Tengo una página web sobre tema deportivo con tienda virtual y foro, varios miles de usuarios registrados, ventas y tema de pagos por tarjetas de crédito/debito y transferencia bancaria. Todo lo que cabe en una página con cierto tráfico. El tema es que lo que en un principio daba para vivir (antes de la crisis) ahora no. Así que tuve que dejarlo como segunda actividad en mis ratos fuera del trabajo. Tengo una vecina y amiga de confianza que me ha venido gestionando algo el tema para no dejar desatendida la asistencia y contacto de la web y el tema de pedidos durante demasiadas horas al día (concretamente lo que tardo en salir de casa y volver del trabajo, que son casi 10 horas). Le doy un dinerillo para que me mire varios buzones y vea el panel de pedidos a tres horas del día muy concretas. El asunto es que con el cambio de la ley me pregunto si este proceder puede darme algún problema.
Entra en los buzones y la web a primera mañana, alrededor de las 12:00 y luego a las 4 o 5 de la tarde desde su propia casa. Todo muy discreto y sin problemas hasta la fecha (desde 2012). Nunca ha pasado nada pero ahora con la nueva ley se me antoja que igual algo haya cambiado y esto no sea tan llevadero, si me entendeis.
UFFF!!! ¿Qué problema hay? Llevamos un porrón de años haciendo esto y nunca ha pasado nada. Nadie se ha quejado de nada. Ahora es hay mucho problema. ¿Qué problema es? Todo está legal y las cosas se hacen como es debido con toda la sección de privacidad bien establecida y todo conforme.......??????????????????
Esa amiga que dices te atiende el asunto de la tienda, los mails y el foro ¿está debidamente nombrada como encargada del tratamiento de todos estos datos personales?
Dices que son miles de usuarios registrados.
He creado y gestionado tiendas virtuales, propias y de terceros, y el registro incluye todos los datos para la realización y procesado de pedidos, como son el nombre completo, dirección física, email, número de teléfono, y en ocasiones otros.
¿Cumple tu amiga con los criterios y requisitos para acceder y hasta manejar esa base de datos? Además del citado nombramiento en forma.
Es más, ¿cumple el acceso físico de tu amiga con las medidas de seguridad exigidas? ¿o se trata de una persona en su casa con un PC de uso común en la familia o pequeño negocio? Si accede a las horas del día que comentas, lo normal es que esté en su casa o se dedique a alguna actividad como autónoma.
No hay ningún nombramiento ni nada. Es una vecina ama de casa desde la crisis. Antes trabajaba como auxiliar administrativa en una empresa industrial y todo se realiza desde el PC de su casa. Mucho aciertas tu....
Hay algún problema con todo esto???? Hasta ahora no ha pasado nada.
También me conecto yo alguna vez desde una tablet en un momento libre. Muy poco frecuente.
Mira a mí me parece que esto no concuerda con lo que yo he leído por ahí porque yo he ido cumpliendo con todos los requisitos para estar al día en protección de datos y LSSI, y esto me parece como un sacaperras o algo así. ¿Es para sacar la pasta....?
No creo que hayas cumplido con tales requisitos a la vista de tu proceder.
Como te he indicado anteriormente, el encargado del tratamiento debe ser una persona debidamente cualificada en materia de protección de datos, nombrada en forma y al cargo de la actividad mediante la utilización de medios y procedimientos técnicos que garanticen la seguridad de los datos personales gestionados.
Esto ya se apuntaba y se desarrolló durante la vigencia de la anterior LOPD, y ha venido a detallarse de forma clara y precisa en el nuevo RGPD.
Si quieres leerlo por ti misma, puedes leer las partes de los considerandos 78 y 81, y del artículo 28 del citado Reglamento:
"(78) La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del presente Reglamento. (...) y que se aseguren, con la debida atención al estado de la técnica, de que los responsables y los encargados del tratamiento están en condiciones de cumplir sus obligaciones en materia de protección de datos. (...)."
"(81) Para garantizar el cumplimiento de las disposiciones del presente Reglamento respecto del tratamiento que lleve a cabo el encargado por cuenta del responsable, este, al encomendar actividades de tratamiento a un encargado, debe recurrir únicamente a encargados que ofrezcan suficientes garantías, en particular en lo que respecta a conocimientos especializados, fiabilidad y recursos, de cara a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del presente Reglamento, incluida la seguridad del tratamiento. (...) El tratamiento por un encargado debe regirse por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros que vincule al encargado con el responsable, que fije el objeto y la duración del tratamiento, la naturaleza y fines del tratamiento, el tipo de datos personales y las categorías de interesados, habida cuenta de las funciones y responsabilidades específicas del encargado en el contexto del tratamiento que ha de llevarse a cabo y del riesgo para los derechos y libertades del interesado. (...)."
"Artículo 28
Encargado del tratamiento
1. Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.
(...)
3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:"
Desarrollado ampliamente en las letras a) a h).
------------------------
Como te indiqué arriba:
1. Falta de nombramiento en forma del encargado del tratamiento.
Que no lo hay, según tus propias palabras.
2. Falta de capacidad acreditada, resultando más que posiblemente en que no haya nada que acreditar sino una absoluta falta de capacidad.
Tu amiga, ama de casa según comentas, no puede estar cualificada según el nivel exigido por la nueva normativa. Si lo estuviese, no necesitarías consultar en este foro.
3. Falta de medidas de seguridad adecuadas al tratamiento.
Derivado del punto anterior. Es muy improbable que un ordenador personal instalado en un piso familiar ofrezca un entorno seguro de trabajo desde el que manejar "miles de perfiles de usuarios", según también comentas. Seguramente será utilizado por todos los miembros de la familia para sus quehaceres diarios, entrada en redes, descargas variadas desde cualquier tipo de página, instalación de programas sin garantías, posiblemente sin ninguna suite de seguridad o utilizando una gratuita, y el largo etcétera de situaciones propias del entorno familiar totalmente incompatibles con un tratamiento seguro de los datos.
Yo lo que había hecho es leerme una guía e intentar hacer las cosas bien, preguntando en sitios como aquí. No sabía que estabamos ante tantas complicaciones.
Efectivamente mi amiga no está puesta en protección de datos. Lo justo que vio cuando trabajaba de administrativa pero no en plan abogada como tú.
Veo que con mirar en guías no vale. Antes sí. Ahora esto se ha puesto complicado y da hasta miedo....
Conozco esas guías. Sirven para un tema básico y sin demasiadas complicaciones; que no para resolver casos específicos o problemas concretos.
Se ha complicado, sí.
En cualquier caso, tu caso lo es más de riesgo que de cumplimiento. Aunque tu actual falta de adecuación constituya una irregularidad sancionable, el verdadero problema reside en la posible responsabilidad en caso de que se produzca alguna situación con respecto a los datos de esos perfiles de usuarios.
Como te dije coloquialmente en la primera respuesta, mucho problema.
¿Alguna situación? ¿Qué situación? Por favor las cosas claras porque esto me está pareciendo un laberinto de cuestiones que cada vez se complican más y más.
Para mí no hay ningún laberinto ni complicaciones. Es bien simple y no me extenderé en motivaciones.
Si se produce algún problema con los datos personales derivado de la falta de cualificación o de la precariedad técnica de la gestión de tu amiga, las responsables seréis tú y tu amiga.
Pero sobre todo tú.
Si no se te ocurren los posibles escenarios, te listo algunos que he visto a lo largo de estos años:
1. Sustracción de datos personales de ordenadores infectados malware para su utilización en fórmulas delictivas basadas en usurpación de identidad.
2. Utilización de esos mismos datos en campañas de spam tras la conversión del PC en parte de una red botnet.
3. Sustracción y venta de los datos personales en forma de bases de datos para propósitos de marketing y publicidad en distintas modalidades (ilegales).
Además, ten en cuenta que el tratamiento de datos personales requiere de unas formalidades y obligaciones que dudo mucho conozca tu amiga. Especialmente en lo referente a la respuesta ante solicitudes de ejercicio de los derechos de acceso, rectificación y supresión, limitación, portabilidad y oposición.
Ni se os ocurriría que estáis cometiendo un error hasta que recibieseis el aviso de inspección o una denuncia.
Se trata de hacer una consulta en un despacho o a profesional cualificado para que te informen sobre lo tienes que hacer en cada caso. No obstante, insisto en que un sitio web como el tuyo es algo muy dinámico y con problemas variables que pueden presentarse sin avisar.
Está claro, pero ¿no me podrías decir al menos cómo hacer el tema del contrato de nombramiento de tratador de datos para mi amiga? Por lo menos para tener ese tema cubierto.
En cualquier caso, no es tan sencillo. Aunque te pudiera indicar la forma de realizar el contrato de nombramiento de encargado del tratamiento (no "tratador", que no existe), siguen sin cumplirse los requisitos de capacidad bastante y seguridad de la estructura con la que trabaja.
Tampoco se resuelven cuestiones como la más que posible obligación de elaborar una evaluación de impacto con respecto al tratamiento que estáis haciendo, ni la obligación de registro de actividad, y tantas otras anexas a la actividad de tratamiento de datos de carácter personal.