Protección de datos (GDPR) en Estonia

LKS Consult OÜ le ayudará a formar un paquete de documentos necesarios para el sitio web de su empresa, de conformidad con los requisitos de protección de datos personales. El Reglamento general de protección de datos (GDPR) de la UE se aplica a todos los países miembros de esta. Cualquier empresa de la UE que procese datos personales de ciudadanos de cualquier parte del mundo está sujeta a estas normas, y cualquier empresa de fuera de la UE que procese datos personales de ciudadanos de la UE también está sujeta a los requisitos de la Directiva de la UE. La protección de datos personales es ahora sinónimo de responsabilidad empresarial.

Basándonos en nuestra amplia experiencia compartida, prestamos los servicios que necesita en materia de protección de datos y coherencia. Clientes de muchos sectores confían en nosotros no solo por comprender las particularidades de la legislación estonia en este ámbito, sino también por la precisión del trabajo realizado.

El Reglamento General de Protección de Datos en los países de la UE ha introducido cambios significativos en la regulación de los datos personales, y todas las empresas que operan bajo jurisdicción estonia ahora tienen que cumplirlo. En la fase inicial de la LKS Consult OÜ recomienda una auditoría ayudando al cliente a definir el tratamiento de sus datos, que es el primer paso, antes de que pueda pasar a la creación y ejecución de un plan de acción para el cumplimiento del GDPR.

Cumplimiento del GDPR y protección de datos personales

Ya hoy debe pensar en trabajar adecuadamente con los datos personales, pues no queda ningún ámbito empresarial que no esté relacionado con los datos personales. El GDPR se aplica a casi todas las empresas que operan en Internet y no solo a ellas: tiendas y servicios en línea, portales, servicios de mensajería y aplicaciones, y muchos otros servicios.

El GDPR (Reglamento General de Protección de Datos) es un reglamento de la Unión Europea que contiene normas estrictas para el tratamiento de datos personales, vinculantes no solo para los países de la UE, sino también para los países que prestan servicios o venden bienes a residentes en la UE.

Posibles consecuencias del incumplimiento del GDPR

La sanción por incumplimiento de los requisitos del GDPR es una multa de hasta 20 millones de euros o el 4% de los ingresos anuales de la empresa (la cantidad que sea mayor). Tenga en cuenta que la aplicación del GDPR será tan estricta como la responsabilidad. Así pues, las empresas de TI deben adaptar sus documentos, políticas y procedimientos a las nuevas normas.

Evaluación del cumplimiento del GDPR

Para realizar el trabajo de acuerdo con las características del Cliente, se examina la estructura organizativa del Cliente con el fin de identificar las unidades cuya función funcional implica el tratamiento de datos personales, así como elaborar cuestionarios y planes de entrevistas específicos para cada puesto.

Los métodos de trabajo son:

  • Análisis de la documentación facilitada
  • Cuestionarios y entrevistas al personal
  • Análisis de sitios y servicios web propiedad de la empresa

Durante la encuesta se llevan a cabo las siguientes acciones:

  • Identificación de flujos de datos personales (Personal Data Flow)
  • Determinación del lugar de la institución principal en Europa
  • Definición de la lista de empleados, encargados del tratamiento y terceros implicados en el tratamiento de datos personales
  • Definición de la lista y la cantidad de datos personales que se van a tratar
  • Análisis de contratos, acuerdos, consentimientos, ofertas públicas y otros documentos celebrados con terceros en el marco de las relaciones con los que se ceden u obtienen de ellos datos personales
  • Análisis de contratos, acuerdos, consentimientos, ofertas públicas y otros documentos celebrados con personas físicas que constituyan la base jurídica para el tratamiento de datos personales
  • Determinación de la ubicación de los datos personales
  • Destacar los sistemas de información en los que se tratan los datos personales
  • Determinación de la existencia de documentos organizativos y de gestión que definan el procedimiento de tratamiento y protección de los datos personales
  • Descripción de las medidas adoptadas para garantizar la seguridad de los datos personales
  • Identificación de las transferencias transfronterizas de datos personales y elaboración de una lista de países en los que se realizan transferencias transfronterizas de datos personales

Basándose en un estudio de los sistemas de información y los procesos de tratamiento, se determina el cumplimiento de los requisitos del RGPD.

Basándose en los resultados de la evaluación de conformidad, se elaboran recomendaciones sobre la adecuación del tratamiento de datos personales a los requisitos del GDPR.

Documentos de información

  • Estado de cumplimiento del GDPR con las recomendaciones del GDPR para alinear el procesamiento de datos personales de la organización con los requisitos del GDPR.
  • Plan de adaptación al GDPR

Al redactar los documentos organizativos y de gestión, se sintetizan los requisitos de diversas normativas de la UE en materia de datos personales con vistas a estructurar

Elaboración de documentos GDPR

  • Lista de procesos de tratamiento de datos personales
  • Aviso de confidencialidad para el tratamiento de datos personales (Aviso de confidencialidad)
  • Política de protección de datos personales
  • Consentimiento para el tratamiento de datos personales (consentimiento), en caso necesario
  • Acuerdos entre el operador de datos personales (responsable del tratamiento) y los encargados del tratamiento de datos personales (encargado del tratamiento), en caso necesario (Anexo de Tratamiento de Datos)
  • Normas para responder a las solicitudes de particulares
  • Normativa sobre destrucción de datos personales
  • Reglamento sobre la portabilidad de datos personales en formato legible por máquina
  • Normas de respuesta a incidentes de seguridad de la información en el tratamiento de datos personales
  • Reglamento sobre notificación de filtraciones de datos personales
  • Manual de seguridad y tratamiento de datos personales

Evaluación del impacto de la confidencialidad (DPIA)

Basándose en los resultados de las medidas y procesos organizativos y técnicos para el tratamiento de datos personales, se evalúa el impacto sobre la confidencialidad (DPIA). La evaluación se lleva a cabo para garantizar un nivel mínimo de riesgo para los interesados personales.

La evaluación del impacto sobre la confidencialidad puede realizarse varias veces, ajustando las medidas de seguridad, si no puede alcanzarse el nivel óptimo de riesgo con las medidas de seguridad originales.

Documentos de información

  • Informe de evaluación del impacto de la confidencialidad (DPIA)

LKS Consult OÜ le ayudará a establecer procesos para el tratamiento de datos personales de acuerdo con la legislación internacional y el GDPR para garantizar una recopilación de datos eficiente y segura, la identificación, la confidencialidad y, sobre todo, evitar fuertes multas por posible incumplimiento de la normativa.

Los servicios de LKS Consult OÜ incluyen:

  • Auditoría jurídica (diligencia debida) de las actividades empresariales del cliente para detectar incumplimientos de las normas del GDPR
  • Desarrollo de documentos y normas internas para alinear las actividades de la empresa con las normas GDPR
  • Prestación contractual de servicios de delegado de protección de datos

Servicios de responsable de protección de datos:

  1. Informar al cliente y a su personal de las normas y reglamentos del GDPR
  2. Supervisión de las actividades de los clientes de conformidad con las normas GDPR
  3. Prestación del asesoramiento necesario para cumplir las normas GDPR
  4. Cooperación con las autoridades reguladoras
  5. Elaboración de normas y reglas internas (instrucciones) para el cliente y sus empleados como parte de los procedimientos reglamentarios GPDR
  6. Actuar como punto de contacto entre el cliente y los reguladores gubernamentales en materia de tratamiento de datos, así como para consultas y aclaraciones.
  7. Tratamiento de las bases de datos de clientes que contienen información sobre sus clientes finales de acuerdo con los requisitos de la GPDR, prevención de riesgos

Reforma de la protección de datos en Estonia

El 14 de abril de 2016, el Parlamento aprobó el Reglamento General de Protección de Datos (GPDR), que sustituye a la actual Directiva de Protección de Datos. El nuevo Reglamento es directamente aplicable, lo que significa que, junto con los actos nacionales de aplicación, también sustituirá a la actual Ley de Protección de Datos Personales de Estonia. El Reglamento entró en vigor el 24 de mayo de 2016 y se aplicará tras un periodo transitorio de dos años a partir del 25 de mayo de 2018. El Reglamento se aplica a las empresas y otras entidades jurídicas que tratan datos personales. Por tratamiento de datos personales se entiende, por ejemplo, la recogida, documentación, almacenamiento, etc. de datos personales de conformidad con el Reglamento General. Por ejemplo, cuando una empresa tiene una base de datos de clientes o un programa de fidelización de clientes, la empresa almacena currículos de empleados o direcciones de correo electrónico de clientes, direcciones particulares, fotos, grabaciones de CCTV, números de teléfono y otros datos similares, puede considerarse tratamiento de datos personales.

Dado que el Reglamento de Protección de Datos introduce numerosos cambios, la Ley de Protección de Datos Personales actualizada también entrará en vigor en Estonia. Utilizando el proyecto de Ley de Protección de Datos Personales, la nota explicativa y el Reglamento General de Protección de Datos, el bufete de abogados LKS Consult OÜ resumió los principales puntos que un empresario debe conocer sobre el tratamiento de datos personales.

¿Qué son los datos personales?

Los datos personales son todos los datos relativos a una persona física identificable o identificable que expresan las características físicas, mentales, fisiológicas, económicas, culturales o sociales, las relaciones y la filiación de dicha persona. Por lo tanto, todos los datos que puedan atribuirse a un individuo, incluso indirectamente, deben tratarse como datos personales. Según la ley, los datos personales se dividen en las llamadas categorías “ordinarias” y especiales de datos personales. Ejemplos de datos personales ordinarios son el nombre, el lugar de residencia, la fotografía de una persona, la grabación de una cámara de vigilancia, por la que se puede identificar a una persona, etc… D.

Las categorías específicas de datos personales son los datos que revelan o ponen de manifiesto el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, los datos genéticos, los datos biométricos, los datos relativos a la salud o los datos relativos a la vida sexual o a la orientación sexual de una persona. El tratamiento de estos datos personales está prohibido, salvo en casos excepcionales. Los casos excepcionales según la nueva Ley de Protección de Datos Personales y el Reglamento General son, por ejemplo, cuando el tratamiento es necesario por razones de interés público significativo o cuando el tratamiento es necesario para prevenir una amenaza al orden público o a la seguridad nacional. La definición de interés público no se encuentra en la legislación actual. El interés público es un concepto muy abstracto, pero una definición puede ser que el interés público tiene por objeto crear o preservar un bien público.

¿Le afecta a usted y a su empresa el nuevo Reglamento de protección de datos?

Empresas que deberían revisar su política de datos personales:

  • Empresas inmobiliarias (por ejemplo, agencias inmobiliarias)
  • Empresas financieras y de seguros (por ejemplo, bancos, acreedores, compañías de seguros)
  • Minoristas por correo y en línea (por ejemplo, tiendas online)
  • Empresas administrativas y de apoyo (por ejemplo, agencias de viajes, cobro de deudas)
  • Proveedores de servicios sanitarios y sociales (incluida la atención sanitaria general, los centros de salud familiar, la enfermería, la atención dental)
  • Empresas de información y comunicación (por ejemplo, portales web, editoriales de revistas, telecomunicaciones)
  • Empresas profesionales, científicas y técnicas (por ejemplo, agentes publicitarios, investigadores de mercado, encuestadores)
  • Alojamientos (por ejemplo, hoteles, moteles, pensiones)

¿Cuándo es legal y está permitido el tratamiento de datos personales?

El tratamiento de datos personales es legal si se cumple al menos una de las condiciones establecidas en el artículo 6 del Reglamento:

  1. Consentimiento de una persona al tratamiento de sus datos personales para uno o varios fines específicos: por ejemplo, el operador del sitio web debe pedir al cliente que confirme si autoriza el uso de sus datos personales para un fin específico (por ejemplo, para tramitar un pedido, etc.).
  2. El tratamiento de datos personales es necesario para la ejecución de un contrato celebrado con la participación de una persona, lo que incluye la celebración de cualquier contrato. Por ejemplo, si un cliente encarga mercancías a una máquina de paquetería a través de una tienda en línea. SSB Recuerde que no se le pedirán datos excesivos del cliente al firmar el contrato. Por ejemplo, al pedir mercancías en la máquina expendedora antes mencionada, el cliente no debe revelar su domicilio.
  3. El tratamiento de datos personales es necesario para cumplir una obligación legal: nos referimos aquí a las obligaciones del responsable del tratamiento que se derivan de la ley. Por ejemplo, la Ley del Juego obliga a los casinos a solicitar información personal a los socios del casino.
  4. El tratamiento es necesario para proteger los intereses vitales del interesado o de otra persona física, o para realizar una tarea de interés público o en el ejercicio de poderes oficiales conferidos al responsable del tratamiento. Según el Reglamento General, el tratamiento de determinadas categorías de datos personales puede servir tanto a intereses públicos importantes como a intereses vitales del interesado, por ejemplo, cuando el tratamiento es necesario con fines humanitarios, incluida la vigilancia de epidemias y su propagación, o en situaciones de emergencia humanitaria, en particular catástrofes naturales o provocadas por el hombre.

¿Cuáles son los derechos del interesado, es decir, de la persona cuyos datos se tratan?

  • Derecho a la información y a los datos personales que le conciernen

El objetivo es garantizar que una persona pueda saber si se están tratando sus datos personales y, para verificar la legalidad de dicho tratamiento, el derecho de acceso a los datos recogidos sobre ella. En primer lugar, el interesado tiene derecho a obtener del responsable del tratamiento confirmación de si se están tratando los datos personales que le conciernen. Si se tratan datos personales, el responsable del tratamiento está obligado a informar al interesado de la información que está obligado a revelar. Todo interesado tiene derecho a conocer y ser informado de los fines para los que se tratan los datos personales, el periodo en que se tratan y los destinatarios de los datos, incluso en terceros países. Para garantizar este derecho, basta con que el interesado disponga de un resumen completo de los datos de forma comprensible, es decir, de datos en una forma que le permita conocerlos y comprobar que son correctos y tratados de conformidad con la Ley de Protección de Datos Personales. El encargado del tratamiento podrá negarse a facilitar la información, restringir su suministro o facilitarla en una fase posterior si ello puede impedir o agravar la prevención, detección, enjuiciamiento o ejecución de sanciones, perjudicar los derechos y libertades de otra persona y si la divulgación de información puede tener un impacto negativo en la seguridad nacional.

  • Derecho a solicitar la finalización del tratamiento de datos personales, su rectificación, bloqueo o supresión

El interesado tiene derecho a rectificar y suprimir sus datos personales, en particular cuando se trate de datos basados en hechos. En particular, el interesado tiene derecho a solicitar la supresión de los datos personales si el tratamiento de los mismos no está permitido por la ley o vulnera los principios del tratamiento de datos personales.

  • “El derecho al olvido”

Una actualización introducida por el Reglamento General de Protección de Datos, que significa que una persona física tiene derecho a exigir al responsable del tratamiento que suprima sus datos personales sin demora. Este derecho se aplica, por ejemplo, si el responsable del tratamiento ya no necesita los datos personales para los fines para los que fueron recogidos o tratados; por ejemplo, si la empresa conserva un currículum vitae para fines futuros, la persona puede solicitar la supresión del currículum en cualquier momento. Además, se aplican otros casos previstos en el artículo 17 del Reglamento General, como cuando una persona retira su consentimiento al tratamiento de datos o cuando los datos personales han sido tratados ilegalmente.

  • Derecho a la portabilidad de los datos

El mayor cambio significativo que espera todo el sector privado es la portabilidad de los datos personales. Una persona puede tomar sus datos digitales de la empresa A y entregarlos a la empresa B. Esto significa que una persona tiene derecho a solicitar y obtener del responsable del tratamiento todos los datos personales que le conciernan que esa persona haya facilitado al encargado del tratamiento. Por transmisión deben entenderse todos los datos que una persona se transmite directamente a sí misma o al responsable del tratamiento en el curso de su actividad. Por ejemplo, la cumplimentación de formularios web (creación de una tienda en Internet, cuenta en redes sociales) o el envío de un correo electrónico, así como los datos transmitidos al operador de comunicaciones mediante un dispositivo inteligente (como la ubicación de la persona que llama, el destino de la llamada). Pero también las compras registradas con una tarjeta de fidelidad en la tienda o los datos (como frecuencia cardíaca, número de pasos) que el monitor de actividad humana transfiere, por ejemplo, a un nutricionista. La transmisión de datos sólo debe aplicarse al tratamiento de datos basado en el consentimiento de la persona o en un contrato celebrado entre la persona y el encargado del tratamiento. Por lo tanto, si el tratamiento de datos se hace sólo sobre la base de la ley, el derecho a la portabilidad de datos no se aplica. Según la ley, los datos personales de las personas son procesados, por ejemplo, por las autoridades estatales y locales.

Para garantizar el derecho a la portabilidad de los datos, el responsable del tratamiento debe transmitir los datos personales:

  1. estructurado;
  2. en un formato muy utilizado;
  3. legible por máquina.

Para que el responsable del tratamiento cumpla estas formalidades, el Reglamento impone la condición adicional de que sólo se transmitan los datos personales tratados por medios automatizados por el responsable del tratamiento. Por lo tanto, los datos personales en papel no son transferibles.

Una persona también puede exigir que un encargado del tratamiento transmita datos directamente a otro encargado del tratamiento. Esto ocurre cuando es técnicamente factible. Esto significa que si una persona quiere cambiar, por ejemplo, de proveedor de correo electrónico, de banco o de voz, tiene derecho a exigir que el actual proveedor de servicios transfiera los datos personales asociados a esa persona directamente al nuevo proveedor de servicios, si es técnicamente posible.

Al mismo tiempo, la transferencia de datos a un nuevo proveedor de servicios no significa que la persona deba poner fin a su relación con el proveedor de servicios actual. Tampoco significa automáticamente que el actual proveedor de servicios deba suprimir todos los datos personales relacionados con la persona (aunque la relación con los clientes haya terminado).

  • Derecho de oposición y toma de decisiones individuales automatizadas

Una persona puede solicitar no ser sometida a una solución basada en el tratamiento automatizado, incluida la elaboración de perfiles. Este derecho surge cuando la elaboración de perfiles tiene efectos jurídicos sobre ella o repercute significativamente en ella. Es el caso, por ejemplo, cuando se realiza un préstamo en línea y se rechaza una solicitud de préstamo sin intervención humana.

¿Cuáles son sus obligaciones como encargado del tratamiento de datos?

  • El responsable del tratamiento debe aplicar al tratamiento de datos los principios que rigen el tratamiento de datos personales. Los principios que rigen el tratamiento de datos personales son los comúnmente enunciados en el Reglamento, como los principios de legalidad, equidad, transparencia y minimización de datos.
  • El encargado del tratamiento debe tratar los datos personales de forma segura. El operador económico está obligado a aplicar las medidas técnicas y organizativas adecuadas para garantizar el nivel de seguridad correspondiente a la amenaza. Un ejemplo de estas medidas es el cifrado de los datos personales. Para proteger los datos personales, deben establecerse medidas de seguridad que los protejan del tratamiento, la divulgación o la destrucción no intencionados o no autorizados.
  • El Responsable del Tratamiento está obligado a facilitar a la persona información sobre las condiciones del tratamiento de sus datos personales y sus derechos. El Responsable del Tratamiento debe informar a la persona sobre el tratamiento de sus datos personales de forma concisa, clara, comprensible y fácilmente accesible, utilizando un lenguaje claro y comprensible. La información se facilitará por escrito o por otros medios, incluidos, en su caso, los medios electrónicos.
  • Las operaciones de tratamiento deben registrarse. Las empresas u organizaciones con más de 250 empleados deben mantener un registro de las operaciones de tratamiento y ponerlo a disposición del supervisor de protección de datos cuando éste lo solicite. En casos excepcionales, las empresas u organizaciones pequeñas también están obligadas a hacerlo si el tratamiento supone un riesgo para los derechos humanos y las libertades, el tratamiento no depende del caso particular, se tratan categorías especiales de datos personales o se cometen delitos y condenas penales. Puede parecer que las empresas más pequeñas han evitado registrar aquí las operaciones de tratamiento, pero no se trata de un caso de tratamiento si las operaciones están planificadas de antemano, la ejecución es organizada y metódica, y el tratamiento de datos forma parte claramente del modelo de negocio del encargado del tratamiento. Esto incluye, por ejemplo, los programas de fidelización de las empresas de servicios. Además, todos los empresarios son procesadores de datos personales (por ejemplo, datos sobre empleados, voluntarios, becarios, invitados) y, según la Inspección, no procesan datos sólo en cada caso. Así pues, el tratamiento de datos personales relativos al propio personal de la organización no puede excluirse del registro.
  • Protección de los datos personales de los niños. Según el Reglamento General, los datos personales de los niños, en particular, merecen una protección especial, ya que los niños pueden no ser suficientemente conscientes de los riesgos, consecuencias y salvaguardias que conlleva, ni de sus derechos en relación con el tratamiento de datos personales. Según la nueva Ley de Protección de Datos Personales, que entrará en vigor en Estonia, el tratamiento de datos personales de un niño en la prestación de servicios de la sociedad de la información sólo es legal si el niño tiene al menos 14 años.
  • Obligación de designar un responsable de la protección de datos. La normativa general exige que determinados encargados del tratamiento de datos personales designen a un especialista en protección de datos. Entre estos figuran:
  • Instituciones u organismos del sector público: ministerios, departamentos, inspecciones, escuelas de enseñanza general, autoridades municipales y comarcales;
  • Encargados del tratamiento de datos cuya actividad principal es el control regular y sistemático de los interesados a gran escala: por ejemplo, hospitales, una empresa que presta servicios de seguridad en un centro comercial, entidades de crédito, intermediarios de seguros, empresas de telecomunicaciones, hoteles, empresas de contratación y empleo, contratación de prostitutas;
  • Encargados del tratamiento cuya actividad principal es el tratamiento a gran escala de datos especiales o el tratamiento a gran escala de datos personales relacionados con condenas e infracciones penales, como hospitales, centros de salud familiar, investigadores sanitarios.

Responsabilidad

Uno de los mayores cambios con respecto a la anterior normativa de protección de datos es el aumento de las multas. La multa máxima por incumplimiento de los requisitos establecidos en el Reglamento General es de 20 millones de euros o el 4% del volumen de negocios global de la empresa, la cantidad que sea mayor. Sin embargo, siguiendo los puntos anteriores y adecuando su empresa a los requisitos del tratamiento de datos, no se preocupe por las grandes cantidades de las multas.

Protección de datos personales en Estonia

La protección de datos personales es un tema cada día más relevante.

Desde la aplicación del Reglamento General de Protección de Datos (GDPR) (UE) 2016/679, los responsables del tratamiento de datos personales están sujetos a nuevas y estrictas obligaciones y a elevadas sanciones en caso de incumplimiento. El objetivo del Reglamento es garantizar la legalidad del tratamiento de los datos personales y asegurar un alto nivel de protección de la privacidad de las personas. En el mundo actual, ya no es posible trabajar sin tratar datos personales, y la mayoría de las empresas tienen que tratar datos personales para prestar sus servicios o vender el producto.

El objetivo de LKS Consult OÜ es ayudar a la empresa a trabajar de acuerdo con los requisitos del GDPR, reduciendo así los riesgos potenciales. Para ello, ofrecemos los siguientes servicios:

  • preparación de una visión jurídica de la situación, es decir, una auditoría, preparar un plan de acción sobre los resultados de la auditoría para garantizar el cumplimiento del GDPR;
  • realización de las operaciones prescritas en el GDPR y consultar al cliente;
  • realización de una evaluación de impacto de la protección de datos
  • elaboración de los registros exigidos por el GDPR (Registro de Tratamiento de Datos Personales, Registro de Infracciones);
  • Preparación de documentos legales: condiciones de protección de datos (política de privacidad), normas internas relacionadas con la protección de datos personales, documentos necesarios para la empresa en línea, por ejemplo, condiciones de uso de cookies, etc., Preparación de un contrato entre el responsable y el encargado del tratamiento (acuerdo sobre el tratamiento de datos personales);
  • representación en litigios relativos a datos personales;
  • formación sobre protección de datos personales;
  • ayudamos en la comunicación con las autoridades de supervisión (ASA).

También ofrecemos el servicio de un especialista en protección de datos, que incluye el asesoramiento a la empresa sobre todas las cuestiones relacionadas con el tratamiento de datos personales.

LKS Consult OÜ ofrece servicios legales y estará encantado de ayudarle con la preparación de la protección de datos (GDPR) para su empresa estonia.

José

José Bartomeu

 Gestor asociado

+34 673 277 137
jose.bartomeu@elusionfiscal.eu