• Horario: 09 a 19
  • info@legalglobal.es

Legal Global

Consultoría Compliance

Protección de datos para Detectives Privados

Spread the love

La actividad de los detectives privados conlleva, el tratamiento de datos personales, no solo del particular que los contrata, sino también de la persona u organización objeto de su investigación.

Tipos de detectives privados y los datos que manejan

Existen distintos tipos de detectives: detectives penales, detectives laborales, detectives civiles, detectives mercantiles, detectives informáticos, detectives familiares, detectives corporativos o financieros, etc.

Los detectives familiares son los que se dedican a investigaciones relacionadas con conflictos de custodia por divorcios, impagos de pensiones por parte del cónyuge, declaraciones falsas de convivencia, localización de seres queridos desaparecidos o investigaciones de parentescos. Además, son una figura fundamental en los repartos de herencias sin testamento, puesto que aportando pruebas o encontrando a familiares pueden cambiar la división del patrimonio pendiente de sucesión.

Los detectives de investigaciones laborales. Suele colaborar con las mutuas y aseguradoras y formar equipo con los detectives financieros y de empresa. Están especializados en detectar bajas fingidas, fraudes laborales generalizados, informes de comportamiento de empleados, investigación de robos dentro del negocio o de filtraciones de información por parte de directivos. Asimismo, suelen ser de gran ayuda en los procesos de selección de nuevos candidatos para puestos de cierta importancia.

Los detectives informáticos son los que se introducen en los sistemas tecnológicos de las empresas y trabajan para detectar fugas de información, combatir ataques y proteger los archivos más comprometidos de la firma. Tienen un perfil de detective forense digital nato y son auténticos magos de Internet y la seguridad online. 

Los detectives corporativos o financieros se especializan en recopilar información para empresas e industrias.

Los detectives penales se encargan de resolver casos, por ejemplo, de blanqueo de capitales o corrupción. 

Los detectives mercantiles atienden casos de delitos económicos, competencia desleal, casos de bienes para embargos, patrimonios y estafas, insolvencias fraudulentas, etc.

Los detectives civiles asumen casos relacionados al acoso laboral o “mobbing”, infidelidades, entre otros.

Los detectives para casos de infidelidad, que son los que más trabajo de calle suelen realizar: seguimientos, capturas de fotos y vídeos, informes detallados de movimientos y horarios, camuflaje y escucha. 

Algunos de los datos que se recogen están especialmente protegidos, tales como los datos penales de los clientes o afectados, así como los relativos a la salud, de orientación sexual, origen étnico, etc.

  • Clientes
  • Empleados
  • Proveedores
  • Contabilidad
  • Videovigilancia, en su caso
  • Expedientes de los clientes
  • Candidatos
  • Contacto Web y Redes Sociales
  • Fotos, videos y voz

Por este motivo, además de que los datos que recogen lo realizan sin el consentimiento del afectado, es fundamental que los detectives cumplan con la Ley de Protección de Datos y observen todas las obligaciones recogidas en ella.

En esta guía vamos a explicar paso a paso cómo pueden cumplir con la Ley de Protección de datos los detectives privados.

Normativa de Protección de de Datos que afecta a los detectives privados

Tanto si se trata de un detective privado como de un despacho de detectives privados, están obligados a cumplir con la normativa actual de protección de datos, cuya regulación está recogida en las siguientes leyes:

  • Reglamento Europeo de Protección de Datos (Reglamento General de Protección de Datos)
  • LOPD (Ley Orgánica de Protección de Datos)
  • LSSI (Ley de servicios de la sociedad de la información y de comercio electrónico)
  • Ley de Seguridad Privada, 5/2014, de 4 de abril.

¿Cómo deben cumplir los detectives privados el Reglamento de Protección de datos?

Cuando una agencia de detectives privados o un profesional independiente son contratados por un cliente, no solo estarán accediendo a los datos personales de este, sino que es posible que también lo hagan sobre la persona objeto de la investigación. Por ello, como deben cumplir las obligaciones de protección de datos para empresas y llevar un correcto manejo de los datos de carácter personal, sobre todo si acaban accediendo a datos de categorías especiales.

Para cumplir con la Ley de Protección de Datos en España los detectives privados deben llevar a cabo estas actuaciones principales:

  1. Realizar un Registro de actividades de tratamiento
  2. Realizar un Análisis de riesgos
  3. Evaluación de Impacto
  4. Firmar los contratos con terceros
  5. Firmar las cláusulas legales con los empleados
  6. Solicitar el consentimiento a los clientes
  7. Incluir los textos legales en la página web
  8. Notificar brechas de seguridad
  9. Elaboración del documento de seguridad
  10. Delegados de Protección de Datos

Veamos en detalle algunas de estas actuaciones, para despejar todas tus dudas.

1. Crear un registro de actividades de tratamiento

Toda empresa que maneje datos personales debe saber qué tipos de datos maneja y en qué cantidad lo hace, para ello se realiza un registro de actividades de tratamiento, en el que se «responden» a cuestiones como:

  • Tipo de datos que recopilas
  • Política de almacenamiento de esos datos
  • Si cedes esos datos o los transfieres fuera de nuestro país
  • Finalidad del tratamiento
  • Medios de tratamiento

El registro de actividades de tratamiento se podría elaborar tanto por escrito en papel o recopilar en formato electrónico. Además, es importante mantenerlo actualizado siempre, puesto que es el documento que con toda seguridad la Agencia Española de Protección de Datos va a solicitar en caso de una inspección.

2. Análisis de riesgos

Realizar el tratamiento de datos personales puede entrañar riesgos que deben analizarse para poder establecer las medidas de seguridad necesarias y así evitar problemas futuros, como pérdida o robo de los mismos.

Para realizar el análisis de riesgos, los investigadores privados deben tener en cuenta, entre otras, estos puntos:

  • la naturaleza de los datos,
    • identificativos
    • financieros
    • penales
    • de salud ….
  • el tipo de tratamiento:
    • ¿dónde se almacenan los datos?
    • ¿durante cuánto tiempo?
    • ¿en un fichero o en una base de datos?
    • ¿en qué equipos?
  • el número de interesados afectados;
    • 1.000
    • 5.000
    • 50.000 …

3. Evaluación de impacto

En caso de existir un riesgo especialmente alto derivado del tipo de datos que se trata como detective privado, que pueda afectar o perjudicar a los derechos o libertades de los usuarios, habrá que realizar una evaluación de impacto que, debería llevar a implementar las medidas de seguridad necesarias para evitar problemas, infracciones (voluntarias o no) y sanciones.

Dado que los detectives realizan un tratamiento de categorías especiales de datos ya que manejan datos financieros y de crédito, impuestos, rentas, e incluso datos de salud de los investigados. Por eso estás obligado a hacer esa Evaluación de impacto.

4. Contratos con terceros

En el caso de que las empresas o profesionales externos puedan tener acceso a datos personales de tus clientes o empleados (como puede ser un colaborador externo, una empresa de mantenimiento informático, una asesoría laboral que se ocupe de las nóminas de tus empleados,  o asesoría fiscal para la gestión de los impuestos, etc.), tendrás que hacer una lista de las mismas y, además, firmar un contrato de encargo de tratamiento.

Este contrato, que sirve para acordar las responsabilidades en cuanto a protección de datos de las partes, te servirá para asegurarte de que esas terceras partes cumplen debidamente con la Protección de datos y que llevarán a cabo un trato debido de los datos a los que puedan acceder.

También será necesario que informes a tus clientes y empleados sobre los terceros que pueden tener acceso a sus datos y con qué fines.

5. Acuerdos de confidencialidad con empleados

Si hay trabajadores contratados y estos pueden tener acceso a datos personales de clientes o de otros empleados, es necesario que firmen un acuerdo de confidencialidad o que existan en sus contratos laborales cláusulas de confidencialidad. De esta manera nos podemos asegurar de que no filtren información o datos sensibles a personas no autorizadas.

Aparte, también deben estar informados sobre las medidas de seguridad implementadas en materia de protección de datos y los riesgos a los que pueden estar expuestos, especialmente aquellos relacionados con los ciberataques, puesto que el robo de datos personales con fines fraudulentos está a la orden del día.

6. Consentimiento de los clientes de detectives privados

Con la entrada en vigor del Reglamento Europeo de Protección de Datos, todas las empresas y negocios, incluidos los detectives privados, tienen la obligación de contar con el consentimiento expreso de sus clientes para poder tratar sus datos. Este consentimiento debe ser informado y se puede obtener a través de dos formas:

En la web

Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.

En la oficina

En caso de que el cliente facilite sus datos personalmente en la oficina, debe firmar un documento en el que se le informe sobre:

  • finalidad para la que se van a usar los datos,
  • si se van a ceder a terceros,
  • responsable del tratamiento  y
  • el medio por el que puede ejercer sus derechos ARCO.

Este consentimiento expreso persigue como objetivo que los ciudadanos estén mejor informados respecto a los fines para los que son recabados sus datos personales y quiénes tendrán acceso a los mismos más allá de la entidad que los está recogiendo.

7. Página web

Si un despacho de detectives privados o un profesional independiente cuentan con una página web en la que ofrecen sus servicios, para cumplir con la ley actual, deben incluir en ella los textos exigidos por ella y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Política de privacidad

Es importante revisar la política de privacidad de la web y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

  • ¿Dónde se utilizan estos datos?
  • ¿Se está haciendo con el consentimiento de los usuarios?
  • ¿Tiene fines comerciales?
  • ¿Se realizan cesiones a terceros o transferencias internacionales?

Así, al solicitar los datos personales del cliente, en el formulario tendrás que informar expresamente de:

  • existencia de un tratamiento de los datos que se le están solicitando,
  • finalidad,
  • destinatario o destinatarios de aquella información,
  • identidad y dirección del responsable del tratamiento de los datos y
  • posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, debes asegurarte de que esta nueva versión se publique en la web.

Este es el documento donde se identifica al propietario de la página web. En él debes incluir:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

8. Derechos de los usuarios

La normativa vigente en protección de datos dice que los usuarios (interesados) podrán, en cualquier momento, ejercer una serie de derechos respecto a los datos personales que hayan cedido a terceros. Estos derechos son:

  • acceso a los propios datos personales;
  • rectificación si los datos son inexactos;
  • supresión (derecho al olvido) si se tratan de forma ilegal o ya no son necesarios para la finalidad con que se recogieron;
  • limitación del tratamiento;
  • portabilidad de los datos;
  • oposición a un uso posterior con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; y
  • a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

Tanto si eres un detective privado autónomo como si tienes una agencia, debes habilitar los medios necesarios para que tus clientes puedan ejercer estos derechos cuando así lo deseen. Además, estos medios deben quedar especificados de manera clara en el documento de consentimiento y en la política de privacidad de la web.

9. Notificar brechas de seguridad

Si los archivos o bases de datos donde se almacenan los datos personales queda expuesta de alguna forma, permitiendo el acceso a dichos datos a terceras personas ajenas a la empresa, existe la obligación de informar en un plazo no superior a 72 tanto a los afectados como a la Agencia Española de Protección de datos.

Así que lo mejor que puede hacerse para poder cumplir con el plazo, es contar con protocolos de actuación ante este tipo de situaciones, que también incluyan las medidas a tomar para parar el ataque y solucionar los problemas de seguridad que lo ha propiciado.

10. Nombrar un Delegado de Protección de Datos (DPD/DPO)

Solo si se maneja un gran volumen de datos o estos son de carácter especial, se tendrá obligación de nombrar un Delegado de Protección de Datos (DPO). Se trata de un profesional con la cualificación necesaria en esta materia para que salvaguarde los procesos y políticas internas del tratamiento de datos personales.

Además, para cumplir con el principio de información del nuevo Reglamento Europeo de Protección de datos, la designación del DPO y sus datos de contacto deben hacerse públicos y deberán ser comunicados a las autoridades de supervisión competentes.

El Delegado de Protección de Datos podrá ser tanto una persona en plantilla de la empresa como una externa y el cargo podrá ser desempeñado también por una empresa que ofrezca el servicio.

11. Elaboración del documento de Seguridad

Nuestra entidad redactará un documento de seguridad, en el que se incluya toda la información aquí indicada en la guía. Es decir, las actividades de tratamiento, el análisis de riesgos, las evaluaciones de impacto, las medidas técnicas y organizativas, las cláusulas legales para los clientes, proveedores, trabajadores, páginas webs, los contratos con terceros, etc.

Sanciones

Hay que tener en cuenta que no cumplir con el Reglamento Europeo de Protección de Datos, independientemente de que sea algo voluntario o a causa de un incidente o un error interno de algún empleado, puede provocar que tu despacho o agencia de detectives privados sufra una inspección o investigación regulatoria, algo que consumirá tiempo y recursos.

Pero además, puede conllevar enfrentar sanciones impuestas por la Agencia Española de Protección de Datos, que pueden suponer una multa que en sus valores máximos podría llegar a suponer el 4% del volumen de negocio del último ejercicio, 20 millones de euros para las infracciones más graves, o hasta el 2% o 10 millones de euros para cuestiones de índole administrativo.

Aquí tienes algunos ejemplos de sanciones impuestas por la Agencia Española de Protección de Datos a despachos de detectives privados:

1. Instalar cámaras de videovigilancia que graban la vía pública

Si instalas cámaras de Videovigilancia en tu despacho, debes informar correctamente mediante los correspondientes carteles. Además debes tener en cuenta que no puedes grabar la vía pública ni propiedades de terceros. También es conveniente informar a los empleados de la instalación de las videocámaras. Resolución Agencia Española de Protección de Datos E/01403/2012

2. No atender debidamente el ejercicio del derecho de acceso

El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos. El responsable del fichero resolverá sobre la solicitud de acceso en el plazo máximo de un mes a contar desde la recepción de la solicitud. Resolución Agencia Española de Protección de Datos R/01001/2016

Preguntas frecuentes

¿Es posible investigar los datos personales en materia financiera sin vulnerar la Ley?

Sí. Los detectives privados están habilitados por la Ley de Seguridad Privada para investigar este tipo de información sensible a la hora de elaborar informes que las entidades financieras pueden presentar como prueba en un juicio.

Pueden obtener información de personas, siempre que no se utilicen para ello “medios materiales o técnicos que atenten contra el derecho al honor, la intimidad personal o familiar”.

¿Debo someter a auditorías o inspecciones mi trabajo por el Reglamento Europeo de Protección de Datos?

En el Reglamento Europeo de Protección de Datos no existe obligación de que se realicen auditorías o inspecciones periódicamente. Pero la Agencia Española de Protección de Datos, como autoridad de control, tiene la potestad de llevarlas a cabo dentro de sus competencias de inspección. Sin embargo, esto no significa que las auditorías o inspecciones autoimpuestas no sean aconsejables o incluso un requisito de hecho para el cumplimiento del Reglamento Europeo de Protección de Datos.

¿Puedo comunicarme con mis clientes a través de WhatsApp?

, puedes utilizar este sistema de comunicación con los clientes. Pero necesitas su consentimiento expreso para ello.

A partir de la entrada en vigor del Reglamento Europeo de Protección de Datos los autónomos y empresas que utilicen WhatsApp con sus clientes podrían ser multados al ser éstos los responsables del tratamiento de los datos de sus clientes, sobre todo si no se ha requerido el consentimiento del afectado de forma libre, informado y específico. Es decir, hay que advertir que WhatsApp puede compartir sus datos con la red social Facebook de forma clara para que el usuario consiente dicho traspaso de información. Este sistema agiliza mucho la comunicación, ya que prácticamente todo el mundo lo tiene instalado y por ello es fundamental recoger correctamente los consentimientos de los usuarios.

¿Puede una mutua utilizar detectives privados para la investigación de bajas laborales?

Sí, pueden hacerlo siempre que tengan un interés legítimo en esa investigación.

Cualquier persona, ya sea física o jurídica, no puede encargar libremente a detectives privados para realizar una investigación concreta sobre una tercera persona, ya que supondría una vulneración en su intimidad, sino que deberá existir una motivación e interés legítimo que permita ampararlo, y que guarde relación directa con la persona investigada.

¿Cómo puedo demostrar que cumplo el Reglamento Europeo de Protección de Datos?

Ante la Agencia Española de Protección de Datos los detectives privados pueden demostrar el cumplimiento del Reglamento Europeo de Protección de Datos de las siguientes formas:

  • Estableciendo políticas internas de protección de datos.
  • Obteniendo certificaciones de protección de datos por parte de organismos de certificación acreditados.
  • Ejecutando las directrices dadas por el Consejo Europeo de Protección de Datos.
  • Adoptando códigos de conducta aprobados por asociaciones y otros organismos que representan categorías de responsables y encargados del tratamiento.
  • Cumpliendo las indicaciones específicas dadas por un Delegado de Protección de datos.

¿Necesitas Ayuda?

Escríbenos a info@legalglobal.es

Más información de nuestros servicios en materia de la Ley Orgánica de Protección de Datos y de Garantía de Derechos Digitales (LOPDGDD): https://www.legalglobal.es/proteccion-de-datos/

Abrir chat
Powered by Joinchat
Hola 👋
¿En qué podemos ayudarte?