El sector de las telecomunicaciones al igual que otros muchos, debe mostrar especial atención en materia de protección de datos desde que están vigentes la LOPDGDD y el RGPD. A continuación, vamos a explicar los puntos básicos necesarios para cumplir con la Ley de Protección de Datos en empresas de telecomunicaciones, y así operar de acuerdo con la normativa vigente.

En España, la principal autoridad que regula el cumplimiento de la normativa sobre protección de datos, es la Agencia Española de Protección de Datos (AEPD).

Este precepto se promulga en las leyes y reglamentos, que encontramos en los siguientes textos:

• RGPD (vigente a partir del 25 de mayo de 2018)
• LOPD (España)
• Real Decreto-ley 5/2018 de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos
• Ley General de Telecomunicaciones

El principal ejercicio de derecho que afecta a las operadoras de telecomunicaciones con respecto al RGPD es la necesidad de obtener el consentimiento expreso de los clientes para poder tratar sus datos personales. Esta norma no solo recoge la Ley de Protección de Datos, sino también reconoce los derechos que sobre sus datos personales tienen los propios clientes.

Por tanto, los puntos principales que deben considerarse para cumplir con la Ley de Protección de Datos en empresas de telecomunicaciones son:

1. Registro de actividades de tratamiento

   Se define como actividad de tratamiento de datos cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

   Las empresas como responsables tienen que llevar a cabo un registro de actividades de tratamiento efectuadas bajo su responsabilidad. En el cual se establezca:

   • Tipo de datos que tratan
   • Interesados
   • Legitimación para el tratamiento
   • Finalidad
   • Cesión y transferencias internacionales
   • Almacenamiento
     

   Este registro de actividades de tratamiento puede recogerse tanto por escrito como por medios electrónicos, y siempre debe estar actualizado.

2. Consentimiento de los usuarios

   Se define consentimiento, como toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

   El consentimiento es necesario y se debe solicitar a través de un medio claro y sencillo que permita al usuario decir “sí” o realizar una acción afirmativa similar. En todo caso, el consentimiento debe prestarse libremente.

   La manera en que un ISP suele solicitar ese consentimiento para cumplir con la Ley de Protección de Datos en empresas de telecomunicaciones son:

   • A través de los formularios web.
   • Al acceder en el área de cliente, ya sea a través de la web o desde la app que los operadores hayan habilitado para la autogestión del servicio contratado.
   • Teléfono de atención al cliente: al llamar a ese número, es obligatorio solicitar el consentimiento.

3. Contratos con Encargados de tratamiento
   

   En este apartado cabe distinguir dos conceptos muy importantes a tener en cuenta con el RGPD para cumplir con la Ley de Protección de Datos en empresas de telecomunicaciones.

   Se define responsable del tratamiento a la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento. Por su lado, el encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

   Una vez definidos ambos conceptos, hay que tener en cuenta que toda empresa se ve obligada a ceder datos personales de sus clientes o usuarios en mayor o menor medida, si necesita trabajar con una empresa externa. En el caso de una empresa de telecomunicaciones, por ejemplo, cuanto esta tiene contratada la gestión de clientes con empresas de CRM, los servicios de venta/marketing con una empresa especializada, gestoría contable/laboral, etc. Por ello, es necesario tener una lista de esas empresas externas con las que se tiene contacto y asegurar que ellas también cumplen con la normativa de protección de datos.

   Cabe destacar que el cliente o usuario debe estar al corriente de qué datos suyos pueden estar circulando entre empresas. Para ello, se debe firmar un contrato de encargo de tratamiento con aquellos terceros, en el que se establezcan las obligaciones para proteger los datos personales a los que accedan.

4. Contratos con empleados

   Los empleados de una empresa de telecomunicaciones pueden tener acceso a diferentes tipos de datos personales de los clientes, por lo que debe firmarse entre ellos y la empresa un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. Además, también están obligados, como parte de la protección legal de una empresa, a cumplir con las medidas de seguridad que esta haya establecido para garantizar la protección de los datos personales. Con el contrato de confidencialidad los trabajadores se comprometen a mantener la protección de datos, incluso después de finalizada la relación laboral.

   Según la AEPD, “Todo el personal que accede a los datos de carácter personal está obligado a conocer y cumplir las medidas, normas, procedimientos, reglas y estándares que se refieran a las funciones que desarrolla”.

5. Página web

   Si ofreces los servicios de asesoramiento a través de una página web debes incluir en ella los textos exigidos por la Ley de Protección de Datos y la LSSI:

   • Aviso legal.
     

     El Aviso Legal, en general, es creado para proteger tanto a la empresa o profesional como al usuario de las páginas web. Este es el documento donde se identifica al propietario de la página web. En él debe incluirse al menos: Nombre del propietario; CIF / NIF; Dirección; Email y N.º de inscripción en el Registro Mercantil. También se pueden añadir aspectos relacionados con la propiedad intelectual, normas de uso, protección de datos y limitaciones o exclusiones de responsabilidad por los contenidos. Debe colocarse en un enlace visible a este texto desde cualquier página de la web.

   • Política de privacidad
     

     La política de privacidad es un documento legal que plantea cómo una organización retiene, procesa y maneja los datos del usuario o cliente de la misma. Es importante realizar una revisión constante de la política de privacidad de la empresa y ofrecer una versión actualizada, que incluya toda información acerca del procesamiento de los datos.

   • Política de cookies
     

     Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica. Por tanto, si tu web lo incluye, debes cumplir con la ley de cookies. En este texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

6. Delegado de Protección de datos

   El Delegado de Protección de Datos es la persona nombrada por el responsable del tratamiento que supervisa el cumplimiento de la normativa en materia de protección de datos personales, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos y a la libre circulación de estos.

   Es importante saber que no todas las empresas están obligadas a tener un DPD, según el RGPD existen supuestos de designación obligatoria, así como entidades y organismos que por su propia actividad deberán proceder a esta designación con carácter obligatorio.

   En el caso de las empresas de telecomunicaciones que quieran cumplir con la Ley de  Protección de Datos, lo más sensato es consultar a profesionales expertos en protección de datos, si por sus características y dimensiones de la empresa, deben crear un DPD que salvaguarde los procesos y políticas internas del tratamiento de datos personales. Ya que este proceso resulta difícil de resolver en determinados casos.

7. Derechos de los usuarios

   En anteriores normativas, ya se consideraban diferentes derechos de los usuarios, como son los conocidos derechos ARCO (acceso, rectificación, cancelación y oposición). Aunque es importante considerar que el RGPD introdujo dos nuevos derechos (olvido y portabilidad)

   • El derecho de acceso trata de la posibilidad que una persona pueda solicitar información al responsable de un fichero sobre si sus datos personales están siendo tratados.
     
   • El derecho de rectificación es el que permite a la persona afectada solicitar la modificación de datos que sean inexactos o incompletos.
   • El derecho de cancelación es por el cual el afectado puede solicitar la supresión de los datos que resulten inadecuados o excesivos, sin perjuicio del deber de bloqueo.
     
   • El derecho de oposición se trata del derecho de una persona a oponerse al tratamiento de sus datos personales o al cese de estos.

   Las nuevas incorporaciones según el RGPD.

   • El derecho al olvido podría definirse como el derecho que tiene el titular de un dato personal a borrar, bloquear o suprimir esa información personal que ya no sea tratada conforme a la finalidad inicial o por motivos legítimos.
     
   • El derecho a la portabilidad de datos, se refiere a la traslación de la portabilidad en telefonía. Este derecho se caracteriza por la posibilidad de solicitar al responsable del tratamiento que se le faciliten los datos personales en un formato estructurado y claro a otro responsable.