El conocido como ‘coste cero’ consiste en ofertar servicios a un precio muy bajo o de forma gratuita, abonando los mismos mediante fondos destinados a formación para trabajadores.

La Agencia ha publicado un documento (https://www.aepd.es/media/estudios/coste-cero.pdf)   informativo, elaborado con la colaboración de la Inspección de Trabajo y Seguridad Social y la Agencia Tributaria, que recoge las sanciones que pueden imponerse por las infracciones administrativas que puede entrañar la contratación de este tipo de servicios: se sancionarán, por la Inspección de Trabajo y Seguridad Social, con multas de 626 euros a 187.515 euros

No.  El RGPD no indica un procedimiento específico de cómo se debe llevar a cabo la evaluación del cumplimiento de la normativa. No obstante, según el Artículo 32.1.d del RGPD, establece que el Responsable del tratamiento, debe implementar medidas organizativas y técnicas que garanticen el nivel de seguridad apropiado para el riesgo y que   evaluarán regularmente la efectividad de las medidas garantizando la seguridad de los datos.

Las empresas deberán definir unos protocolos a seguir  para evaluar y garantizar la efectividad de dichas medidas que permitan "demostrar" (tal como les exige la normativa) que cumplen sus obligaciones en esta materia.

Con carácter general y para la implementación del registro de jornada no se precisa el consentimiento del trabajador. La base legal está  en el artículo 34.9 ET. y en  lo previsto en el artículo 6.1.c del Reglamento europeo 2016/679 (RGPD). No obstante lo anterior, la existencia de una lícita condición para el tratamiento de los datos de los empleados sin necesidad del consentimiento de los trabajadores no excluye el deber de las empresas de informar a los trabajadores de la existencia del registro y de la finalidad del tratamiento de los datos personales individuales que se obtienen con dicho registro.

En base a lo que se establece en el Reglamento, el consentimiento debe realizarse claro y afirmativo, siempre tiene que manifestar una voluntad libre, informada, inequívoca y específica de quien firma.

Con la entrada en vigor del reglamento las multas van a aumentar de manera considerable. Existen 2 tipos de multas:

1. Multas de hasta 10.000.000€ para infracciones como las siguientes:

- No diseñar la Política de Privacidad por diseño y por defecto

- No imponer y mantener un registro de actividades de tratamiento.

- No establecer Medidas de Seguridad del tratamiento.

- Violación de datos personales.

- No realizar un infrme previo para la Evaluación del impacto de la protección de datos.

- No designar de un responsable de la protección de datos.

2.Multas administrativas de hasta 20.000.000€:

- Eludir los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento.

- Impedir a los interesados el ejercicio de sus Derechos.

- Transferencias de datos personales a un destinatario en un tercer país o una organización internacional sin las debidas garantías

- El incumplimiento de una orden o una limitación temporal o definitiva en el tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control o la falta de acceso.

La agencia puede iniciar una inspección tanto de oficio como por la denuncia de un tercero. Estos terceros ueden ser competidores, clientes oempleados descontentos, etc.

NO. Es preciso que la recogida de datos haya sido autorizada previamente por el interesado o su representante.

El tratamieneto de los datos de los niños necesitan la autorización de los padres o tutores legales. Al alcanzar los 14 años de edad, ya no necesitan la autorización parental.

La normativa alcanza a todas las empresas públicas y privadas.

Primeramente ha de realizar un análisis de riesgo que consiste en identificar precisamente los peligros y riesgos en la utilización sistemática de la información recabada y tratada. Se llevará a cabo sobre toda la información que fluye en el proceso, marco legislativo y reglamentario, RRHH, aplicaciones, equipamiento, redes de comunicaciones, instalaciones y otros equipamientos auxiliares. 

Es un análisis riguroso de los riesgos que un determinado tratamiento puede entrañar para el derecho a la protección de datos de los afectados, con objeto de adoptar las medidas necesarias para eliminarlos o mitigarlos.

No. Una vez adecuado correctamente a la nueva normativa nacional y europea, Ustede debería de contar con los elementos que le permiten demostrar que cumle con la normativa, debiendo tan solo atender aquellos cambios que se vayan produciendo en el transcursos de su actividad: aaltas de trabajadores (documento de confidencialidad), cambios de proveedores de servicios (contratos de tratamiento), cambios en los sistemas de seguridad como en el caso de las copias de respaldo, etc. Todas estas pequeñas cuestiones deben trasladarse por Usted mismo a los documentos de soporte. No obstante algunas entidades tienen que realizar una auditoria cada dos años, por ejemplo, o prefieren que, aunque su intervención deba ser pequeña, un tercero se encargue de supervisar dichos cambios y mantener el estdo de adecuación actualizado, incluyendo la realización una auditoria bienal que le permita acreditar ante cualquier tercero el cumplimiento normativo alcanzado.