Saltar al contenido principal

Legal requirements

MUSCLEMATE

Musclemate, Grupo 3, Sprint 2

Historial de Versiones

VersiónFechaAutorDescripción
v1.02024-04-01Elena TomásCreación del documento

RGPD

El Reglamento General de Protección de Datos (RGPD) es uno de los primeros factores a considerar con respecto a la legalidad de nuestra aplicación.

Este reglamento se aplica a organizaciones que tratan con datos que tengan sede en la Unión Europea, o si los productos o servicios que ofrecen pretenden tener como público a personas situadas dentro de la Unión Europea.

Conceptos

Datos personales

Se trata de cualquier información que se pueda usar para identificar a una persona. Ejemplos de ello son:

  • Nombre y apellidos
  • Dirección
  • Número del documento de identidad o pasaporte
  • Ingresos
  • Dirección IP de su dispositivo
  • Identificadores de cookies

Adicionalmente, se consideran como datos sensibles las siguientes categorías:

  • Origen racial o ético
  • Orientación sexual
  • Orientación política
  • Creencias filosóficas o religiosas
  • Datos genéticos, biométricos o sanitarios.
  • Infracciones penales

Los datos sensibles no se pueden recabar, a menos que haya una justificación legal.

Sujeto de datos o interesado

Se considera un sujeto de datos como una persona física identificada o identificable.

Controlador de datos

Procesador de datos

Derechos de los sujetos de datos

Los interesados situados dentro de la Unión Europea podrán:

  1. Acceder a la información que se recaba de ellos, con quién se comparte y cómo se usa.
  2. Corregir información incorrecta.
  3. Borrar sus datos que se hayan recogido.
  4. Restringir o impedir el procesamiento de sus datos personales.
  5. Revocar el consentimiento de procesamiento de sus datos.
  6. Transferir sus datos a otro controlador de datos.

Obligaciones para las empresas

  • Los sujetos de datos deberán ser informados de cómo se recaban y se usan sus datos.
  • Se deben mantener registros sobre las actividades de procesamiento sobre los datos.
  • Se deberán mantener las medidas de seguridad y probarlas periódicamente para evitar que los datos sean expuestos.
  • Se deberá notificar a los usuarios en un plazo de 72 horas si se produce una fuga de datos.

Bases legales

Antes de procesar datos, se deben cumplir una de las siguientes condiciones:

  1. Consentimiento: Los usuarios deben poder aceptar la recabación de sus datos. Esto se puede realizar mediante un checkbox que el usuario deba pulsar para aceptar las condiciones. No vale decir que el usuario acepta las condiciones simplemente por usar el servicio, ni que el checkbox esté rellenado con anterioridad.
  2. Contrato: Tienes un contrato con alguien y necesitas sus datos para seguir dicho contrato, o los necesitas para decidir si aceptar el contrato. El último necesita consentimiento previo del sujeto de datos.
  3. Cumplimiento de una obligación legal: Para cumplir con regulaciones legales. Por ejemplo, un banco puede proveer información personal para la prevención de fraudes.
  4. Intereses vitales: En caso de que procesar los datos pueda salvar una vida, ya sea del sujeto de datos o de otra persona. Esta condición debería aplicarse únicamente cuando no se pueda aplicar ninguna otra.

Política de privacidad

Se deberá proveer una política de privacidad que incluya los siguientes apartados:

  1. Tipos de información que se procesan.
  2. Cómo se procesa la información.
  3. Base legal para procesar la información.
  4. Por cuánto tiempo se retiene la información y qué ocurre tras en periodo de retención.
  5. Si la información se comparte con terceros
  6. Los 8 derechos que tienen los interesados.
  7. Información de contacto de la empresa.

Consecuencias por incumplimiento

Si una organización incumple algunas de las restricciones, se puede enfrentar a 2 distintos niveles de multas:

  1. El valor máximo entre una multa máxima de 10 millones de euros o el 2% de ingresos anuales.
  2. El valor máxima entre una multa máxima de 20 millones de euros o el 4% de los ingresos anuales. Además, los sujetos de datos afectados pueden solicitar una idemnización por daños y perjuicios.

Impactos en nuestra aplicación

Debido a que nuestra organización se sitúa en España, que es un país miembro de la Unión Europea, se nos aplica el RGPD. Como nuestros servicios orientados a gimnasios son dependientes de la recabación de datos de sus clientes, debemos asegurarnos de que estos últimos puedan cumplir sus derechos tal como se indica en el reglamento.

Por ello, tendremos que asegurar que se cumplan las siguientes medidas:

  1. Tener una política de privacidad actualizada que informe a los usuarios sobre la recogida y tratamiento de sus datos.
  2. Tener un documento actualizado de términos y condiciones para el correcto uso de la aplicación.
  3. Asegurar que los clientes puedan acceder a los documentos mencionados en anteriores puntos antes de crear una cuenta dentro de la aplicación.