La promoción a través de las redes sociales se ha convertido en parte habitual del día a día de muchos autónomos y empresas. La foto de un cliente satisfecho, un antes y después en imágenes o el éxito de un evento son acciones comunes, pero pueden tener consecuencias legales serias si no se gestionan bien. 

Para la Ley de Protección de Datos, está claro: si no hay consentimiento explícito, estamos frente a una posible infracción. Así lo ha recordado, de nuevo, la Agencia Española de Protección de Datos (AEPD) en las últimas semanas: "las imágenes en las que una persona pueda ser identificada se consideran datos personales, y su uso con fines comerciales requiere autorización expresa." 

¿Qué dice la ley y a quién afecta?

La normativa que regula estos casos es el Reglamento General de Protección de Datos (RGPD) junto con la Ley Orgánica 3/2018 (LOPDGDD). Ambas exigen que el consentimiento sea libre, informado, específico y verificable. Eso implica que el cliente debe firmar un documento (o aceptarlo digitalmente mediante un formulario o check) en el que se indique para qué se usará su imagen, durante cuánto tiempo y en qué canales se difundirá.

En Pymes y Autonomos

El tiempo se agota y Bruselas pretende flexibilizar los fondos NextGen para dar una última oportunidad a las pymes

Más allá del espacio web del negocio, esto incluye cualquier publicación en Instagram, Facebook, TikTok e incluso en WhatsApp Business. Un simple “me gusta” o la aprobación verbal del cliente no es suficiente para cubrirse legalmente.

Este escenario afecta especialmente a sectores con una fuerte presencia en redes: peluquerías, centros de estética, entrenadores personales, formadores o negocios vinculados a eventos y celebraciones. También se producen casos en el ámbito sanitario, terapéutico o educativo, donde el uso de imágenes puede rozar terreno sensible, como cuando aparecen menores o personas en situación vulnerable.

En todos estos contextos, la buena intención no exime de responsabilidad. Incluso si el cliente aparece sonriente o ha manifestado su satisfacción, si no hay constancia escrita del consentimiento, se está incurriendo en una práctica sancionable. La AEPD ha impuesto ya multas a pymes y autónomos por este tipo de publicaciones, algunas superiores a los 3.000 euros, especialmente cuando se repite la conducta o hay menores implicados.

De hecho, en los últimos años la AEPD ha sancionado con multas de hasta 10.000 euros a negocios que publicaron imágenes de clientas o pacientes sin autorización, incluso cuando estas ya habían compartido esas fotos por su cuenta. En el caso de clínicas estéticas o sectores sensibles, las sanciones han sido especialmente severas.

Evitar sanciones y proteger tu negocio

Las sanciones no son automáticas, pero basta con que una persona afectada presente una reclamación para que la agencia inicie el procedimiento. A partir de ahí, será la empresa quien deba demostrar que tenía autorización válida. En el caso de que no pueda hacerlo, se enfrenta no solo a una sanción económica, sino también a posibles daños en su reputación.

La solución es más sencilla de lo que parece: basta con disponer de un documento de consentimiento informado donde el cliente autorice el uso de su imagen para fines concretos. Existen modelos adaptables para cada sector, que pueden firmarse en papel o digitalmente, y que deben guardarse junto a la documentación habitual del negocio. En caso de duda, lo mejor es no publicar o utilizar contenido en el que no aparezca ninguna persona identificable.

En definitiva, cumplir con la normativa de protección de datos no es solo una obligación legal, sino una forma de demostrar profesionalidad y respeto hacia la clientela. Las redes sociales seguirán siendo una herramienta clave para las pequeñas empresas, pero usarlas con cabeza es la mejor estrategia para evitar sustos.

En mayo el nuevo Reglamento General de Protección de Datos (RGPD) será de obligado cumplimiento para todas las empresas. Han tenido tiempo para adaptarse, pero había una cuestión importante pendiente, la certificación del Delegado de Protección de datos de la empresa, un nuevo requisito que todos deben cumplir.

Ahora la AEPD ya ha emitido la primera autorización para certificar Delegados de Protección de Datos (DPD), según el Esquema de certificación elaborado por la AEPD en colaboración con la Entidad Nacional de Acreditación (ENAC). ANF Autoridad de Certificación (ANF AC) es la primera entidad en obtenerla. Solo las entidades acreditadas pueden emitir dicho certificado.

La figura del Delegado de Protección de Datos (DPD) será obligatoria a partir del 25 de mayo para organizaciones que traten datos a gran escala o datos sensibles así como para organismos públicos. De esta forma se asegura los debidos conocimientos para cumplir con todos los preceptos del reglamento en sus organizaciones.

Hay que tener en cuenta que muchas empresas recogen datos de sus clientes y luego tienen que cumplir con las debidas obligaciones que impone el nuevo reglamento. Hay grandes cambios respecto a la LOPD y muchas empresas no saben el impacto que tendrá en sus organizaciones.

La adaptación puede ser tanto más complicada a medida que los datos que se tratan sean más sensible. Además se incorporan nuevas categorías, como los datos biométricos, de manera que cualquier empresa que utilice un sistema de fichaje por huella digital se vería afectado por dicho reglamento.

En Pymes y Autónomos | Facilita RGPD, la herramienta de la AEPD para adaptarse al nuevo reglamento de protección de datos

Imagen | aitoff

Quedan poco más de cinco meses para la entrada en vigor del Reglamento General de Protección de Datos de la UE (GDPR). Se trata de un intento por hacer que la protección de datos tenga una legislación común para todos los estados miembros, sus ciudadanos y también sus empresas. Lo cierto es que la mayoría de las empresas han hecho muy poco.

Un ejemplo, según un reciente estudio de Trend Micro casi tres de cada cuatro directivos desconoce la cuantía de las multas a las que se enfrenta ante un incumplimiento. En concreto un 73% de ellos. A esto se suma que un 57% de los altos directivos no asumen la responsabilidad del GDPR.

Mal panorama, pero algo habitual ya en este tipo de cuestiones, donde las empresas tardan en adaptarse o lo hacen tarde, mal y nunca. Solo cuando ven alguna sanción en su entorno parece que se ponen manos al asunto. La mayoría ha leído los requisitos del GDPR, pero lo cierto es que la base, los datos personales que hay que proteger no está nada clara.

Un ejemplo, dos de cada tres encuestados en España no sabe que la fecha de nacimiento debe ser tratada como dato personal. Con este tipo de información sin proteger, a la que se pueden añadir bases de datos de email marketing, se facilita la fuga de datos en las empresas. Si no sabemos que tenemos que proteger es un mal inicio para cumplir con la ley.

Lo cierto es que también se desconocen las sanciones que se impondrán, que pueden llegar hasta 20 millones de euros o de hasta el 4 % de la facturación anual. Un sablazo importante para el beneficio de muchas pymes e incluso el cierre para otas.

Tampoco se tiene claro de quién es la responsabilidad por una fuga de datos de un proveedor de servicios en la nube, por ejemplo o qué tecnologías pueden ayudar a mejorar la protección de datos. La protección ante intrusiones, el cifrado o la prevención de fuga de datos son las que más presencia tienen.

En Pymes y Autónomos | Las empresas desconocen el impacto de la nueva regulación europea de protección de datos

Imagen | Pexels

Aunque no entrará en vigor hasta mayo de 2018, el nuevo reglamento de protección de datos va a suponer un reto para las empresas. Para tratar de ayudarlas a su cumplimiento, la Agencias Española de Protección de Datos, AEPD, ha presentado Facilita RGPD, la herramienta para ayudar a las empresas a su adaptación.

Al igual que en otras herramientas anteriores presentadas por la AEPD, como Evalua, se trata de un pequeño cuestionario online que no les llevará a las empresas más de 15 minutos en su cumplimentación. Una vez finalizado se generan una serie de documentos, de avisos que dichas empresas tienen que incluir. Se trata de una alternativa para aquellas organizaciones que sólo realizan tratamiento de datos básicos.

A poco que se traten datos con un nivel de protección más alto tocará acudir a empresas especializadas para que realicen un análisis de riesgos. A partir de aquí tomar las medidas oportunas y seguir las recomendaciones que nos marque la consultora para la adaptación al nuevo reglamento.

Facilita_RGPD eliminará los datos aportados por las empresas durante el desarrollo de la misma, por lo que la Agencia Española de Protección de Datos en ningún caso puede conocer la información que haya sido aportada. Es una herramienta de carácter anónimo.

Los documentos que genera serán las cláusulas informativas que debe incluir en sus formularios de recogida de datos personales, cláusulas contractuales para anexar a los contratos de encargado de tratamiento, el registro de actividades de tratamiento, y un anexo con medidas de seguridad orientativas. La generación de dichos documentos no implica el cumplimiento automático del nuevo reglamento, se trata solo de una ayuda.

En Pymes y Autónomos | Si vas a recoger datos de tus clientes, esto es lo que debes tener en cuenta

Imagen | Photo-Mix

La empresa de seguridad Eset ha realizado un estudio para comprobar qué acciones y decisiones están tomando los negocios y organizaciones para adaptarse a la nueva regulación en materia de protección de datos europea que entró en vigor el pasado 25 de mayo de 2016 y que será de obligado cumplimiento en dos años. Lo cierto es que según dicho estudio, las empresas desconocen el impacto de la nueva regulación europea de protección de datos.

De los más de 700 responsables de tecnología encuestados, un 78% no entienden el impacto que la nueva regulación puede suponer para sus organizaciones o ni siquiera conocen de su existencia. Para cumplir con dicha normativa, las tecnologías de cifrado son las más favoritas de dichos responsables.

El problema es que seis de cada diez fugas de datos en una empresa se deben a contraseñas robadas, por lo que se hace imprescindible el uso de una alternativa para acreditar la identidad y acceder a los datos. De igual manera, si se utiliza una solución de cifrado también se podría robar dicha clave, por lo que sería una alternativa, pero no la única disponible.

Al fin y al cabo lo importante es que las empresas tengan una custodia efectiva de los datos de sus clientes. El problema en muchas ocasiones para las más pequeñas radica en la complejidad del sistema. La facilidad de uso no suele llevarse muchas veces bien con la seguridad, que añade cierta complejidad de uso.

De las empresas que están al día de la nueva normativa, ya lo están cumpliendo un 20%, el 59% dice que están trabajando en ello y el 21% asegura que todavía no han tomado ninguna medida. Queda un gran trabajo por delante para cumplir con la nueva regulación europea, y lo más probable es que la mayoría de las empresas hagan sus deberes fuera de plazo, cuando ya comiencen a ver sanciones por parte de la AEPD.

En Pymes y Autónomos | [Si vas a recoger datos de tus clientes, esto es lo que debes tener en cuenta]https://www.pymesyautonomos.com/legalidad/si-vas-a-recoger-datos-de-tus-clientes-esto-es-lo-que-debes-tener-en-cuenta)

Imagen | joffi

La captación de contactos y datos de los clientes es una de las tareas de muchas empresas para comenzar su labor comercial. Pero estos datos no se pueden recoger de cualquier manera y es importante cumplir con la LOPD. No importa si los datos se han recogido cuando se daban de alta en un formulario para acceder al WiFi del negocio, en una Feria o a través de la newsletter o redes sociales.

Entre otras cosas es necesario informar a las personas cuyos datos recogemos de la identidad del responsable del tratamiento de los datos, dónde se pueden ejercer los derechos, cuáles son estos derechos y las cesiones de datos previstas. Pero además con la puesta en marcha del nuevo reglamento aprobado por la Unión Europea, esta obligación de información se endurece.

Será obligatorio informar de forma más precisa de quién es el responsable del tratamiento de los datos personales. En caso de tener un Delegado de Protección de Datos, también se deberá indicar su identidad. Igualmente se debe indicar la finalidad de la recogida de datos y sólo se pueden utilizar para dicho fin y hasta cuándo se van a mantener dichos datos.

También se endurecen otras cuestiones como las cesiones de datos o los derechos que asisten a los usuarios. A los conocidos derecho ARCO se suman también el derecho al olvido y a la portabilidad de los mismos. Esto supone un mayor control del interesado con los datos personales que cede a las empresas.

Esto supone que será necesario que las empresas se adapten a este nuevo reglamento en los próximos años. La información tendrá que ser mucho más clara y exhaustiva, con más condiciones que será necesario que los clientes acepten, pero también entiendan dicho documento de aceptación para poder ejercer fácilmente sus derechos.

En Pymes y Autónomos | Grabaciones de vídeo en el trabajo, también posibles sin consentimiento del empleado

Imagen | vjohns1580

Normalmente cuando un local implanta videocontrol o videovigilancia es necesario que requiera el consentimiento previo de sus trabajadores además de informar a terceros que está entrando en una zona donde se realizan estas grabaciones. Pero según una reciente sentencia del TC, ahora las grabaciones de vídeo en el trabajo también son posibles sin consentimiento del empleado.

Hay que tener en cuenta que la empleada alegaba:

...la vulneración del art. 18.4 CE, derecho a la protección de datos, debemos recordar que la imagen se considera un dato de carácter personal, en virtud de lo establecido en el art. 3 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, que considera dato de carácter personal “cualquier información concerniente a personas físicas identificadas o identificables

En la sentencia se indica que

El empresario no necesita el consentimiento expreso del trabajador para el tratamiento de las imágenes que han sido obtenidas a través de las cámaras instaladas en la empresa con la finalidad de seguridad o control laboral ya que se trata de una medida dirigida a controlar el cumplimiento de la relación laboral y es conforme con el art. 20.3 del texto refundido de la Ley del estatuto de los trabajadores, que establece que “el empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad human

Sin embargo también hay que tener en cuenta que:

aunque no se requiere el consentimiento expreso de los trabajadores para adoptar esta medida de vigilancia que implica el tratamiento de datos, persiste el deber de información del art. 5 LOPD

Esta era un circunstancia que la empresa cumplía ya que tenía dispuestos los carteles informativos en las zonas videovigiladas, que hacían saber tanto a clientes como a empleados de la existencia de las cámaras de seguridad, con objeto de poder ejercer sus derechos ARCO.

Esta es una práctica bastante habitual en aquellos establecimientos donde se sospecha que algún empleado está metiendo la mano en la caja. Lo que siempre hay que tener claro, es que aunque no es necesario consentimiento expreso, si hay que cumplir con el deber de información y tanto empleados como clientes tienen que conocer la existencia de cámaras. En caso contrario, además de una sentencia de despido nulo nos podemos enfrentar a las correspondientes sanciones de la Agencia de Protección de Datos.

En Pymes y Autónomos | Nueva guía sobre videovigilancia y datos personales de INTECO

¿Quién se acuerda de los derechos de los consumidores o de la protección de datos cuando se inicia una tienda online? En el mejor de los casos se hace un cortar y pegar de una tienda más o menos parecida a la nuestra y se personaliza, pero muchas veces ni siquiera se han parado a leer o mucho menos comprender lo que significa. De esta manera los aspectos legales de la venta online se convierten en los grandes olvidados en la pyme.

Está claro que el primer paso es conseguir los clientes, con un buen diseño, unas fotos bonitas, una buena campaña de anuncios en Adwords o logrando la mayor difusión posible en las redes sociales. Sin embargo, los cimientos sobre los que se levanta un negocio deben ser sólidos, a menos que queramos que una vez que hemos conseguido lo más difícil, una base de clientes estable, todo empiece a venirse abajo por una denuncia de alguien que considera que no se han respetado sus derechos.

Y esto sirve para todo. No podemos coger cualquier foto que encontremos en las búsquedas de Google para colocar en nuestra web. Tienen es que estar libres de derechos o tener licencia para su uso comercial y/o con reutilización, ya que pocas veces acabamos usando la foto original sin ningún retoque o adaptación.

Otras cuestiones tienen que ver con la recogida de datos al darse de alta en nuestra página, el uso que se hace de dichos datos o la posibilidad de ejercer los derechos ARCO del cliente. También con el uso de cookies cuando se accede a la página. Con respecto a esta cuestión tenemos que tener claro dónde se aloja nuestra página web, servidores que se encuentren en la UE y respeten la legislación de protección de datos. A veces las mejores ofertas suponen que el servidor se aloja en un país con legislaciones que no protegen adecuadamente dichos datos.

Luego a la hora de vender hay que respetar los plazos de venta y devolución de los clientes, remitirle los documentos de factura en papel salvo que haya expresado su deseo de tener la factura en formato electrónico. En definitiva, hay cuestiones que se pueden solventar con un cambio de texto, con una pequeña mejora en el diseño y otras suponen migrar todo nuestro e-commerce a otros servidores y otra plataforma.

La cuestión es que muchas veces la multa que tenemos que asumir supone de hecho el cierre de nuestra tienda online y nuestra empresa. Aquí no basta como defensa el desconocimiento de la ley o la buena fé o incluso rectificar. La sanción tendremos que asumirla.

En Pymes y Autónomos | Siete aspectos a tener en cuenta en las rebajas de nuestra tienda online

Imagen | Geralt

Hace unos meses las alarmas saltaron cuando las Agencias de Datos europeas comenzaron a recomendar a las empresas no utilizar servicios que pudieran transferir datos personales a Estados Unidos aplicando una sentencia de los tribunales de la UE. Era el fin del acuerdo conocido como Safe Harbour, que ahora ha sido sustituido, al menos parcialmente por el nuevo EU-US Privacy Shield.

Según ha anunciado la UE el nuevo acuerdo tendrá obligaciones más fuertes para las empresas en los EE.UU. y garantizar la protección de los datos personales de los europeos y una mayor vigilancia de su aplicación por el Departamento de Comercio y la Comisión Federal de Comercio de Estados Unidos.

El nuevo acuerdo incluye compromisos por parte de los EE.UU. para que las autoridades no tengan acceso libre a los datos personales transferidos, sino sujeto a las condiciones, limitaciones y supervisión que impiden el acceso generalizado . Los europeos tendrán la posibilidad de plantear cualquier consulta o queja en este contexto para hacer valer sus derechos.

Este acuerdo tiene un pero, ya que cada país tiene que negociar por su lado con Estados Unidos las condiciones del acuerdo. Aunque no son las condiciones anteriores y el marco regulatorio es menos claro, lo cierto es que es un paso adelante para desbloquear el proceso y dar algo de seguridad jurídica a las empresas que trabajan con empresas ubicadas en Estados Unidos.

Lo cierto es que por una parte chocan los intereses de los ciudadanos y la protección de sus datos, con los de las empresas que pueden tener datos alojados en Amazon, Facebook, Dropbox, etc. que tienen centros de datos en Estados Unidos, donde el grado de protección no es el requerido las exigencias europeas.

En Pymes y Autónomos | Dropbox, Google Apps, servicios en la nube y la LOPD, un problema para la pyme

Imagen | LoboStudioHamburg

Es habitual en estas fechas realizar el envío de felicitaciones navideñas a todos los contactos que tenemos en nuestras bases de datos, sin importar si son o no clientes o si tenemos o no consentimiento para el tratamiento de dichos datos. Esto no tiene nada de malo siempre que se respete la LOPD y se tenga el debido cuidado con el tratamiento de los datos personales.

En muchas ocasiones las empresas tienen direcciones de correo que no saben muy bien como han recopilado y no tienen el consentimiento de los responsables para el tratamiento de datos personal. En todo caso siempre tenemos que tener en cuenta no difundir datos de otros clientes y utilizar la casilla de copia oculta si lo hacemos desde nuestro propio correo.

A la vez tenemos que tener en cuenta las diferencias entre una felicitación navideña y también la comunicación comercial, ya que en muchos casos se aprovecha esta ocasión para ofrecer servicios o dar a conocer productos de las empresas. En este caso estamos hablando de una comunicación comercial, por lo que el tratamiento de la comunicación debe ser necesariamente distinto.

Como siempre en estos casos lo ideal es utilizar un servicio de mailing profesional para el envío de estas comunicaciones, ya que de otra forma pueden acabar fácilmente en el buzón de spam, y lo que es peor, nuestra dirección marcada para posibles futuras comunicaciones.

En Pymes y Autónomos | Aportar cercanía y evitar el spam en las felicitaciones navideñas