solo algunas de las malas prácticas en gestión de riesgos por parte de las empresas.
4. Cuando se borran los datos identificativos de una persona, aunque se continúen tratando otros datos de la misma, ya no se considera tratamiento de datos personales
No. Los datos personales no solo son aquellos que permiten identificar a la persona directamente (como el nombre y apellidos), sino también cualquier información que permita identificarla de forma indirecta (es decir, a través del resto de información).
Igualmente, es importante recordar que, en la mayoría de casos, la aplicación de medidas y técnicas para que los datos identificativos no sean visibles no evita que se siga considerando que existe un tratamiento de datos personales.
5. Cualquier dato que encontremos en Internet puede usarse libremente
No. Aunque parezca que Internet es una fuente pública de información, lo cierto es que no se podría recoger datos de personas que, por ejemplo, hayan sido publicados por ellas mismas en una red social (como Twitter, Instagram o Facebook) sin su consentimiento o sin tener otra base de legitimación válida, además de tener que cumplir con el deber de informarles sobre las finalidades del tratamiento de sus datos.
Por tanto, deberá analizarse en cada caso si los datos pueden recogerse y, en su caso, cómo se debe hacer dicha recogida y tratamiento.
6. Solo con tener el email de cualquier cliente o potencial cliente, puedo enviarle todo tipo de comunicaciones
No. Que un cliente o potencial cliente te haya facilitado un correo electrónico o número de teléfono móvil no significa que se le pueda enviar cualquier comunicación que queramos, incluyendo información comercial. Además, se debe tener en cuenta si ha existido una relación contractual entre la entidad y éste o no.
En el primer caso, según la normativa de comunicaciones electrónicas, si es un cliente, podremos remitirle información comercial si le hemos informado de ello, dado la posibilidad de oponerse y está limitada a productos y servicios propios de la entidad y que sean similares con aquellos que adquirió previamente.
En el caso de clientes potenciales, solo podremos enviarle información comercial propia si lo ha autorizado o solicitado expresamente.
7. Es siempre obligatorio tener un DPO (Delegado de Protección de Datos)
No. La obligatoriedad de nombrar un Delegado de Protección de datos está limitada a una serie de supuestos previstos en el Reglamento de Protección de Datos y, en España, a los que se listan en la Ley Orgánica de Protección de Datos.
No obstante, en muchas ocasiones, aunque la entidad no se encuentre en ninguno de los supuestos previstos en la normativa, será recomendable nombrarlo para garantizar que la entidad cumple con los requisitos y obligaciones en materia de protección de datos en todas sus prácticas y actividades. Si quieres saber por qué es necesario un DPO puedes consultar este artículo
Artículo escrito por:
Elena Sánchez
Abogada especialista en Privacidad, Propiedad Intelectual y Contratación tecnológica.
Cristina Pulido
Especialista en Privacidad, Propiedad Intelectual y Contratación Tecnológica.
Metricson es una firma de servicios legales especializada en negocios tecnológicos e innovadores y ayuda a empresas de todo el mundo a desarrollar y proteger su actividad con las máximas garantías legales.
Si quieres más información o quieres saber más acerca de nuestros servicios, no dudes en ponerte en contacto con nosotros aquí