Tabla de contenidos
De entre las casi infinitas obligaciones y normativas que se imponen al desarrollo de una actividad económica, la normativa de protección de datos es de las más incomprendidas y puede que por eso, de las que más se incumplen.
Su incumplimiento puede acarrear sanciones de la Agencia Española de Protección de Datos. Además de una crisis reputacional frente a clientes o usuarios, cada vez más concienciados sobre la importancia de la privacidad. Por eso resulta crítico para las empresas contar con servicios de protección de datos altamente especializados.
En este artículo intentaremos acercar la normativa de protección de datos y su razón de ser a las PYMES, y explicaremos cómo adaptarse a la misma en 8 pasos.
¿Qué es la normativa de protección de datos?
En España, cuando hablamos de la normativa de protección de datos, nos referimos principalmente a dos normas:
- RGPD: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
- LOPDYDD: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
El RGPD es un Reglamento Europeo aplicable a todos los países de la UE. Mientras que la LOPDYDD es una ley española. Las PYMES españolas, que desarrollen su actividad en España, están obligadas por estas dos normas.
¿Cuáles son los principios del Reglamento de Protección de Datos?
La normativa de protección de datos europea se considera la más exigente del mundo, y la más protectora para los derechos de las personas.
El Reglamento cuenta con unos principios que deben guiar la política de protección de datos dentro de una organización, incluidas las PYMES. Estos principios son los siguientes:
- Licitud: Según este principio, para poder recabar y tratar datos personales se debe contar con el consentimiento del interesado. Para que este consentimiento sea válido, debe ser una manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. Solo podremos recoger y tratar datos personales sin el consentimiento del titular de los mismos cuando resulte necesario para:
- Ejecutar un contrato
- Cumplir una obligación legal
- Proteger intereses vitales (del interesado u otra persona)
- Interés público
- Interés legítimo
- Lealtad y transparencia: La información relativa al tratamiento debe ser fácilmente accesible, fácil de entender y expresarse en lenguaje claro y sencillo.
- Limitación de la finalidad: La finalidad de la recogida y tratamiento de los datos debe ser explícita, determinada y legítima. Y los fines deben ser adecuados, pertinentes y limitados. Este principio contiene una excepción que permite la utilización de los datos para fines estadísticos o de investigación científica.
- Limitación del plazo de conservación: Exige establecer plazos o criterios para la supresión de los datos o su revisión periódica.
- Minimización: Impone minimizar los datos que se recogen, el tratamiento que se hace, el plazo de conservación y las personas que tienen acceso a los mismos. No deben recogerse más datos de los estrictamente necesarios para la finalidad concreta para la que se vayan a utilizar.
- Exactitud: Establece como obligación del responsable mantener los datos exactos y actualizados.
Responsable de tratamiento y encargado de tratamiento: cómo saber qué papel nos corresponde
Para poder entender y aplicar correctamente la normativa de protección de datos es imprescindible distinguir entre responsable y encargado del tratamiento. Dos posiciones diferentes que conllevan distintas obligaciones.
Una PYME será responsable del tratamiento de datos personales si determina los fines y medios del tratamiento. Es decir, si establece para qué recoge los datos personales, y cómo los va a tratar.
Sin embargo, una PYME será encargada del tratamiento cuando trate datos personales por cuenta de un responsable, que es quien ha fijado los fines y medios del tratamiento.
Por ejemplo: una clínica dental será responsable de los datos personales de sus pacientes. Recoge estos datos, y determina los fines y medios del tratamiento de los mismos. Mientras que el laboratorio de prótesis dentales al que la clínica encarga las piezas para sus clientes, será encargado del tratamiento de esos datos personales, que tratará por cuenta de la clínica y bajo sus directrices.
La adaptación de la PYME a la normativa de protección de datos en 8 pasos:
Ahora que hemos visto cuáles son las normas aplicables, los principios que deben guiarnos, y las diferencias entre responsable y encargado del tratamiento, ¿cuáles son los pasos que debe dar una PYME para adaptarse a la normativa de protección de datos?
Designar a un Delegado/a de protección de datos, o identificar a la persona responsable de coordinar la adaptación
El Delegado/a de Protección de Datos es una persona o empresa con determinado grado de independencia que se encargará de la adaptación al RGPD y de su cumplimiento, que debe contar con conocimientos especializados del Derecho y práctica en protección de datos.
Puede ser personal interno o externo, persona física o persona jurídica, y hay que nombrarle ante la AEPD.
El Delegado de protección de datos puede nombrarse voluntariamente, pero es obligatorio hacerlo en los supuestos legalmente obligatorios que contienen el art. 37.1 del RGPD y el 34 de la LOPDYGDD.
Si tu PYME no tiene obligación de designar delegado de protección de datos, y no quieres nombrarlo voluntariamente, deberás identificar a la persona responsable de coordinar la adaptación a la normativa de protección de datos.
En este sentido, hay que señalar que se está tramitando una ley que previsiblemente establecerá la obligación de nombrar delegado de protección de datos para todas las empresas con 50 o más trabajadores.
Elaborar el Registro de Actividades de Tratamiento (RAT)
En principio no es obligatorio para empresas de menos de 250 trabajadores, a menos que el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos o datos relativos a condenas e infracciones penales.
En la práctica, todos los tratamientos pueden suponer un riesgo para los derechos y libertades de los interesados, aunque se realicen de forma ocasional: la mayoría de los responsables o encargados del tratamiento que empleen a menos de 250 trabajadores estarán obligadas a llevar un registro de actividades de tratamiento.
Suele organizarse por categorías de datos, que se desglosan después en las operaciones de tratamiento. Por ejemplo: datos de clientes, que se tratarán para comunicaciones comerciales, facturación, etc.
El contenido obligatorio del registro de actividades de tratamiento es diferente para los responsables y encargados de tratamiento. La información que debe contener está recogida en el artículo 30 del RGPD: en el apartado 1 para los responsables de tratamiento, y en el 2 para los encargados.
Realizar un análisis de riesgos y, en su caso, una evaluación de impacto
El análisis de riesgos debe realizarse siempre. Cuando de éste se concluya que algún tratamiento puede entrañar un riesgo alto para los derechos y libertades de las personas físicas, debe realizarse la evaluación de impacto.
Además, la evaluación de impacto será requerida siempre, en caso de:
- a) Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
- b) Tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o
- c) Observación sistemática a gran escala de una zona de acceso público.
Para realizar el análisis de riesgos y la evaluación de impacto, la AEPD cuenta con una Guía.
Para la evaluación de impacto puede consultarse la Guía para la elaboración de evaluaciones de impacto de protección de datos (Guidelines on Data Protection Impact Assessment).
Si como resultado de la evaluación de impacto, alguno de los tratamientos presenta riesgo alto, debe remitirse una consulta previa a la AEPD (36 RGPD).
Establecer medidas de seguridad
Una vez hemos analizado los riesgos, debemos establecer las medidas de seguridad adecuadas para neutralizarlos. Las medidas de seguridad deben adaptarse a cada caso concreto, los tratamientos que se realicen y los riesgos que existan. No obstante, algunas medidas de seguridad genéricas aconsejables son las siguientes:
- Establecer mecanismos de autorización y control de los accesos a los datos personales.
- Proteger las instalaciones
- Dotarse de productos de seguridad y contratar de servicios de seguridad como por ejemplo, antivirus.
- Mantener actualizados los equipos y dispositivos informáticos.
Contar con un procedimiento para la notificación de brechas de seguridad
Estamos ante una brecha de seguridad cuando se produce el acceso o comunicación no autorizado a datos personales, o la destrucción, pérdida o alteración no permitida de los mismos.
El artículo 33 del RGPD establece la obligación para el responsable de tratamiento de notificar esta brecha a la AEPD cuando suponga un riesgo para los derechos y libertades de las personas. Además, cuando el riesgo se alto, el responsable debe notificarlo también a las personas afectadas.
El plazo para notificar la brecha de seguridad a la AEPD es de 72 horas desde que se haya tenido constancia.
Como parte de la adaptación al RGPD, la PYME debe contar con un procedimiento prestablecido para notificar las brechas de seguridad en caso de que se produzcan.
Garantizar el derecho de información a los interesados
Uno de los pilares para adaptar una PYME a la normativa de protección de datos es garantizar a los interesados el derecho a la información sobre el tratamiento de sus datos, y con carácter mínimo habrá que informarles de lo siguiente:
- Quién es el responsable: quién va a tratar los datos
- Fines del tratamiento: para qué se van a tratar los datos
- Duración del tratamiento
- Destinatarios
- Riesgos del tratamiento
- Normas que lo rigen
- Salvaguardas
- Derechos que le corresponden y modo de ejercerlos
Supervisar las garantías de los encargados de tratamiento y adaptar sus contratos.
Como parte de la adaptación a la normativa de protección de datos, el responsable de los mismos debe supervisar las garantías que ofrecen al respecto aquellas empresas o personas que vayan a ser encargados del tratamiento.
Las PYMES deberán contar con un contrato de encargo de tratamiento con estos encargados, con el siguiente contenido mínimo:
- Objeto, naturaleza y finalidad del encargo
- Tipo de datos personales y categoría de interesados
- Obligaciones y derechos del responsable
- Obligaciones y derechos del encargado
- Personal autorizado para realizar el tratamiento
- Medidas de seguridad
- Brechas de seguridad
- Comunicación de los datos a terceros
- Transferencias internacionales de datos
- Subcontratación del tratamiento de datos
- Derechos de los interesados
- Responsabilidad
- Fin de la prestación de servicio y destrucción/devolución de datos
Política de privacidad
Si la PYME cuenta con página web, ésta debe contar con una Política de Privacidad adecuada, así como Política de Cookies. Para conocer el contenido obligatorio de estos textos puedes consultar nuestro artículo sobre los requisitos legales de una web.