REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS.

RESUMEN DE INFORMACIÓN DE REFERENCIA ACERCA DE LA LEGISLACIÓN OBTENIDA EN OCTUBRE DE 2019  DE LA WEB OFICIAL DE LA UNIÓN EUROPEA PARA CONOCIMIENTO GENERAL DE WAKKU COMO RESPONSABLE DEL TRATAMIENTO DE DATOS (VER NOTA AL PIE SOBRE EXENCIÓN EXPRESA DE RESPONSABILIDAD)

¿A QUIÉN SE APLICA?

WAKKU aparece como sujeto pasivo (obligado al cumplimiento de la norma), porque trataría datos personales como parte de su actividad en Países de la UE, independientemente del lugar donde serían tratados los datos. Además, ofrece servicios u observa el comportamiento de las personas en la UE. 

Las normas se aplican únicamente a los datos de personas, no rigen los datos sobre empresas ni ninguna otra persona jurídica. Sin embargo, la información relacionada con empresas unipersonales (autónomos por ejemplo) puede constituir datos personales cuando permita la identificación de una persona física. Además, las normas se aplican a todos los datos personales relacionados con personas físicas en el ejercicio de su actividad profesional, como los empleados de una empresa u organización, las direcciones de correo electrónico del trabajo de tipo «nombre.apellido@empresa.eu» o los números de teléfono del trabajo de los empleados.

Debe considerarse si el tratamiento de datos personales  constituye o no la parte principal del negocio de WAKKU, porque si constituye parte principal y  entraña riesgos para las personas, estará sujeta a algunas obligaciones del RGPD particulares, como el nombramiento de un  delegado de protección de datos. Pareciera que no es así, pero es algo que debe evaluar el responsable del tratamiento.

Si el tratamiento de datos es su actividad principal y supone una amenaza específica para los derechos y libertades de las personas (como la observación de personas o el tratamiento de datos sensibles o antecedentes penales) que se realiza a gran escala, es forzosa la designación del delegado.

El tratamiento de datos,  abarca una amplia gama de operaciones realizadas sobre los datos personales, que incluyen procedimientos manuales o automatizados. Estas son la obtención, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción de datos personales y son ejemplo de lo que se entiende por tratamiento:

  • gestión de personal y administración de nóminas,
  • acceso o consulta a bases de datos de contactos que contengan datos personales,
  • envío de correos electrónicos promocionales (*),
  • triturado de documentos que contengan datos personales,
  • publicación o colocación de una foto de una persona en un sitio web,
  • almacenamiento de direcciones IP o MAC,
  • grabación de vídeo (CCTV).

(*) Cabe recordar que, para enviar correos electrónicos de mercadotecnia directa, también deben cumplirse las normas de mercadotecnia que se establecen en la Directiva sobre intimidad y comunicaciones electrónicas.

Es importante que WAKKU preste atención a lo relativo al uso de testimonios almacenados en videos, porque hay una parte sensible vinculada a la intimidad y comunicación que tiene legislación especial. Es fundamental que con relación a estas personas que participan en talleres y dan testimonios, exista un consentimiento informado que autorice el uso en redes sociales de estas grabaciones. 

Las «actividades principales», según la Legislación,  deben incluir actividades en las que el tratamiento de datos forme una parte indisociable de la actividad del responsable o encargado del tratamiento, de modo que tendría que prestarse atención a ello particularmente porque WAKKU dirige sus servicios a personas de la UE. Dependiendo del uso que se va a dar a los datos, tendría que evaluarse si el tratamiento entraña o no una parte indisoluble de la actividad de WAKKU, para establecer si tiene o no tiene obligación de tener designado un delegado para la protección de datos. 

¿SE APLICA A WAKKU A PESAR DE SER UNA EMPRESA PEQUEÑA? ¿UNA PYME? 

  1. La  aplicación del Reglamento de protección de datos (RGPD) no depende del tamaño de la empresa, sino de la naturaleza de sus actividades.Las actividades que entrañan elevados riesgos para los derechos y libertades de las personas, tanto si las lleva a cabo una pyme como una corporación, dan lugar a la aplicación de normas más estrictas. Sin embargo, algunas de las obligaciones del RGPD pueden no aplicarse a todas las pymes.

Como WAKKU tiene menos de 250 empleados no debe llevar registros de sus actividades de tratamiento a menos que el tratamiento de los datos personales sea una actividad habitual, suponga una amenaza para los derechos y libertades de las personas o guarde relación con datos sensibles o antecedentes penales.

WAKKU sin embargo, podría verse en la necesidad de designar  un delegado de protección de datos según el tratamiento que considere dar a los datos. 

ENTIDADES PÚBLICAS DE SUPERVISIÓN

Las APD son autoridades públicas independientes que supervisan, mediante los poderes de investigación y correctivos, la aplicación de la legislación sobre protección de datos. Ofrecen asesoramiento experto en cuestiones relacionadas con la protección de datos y tramitan reclamaciones presentadas por la violación del Reglamento general de protección de datos y las legislaciones nacionales pertinentes. Existe una en cada Estado miembro de la UE.  

Para España, tiene su sede en Madrid.  Es información de referencia importante para WAKKU.

Agencia de Protección de Datos
C/Jorge Juan, 6 28001 Madrid

Tel. +34 91399 6200

Fax +34 91455 5699

e-mail: internacional@agpd.es
Website: https://www.agpd.es/

DATOS PUEDO PEDIR Y ACERCA DE LA SOLICITUD DE CONSENTIMIENTO

Los datos que pueden pedirse  deben ser adecuados, pertinentes y limitados a lo necesario para el fin («minimización de los datos»).  Deben conservarse durante el menor tiempo posible. El plazo debe tener en cuenta los motivos por los que se necesita el tratamiento de los datos, así como eventuales obligaciones legales de conservar los datos durante un tiempo determinado que no parece ser el caso de Wakku. Debe establecerse plazos de supresión o revisión de los datos que se conserven y garantizar además que los datos que se poseen sean exactos, de manera que existe la obligación de  mantenerlos actualizados.

La solicitud de consentimiento para usar los datos personales, debe hacerse de forma clara y concisa, empleando un lenguaje fácil de entender, y diferenciarse claramente de otras informaciones, como las condiciones de uso. La solicitud debe especificar qué uso se hará de sus datos personales e incluir los datos de contacto de la empresa que trata los datos. 

El consentimiento debe darse libremente y ser una manifestación específica,  informada e inequívoca. «Consentimiento informado» significa que se le debe proporcionar información sobre el tratamiento de sus datos personales. En el momento de recopilar los datos, deben decir claramente a las personas de las que están recopilando datos, por lo menos lo siguiente:

  • quiénes son (la información de contacto de WAKKU y la de su delegado de protección de datos, si lo tienen),
  • para qué utilizarán sus datos personales (fines),
  • las categorías de datos personales de que se trate (nombres, teléfonos, dirección de correo, otros)
  • la justificación jurídica del tratamiento de los datos,
  • durante cuánto tiempo conservarán los datos,
  • quién más puede recibirlos,
  • si los datos personales se transferirán a un destinatario de fuera de la UE,
  • que tienen derecho a una copia de los datos (derecho de acceso a los datos personales) y otros derechos básicos del ámbito de la protección de datos (vease la lista más abajo),
  • su derecho a presentar una reclamación ante una autoridad de protección de datos,
  • su derecho a retirar el consentimiento en todo momento, (por ejemplo, enviando un correo electrónico para retirar el consentimiento),
  • en su caso, la existencia de decisiones automatizadas y la lógica aplicada, además de las consecuencias que conlleva.
  • si el consentimiento guarda relación con una transferencia internacional de los datos, los posibles riesgos de la transferencia de datos a países de fuera de la UE, en caso de no haber ninguna decisión de la Comisión de adecuación u no se presenten las garantías adecuadas.

Es importantísimo conocer el alcance del uso que se va a dar a los datos, de cara al futuro, porque por ejemplo, las casillas ya marcadas como opción que incluyen las páginas web para autorizar uso de datos, no se consideran un consentimiento válido en virtud del RGPD y por ejemplo, no podría Wakku compartir estos datos con otras personas para hacerles llegar ofertas, asuntos vinculados a mercadotecnia, libros, etc., si no ha incluido esta previsión en el consentimiento informado. A esto nos referimos más abajo en detalle.

RELACIÓN EMPLEADOR- EMPLEADO. NECESIDAD DE  ATAR CONSENTIMIENTOS PARA WAKKU DE TRABAJADORES EN EMPRESAS

Es un área que requiere prestar atención, sobre todo por el ámbito dentro del cual WAKKU puede recopilar datos personales de los empleados de una empresa para fines relacionados con la actividad de WAKKU. 

En este sentido, se considera que el empleador tiene una posición de poder frente al empleado y la protección de la Legislación es más severa. En la mayoría de los casos el  empleador no puede basarse en el consentimiento para utilizar datos porque la Legislación los califica como ilícitos con facilidad. Por ejemplo, instalar cámaras para vigilar la productividad o compartir los datos de los trabajadores con cualquier propósito no informado.

Es un aspecto  importante a tomar en cuenta, a la hora de suscribir acuerdos con el empleador, cuando no se ha celebrado acuerdo adicionalmente con sus  trabajadores vinculados al uso de datos. En este caso, debería tomarse en cuenta que hay situaciones en las que el tratamiento de los datos personales de un empleado  se considera autorizado con consentimiento lícito, especialmente si es en interés del empleado. Por ejemplo, si una empresa otorga beneficios al empleado o a sus familiares (como descuentos en los servicios de la empresa), el tratamiento de los datos personales de ese empleado está permitido y es lícito, si se ha dado el consentimiento fundamentado previo. Puede que WAKKU deba de incluir alguna previsión particular en el formato por el cual recaba el consentimiento informado en la que reconozca el titular que la considera de su beneficio.

 

¿A QUÉ TIENE DERECHO LA PERSONA QUE AUTORIZA EL USO DE SUS DATOS PERSONALES?

Tiene derecho a:

  • obtener información sobre el tratamiento de sus datos personales. Cuando usted proporciona sus datos personales, debe recibir, entre otras cosas, información sobre lo siguiente: 
  • el nombre de la empresa u organización que trata sus datos (incluidos los datos de contacto del delegado de protección de datos [DPD], de haber uno).  El responsable del tratamiento determina los fines y los medios relacionados con el tratamiento de los datos personales, en este caso WAKKU si no ha contratado a un tercero para el manejo de estos datos. Si es WAKKU quien decide «por qué» y «cómo» deberán tratarse los datos personales, WAKKU es el responsable del tratamiento. Los empleados que realizan el tratamiento de los datos personales, lo hacen en cumplimiento de las funciones que WAKKU ejerce como responsable del tratamiento.  Y WAKKU además es corresponsable del tratamiento cuando, junto con una o más organizaciones, determine conjuntamente «por qué» y «cómo» deberán tratarse los datos personales, caso por ejemplo si se tratara de un grupo de empresas en las que otras empresas del grupo tratarán igualmente los datos pero esto debe advertirse al titular.
  • los fines para los que la empresa u organización utilizará sus datos,
  • las categorías de datos personales de que se trate,
  • la base jurídica del tratamiento de sus datos personales,
  • el tiempo durante el cual prevén conservar sus datos,
  • el nombre de otras empresas u organizaciones que recibirán sus datos,
  • si sus datos se transferirán fuera de la UE,
  • sus derechos básicos en el ámbito de la protección de datos (como el derecho a acceder y transferir datos o a hacer que se eliminen),
  • el derecho a presentar una reclamación ante una autoridad de protección de datos (APD),
  • el derecho a retirar su consentimiento en cualquier momento,
  • la existencia de decisiones automatizadas y la lógica aplicada, además de las consecuencias de las mismas.
  • La información deberá presentarse de una forma concisa, transparente, inteligible y redactada en un lenguaje claro y sencillo.
  • Obtener acceso a los datos personales que le conciernen,  a que se le facilite una copia y a obtener toda la información adicional relevante (como el motivo del tratamiento de sus datos personales, las categorías de datos personales utilizadas, etc.). Este derecho de acceso deberá ser fácil y ser posible a «intervalos razonables». La empresa u organización deberá facilitar una copia de sus datos personales de forma gratuita. Este derecho no es absoluto: el uso del derecho de acceso a sus datos personales no debe afectar a los derechos y libertades de terceros, incluidos los secretos comerciales o la propiedad intelectual.
  • pedir que los datos personales incorrectos, inexactos o incompletos sean corregidos. Esta debe hacerlo sin demora indebida (en principio, un mes) o justificar por escrito el motivo por el que no puede aceptarse la solicitud.
  • solicitar que los datos personales sean borrados cuando ya no sean necesarios o si el tratamiento es ilícito,
  • oponerse al tratamiento de sus datos personales con fines de mercadotecnia o por motivos relacionados con su situación particular,
  • solicitar la limitación del tratamiento de sus datos personales en determinados casos,
  • recibir sus datos personales en un formato de lectura mecánica y enviarlos a otro responsable del tratamiento («portabilidad de datos»),
  • solicitar que las decisiones basadas en un tratamiento automatizado que le incumban o le afecten significativamente y basadas en sus datos personales sean tomadas por personas físicas y no solamente por ordenadores; asimismo, tiene derecho, en este caso, a expresar su punto de vista y a impugnar dicha decisión.

Para ejercer sus derechos deberá contactar con la empresa u organización que trata sus datos personales, conocido como el responsable del tratamiento. Si la empresa u organización tiene un delegado de protección de datos (DPD) puede dirigirse a dicho DPD con su petición. La empresa u organización deberá responder a sus peticiones sin dilación indebida y a más tardar en el plazo de un mes. Si la empresa u organización no atienden su petición, deberán indicar los motivos. Puede que se le pida que proporcione información para confirmar su identidad (como hacer clic en un enlace de verificación, introducir un nombre de usuario o contraseña) con el fin de ejercer sus derechos.

Estos derechos se aplican en toda la UE, independientemente de dónde se tratan los datos y de dónde esté establecida la empresa. Además, estos derechos también se aplican cuando compra productos o servicios de empresas de fuera de la UE que operan en la UE.

¿PUEDE WAKKU UTILIZAR UNA LISTA DE CONTACTOS FACILITADA POR UN TERCERO CON FINES DE MERCADOTECNIA? 

Antes de adquirir una lista de contactos o una base de datos con contactos de personas de otra organización, dicha organización deberá poder demostrar que los datos se obtuvieron de conformidad con el Reglamento general de protección de datos y que ustedes pueden utilizarlos para fines publicitarios

Por ejemplo, si la organización los adquirió sobre la base del consentimiento, el consentimiento debería haber incluido la posibilidad de transmitir los datos a otros destinatarios para su propia mercadotecnia directa. Esto tiene relevancia directa para WAKKU desde el mismo momento en el que se disponga, por ejemplo, a recibir de mano de la empresa la lista de contactos de trabajadores y datos personales de trabajadores para fines de cumplimiento de contrato, si WAKKU tiene interés en poder utilizar esos contactos para fines propios futuros, no vinculados con la razón original que dio lugar a la entrega de datos. 

En todo caso, si recibieron la lista de contactos,  debe también asegurarse de que la lista o base de datos esté actualizada y que no envíen publicidad a las personas que se opusieron al tratamiento de sus datos personales para fines de mercadotecnia directa. Debe  asegurarse además, que si utilizan comunicaciones como correos electrónicos para los fines de mercadotecnia directa, se respeten las normas establecidas en las Directivas sobre Intimidad y Comunicaciones Electrónicas. 

También tiene relevancia para las alianzas estratégicas, por ejemplo vinculadas a la posibilidad de compartir datos con un tercero para que este último realice mercadotecnia directa. Un ejemplo de esto puede facilitar entender de qué se trata:

A es WAKKU y tiene una lista de contactos. Establece una alianza con un Gimnasio,  por ejemplo, con la finalidad de que el Gimnasio envíe publicidad o haga mercadotecnia sobre los servicios que presta, porque también están dirigidos a incrementar la felicidad, por ejemplo. Las condiciones de la declaración de confidencialidad  mediante las cuales WAKKU ha informado a sus clientes que podría compartir los datos con socios o aliados estratégicos para ofrecer productos o servicios del ámbito de la felicidad y el fitness es fundamental.  Si se ha dado el consentimiento específico a la posibilidad de que se transmitan los datos a otros destinatarios para su propia mercadotecnia directa, WAKKU puede enviar la lista de clientes al responsable por el tratamiento de datos del Gimnasio. 

ADVERTENCIA GENERAL SOBRE EXENCIÓN DE RESPONSABILIDAD

La UNIÓN EUROPEA hace la advertencia en el sitio WEB de que la Legislación se encuentra en constante cambio a fin de adaptarla a las diversas realidades que surgen y que además, por la naturaleza de la normativa, existe una casuística cuya naturaleza no necesariamente coincide con el supuesto normativo o con las afirmaciones que han sido hechas a la hora de contestar preguntas en el sitio, a título meramente informativo o ilustrativo, lo que da lugar a interpretaciones diversas y también a eventuales conflictos, con graves consecuencias por la consecuente violación de la normativa. La recomendación que hace la Unión Europea es que se tenga muy en cuenta la responsabilidad del tratamiento de datos  y que para ello las empresas y organizaciones contraten asesoría fiable y competente. Es decir, que deja siempre a salvo su propia responsabilidad y advierte que la normativa establece severas sanciones y también obligaciones a las que las empresas están llamadas a prestar atención en su propio interés, si no desean incurrir en violaciones de la normativa que acarrean graves sanciones e indeseables consecuencias.

Dicho lo anterior, pareciera que podría servir para el WEB una leyenda que diga:

Le informamos que WAKKU, tratará sus datos con la finalidad de  mantener su relación con usted o la empresa o entidad para la que usted trabaja o colabora. Asimismo, sus datos podrán ser utilizados para el envío de información promocional sobre las actividades, servicios o iniciativas de WAKKU similares a aquellas a las que usted haya solicitado o en las que haya participado así como de novedades y actualidad relacionada con las diferentes líneas de actividad de WAKKU, que será en todo caso  responsable del tratamiento de sus datos. Para más información sobre el tratamiento de sus datos puede dirigirse al siguiente enlace.

El enlace debería de llevarle a un documento que contenga lo relativo al consentimiento informado y la política de privacidad. Pienso, salvo mejor criterio resultante de las aportaciones que seguramente están Ustedes en mejor condición de hacer, que su contenido  podría ser el siguiente: 

 

POLÍTICA DE PRIVACIDAD

Con motivo de la entrada en vigor el 25 de mayo de 2018 del Reglamento General Europeo de Protección de Datos, le facilitamos la información detallada relativa a la política de privacidad y al tratamiento de sus datos personales por parte de WAKKU. En cumplimiento de esta obligación, le informamos de lo siguiente:

RESPONSABLE Y ENCARGADO DEL TRATAMIENTO

Le informamos que WAKKU, ​​con domicilio en Ronda Guinardo 54, 7-4, Barcelona 08025, ​​es la entidad responsable del tratamiento y gestión de sus datos personales.

Le informamos que sus datos personales serán tratados y gestionados de acuerdo con la normativa vigente y con la máxima confidencialidad por la responsable del tratamiento de los datos personales.

¿QUÉ DATOS PERSONALES TRATAMOS DE USTED, COMO LAS HEMOS OBTENIDO Y PARA QUE LOS TRATAMOS?

Tratamos sus datos personales para remitirle comunicaciones electrónicas sobre actividades, servicios o iniciativas de WAKKU similares a aquellas a las que usted haya solicitado o en las que haya manifestado interés al contactarnos, su participación en actividades de WAKKU o con motivo de contactos previos mantenidos con Usted en el ámbito de las actividades que desarrolla,  servicios que presta e iniciativas de WAKKU. Sus datos también pueden haber sido facilitados por Usted para el mantenimiento de las relaciones entre WAKKU y la empresa o entidad para la que Usted trabaja o colabora. 

Concretamente, WAKKU puede disponer de los siguientes datos facilitados por usted:

Datos identificativos: nombre, apellidos, documento de identidad, sexo, fecha de nacimiento, nacionalidad y país.

Datos de contacto: dirección de correo electrónico, dirección postal, teléfono y población.

Otros datos necesarios para llevar a cabo nuestras actividades: Nivel de estudios y situación laboral.

Para recibir las novedades y actualidad relacionada con las diferentes líneas de actividad, WAKKU puede disponer de los siguientes datos facilitados por usted:

Datos identificativos: nombre y apellido.

Datos de contacto: correo electrónico.

LEGITIMACIÓN. POR QUÉ MOTIVO PODEMOS TRATAR SUS DATOS PERSONALES? 

El tratamiento de sus datos personales está legitimado por el interés legítimo del responsable en atender una solicitud, en el cumplimiento de un contrato en el que Usted es parte, en razón de su participación en actividades de WAKKU o con motivo de contactos previos mantenidos con Usted en el ámbito de las actividades que desarrolla,  servicios que presta e iniciativas de WAKKU, en el entendido de que ha prestado Usted su consentimiento para este fin y que puede ser retirado en cualquier momento.

Asimismo, el tratamiento de sus datos de contacto corporativo se realizará para el mantenimiento de la relación de la empresa, entidad u organización para la que usted trabaja o colabora y responde al interés legítimo de WAKKU expresamente reconocido por la normativa sobre privacidad.

El tratamiento de sus datos personales con el fin de remitirle comunicaciones electrónicas está expresamente autorizado por la ley y responde a la necesidad de mantenerlo informado.

CESIONES A TERCEROS

Le informamos que sus datos no podrán ser facilitados a terceros salvo en los casos en que exista una obligación legal.

TRANSFERENCIAS INTERNACIONALES

WAKKU, para el desarrollo de sus actividades, tienen contratados servicios de empresas proveedoras de tecnología ubicadas en países que no disponen de normativa equivalente a la europea (‘terceros países’). Estas empresas proveedoras han suscrito con WAKKU los contratos de confidencialidad y tratamiento de datos exigidos por la normativa para empresas proveedoras ubicadas en terceros países, aplicando las garantías y salvaguardas necesarias para preservar su privacidad.

Para más información sobre garantías en relación a transferencias internacionales de datos, usted puede contactar con nosotros a través de la dirección electrónica indicada con posterioridad.

DECISIONES AUTOMATIZADAS

WAKKU no adopta decisiones que puedan afectarle basadas únicamente en el tratamiento automatizado de sus datos personales. Todos los procesos de toma de decisiones relacionadas las finalidades de tratamiento de datos, se realizan con intervención humana.

¿DURANTE CUÁNTO TIEMPO GUARDAR SUS DATOS PERSONALES?

Sus datos personales se conservarán mientras se mantenga su relación con WAKKU, mientras sea necesario para las finalidades que han sido  descritas, durante los años necesarios para cumplir con obligaciones legales y mientras Usted no se oponga a ello. 

ACERCA DE  SUS DERECHOS Y EJERCICIO

Las personas titulares de los datos personales podrán ejercer gratuitamente los derechos de acceso, rectificación, supresión, portabilidad de sus datos y la limitación u oposición a su tratamiento. Estos derechos podrán ser ejercitados por las personas titulares o, en su caso, por quien las represente, mediante solicitud escrita y firmada, dirigida a la dirección electrónica  info@wakkuhub.com.  La solicitud debe incluir los siguientes datos: nombre y apellidos de la persona titular de los datos personales, domicilio a efectos de notificaciones, fotocopia del DNI o pasaporte, indicando como referencia “Ref. LOPD WAKKU” así como el contenido del derecho que se desea ejercer.

Las únicas responsables de la veracidad y corrección de los datos personales serán las mismas personas titulares, de modo que exonera Usted en todo caso a WAKKU de cualquier responsabilidad vinculada a la veracidad o necesidades de corrección en razón de cualesquiera derecho que Usted no haya ejercido. 

RECLAMACIONES

En caso de disconformidad con el tratamiento, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (aepd.es).