¿Cuáles son las obligaciones en la protección de datos para la empresa?

El nuevo reglamento de protección de datos va a afectar a todas las empresas y autónomos en España. Además en la Unión Europea.

No solo a grandes empresas sino también a pymes y autónomos.

¿Qué normativa sobre protección de datos se aplica a las empresas?

Existen dos normativas que regulan el tratamiento de datos personales en España:

  • RGPD (Europa). Es el Reglamento 2016/679 del Parlamento Europeo y del Consejo. De fecha 27 de abril de 2016. Y entra en vigor el día 25 de mayo de 2018. Desde esa fecha los cambios del reglamento afectan a las empresas y autónomos.
  • LOPD (España). Es la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Obligaciones en la protección de datos en la empresa

Obligaciones en la protección de datos en las empresas. Afectarán a pymes, autónomos, y otros comercios que recojan datos de personas físicas

Podemos destacar las siguientes obligaciones en la protección de datos para las empresas:

Consentimiento

El nuevo reglamento es más exigente en la prestación del consentimiento que la LOPD.

¿Cómo debe prestarse el consentimiento para cumplir la normativa de protección de datos?

Hay que procurar el consentimiento inequívoco.

Por lo tanto evitar el consentimiento tácito de los afectados para el uso de sus datos.

Recomendamos que el cliente realice una acción afirmativa para tratar los datos, por ejemplo poniendo un tick en una casilla o firmado un documento.

¿Cómo debe ser el consentimiento de los menores de edad?

El consentimiento de menores de 16 años deberá ser prestado por los tutores, padres, o quienes tengan la patria potestad. Así lo exige el Reglamento General de Protección de Datos.

Notificación brechas de seguridad

La empresa está obligada a notificar una brecha o violación de seguridad. Pero se informará si afecta a datos personales y constituye un riesgo para los derechos y las libertades de las personas físicas. Es otra de las obligaciones en la protección de datos en las empresas.

Nuevas cláusulas e información, principio de transparencia, claridad y lealtad

Hay que dar mayor información al cliente, como por ejemplo:

  • nombre y datos de contacto del responsable del tratamiento
  • nombre y datos del Delegado de Protección de Datos
  • finalidad del tratamiento
  • descripción de categorías del interesado
  • descripción de categorías de datos tratados
  • las transferencias internacionales de datos
  • la legitimación para la recogida de los datos, es decir, el por qué podemos tratar sus datos
  • para que se usan
  • cómo ejercitar los derechos

Plazo de conservación de los datos

Una de las novedades del RGPD, es el principio de Accountabilty (responsabilidad proactiva). Por ello la necesidad de informar del plazo de conservación de los datos.

No hay un plazo concreto. Dependiendo de la documentación que se trate el plazo puede ser uno u otro.

Inclusión de protección de datos a nuestros proveedores

También habrá que incluir nuevas cláusulas de protección de datos para el proveedor que nos preste un servicio.

Por ejemplo la empresa informática o la gestoría que nos elabora las cuentas.

Delegado de Protección de Datos

Para ciertos tratamientos, que entrañen graves riesgos para los derechos y libertades de las personas, será obligatoria la existencia de un Delegado de Protección de Datos.

Por ejemplo datos de clientes como psicólogos, de salud, etc.

Evaluación de impacto en la Protección de Datos Personales

Cuando iniciemos un nuevo tratamiento, deberemos hacer un análisis previo de los riesgos.

Códigos de conducta y certificados

Ahora podremos sumarnos a códigos de conducta y certificados. Su objetivo es poder demostrar que cumplimos la normativa.

Atención de derechos solicitados por los afectados

A los tradicionales derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), se le suman dos:

  • derecho de limitación de los datos
  • derecho a la portabilidad de los datos

Ficheros

Se deben identificar los tratamientos que contengan datos de carácter personal, cada tratamiento se consideraría un fichero.

Con total seguridad, serán datos o ficheros de:

  • empleados
  • clientes
  • proveedores
  • videovigilancia
  • usuarios web

A continuación, se debe especificar la finalidad para que se usan esos datos.

Registro de las Actividades de Tratamiento

Posteriormente solo ciertas actividades que traten datos específicos (datos especialmente protegidos como datos de salud, de menores, etc) deberán llevar a cabo un registro interno de estos ficheros.

Este registro interno será conocido como Registro de las Actividades de Tratamiento.

Elaboración del Documento de Seguridad

El Documento de Seguridad, es un documento en el cual se resume todo aquello relativo al tratamiento de datos personales dentro de la actividad profesional, como por ejemplo:

  • ficheros inscritos
  • contratos de encargo de tratamiento
  • empleados que acceden a los datos
  • sistemas de seguridad instalados
  • inventario de sistemas que tratan los datos, como ordenadores
  • registro de incidencias

Formación

El Responsable del Fichero, es decir, la persona encargada del tratamiento en la entidad, deberá tener una mínima formación en la materia que le permita tratar los datos conforme a la normativa.

Auditorías periódicas

Será conveniente establecer unos procedimientos para analizar periódicamente el cumplimiento de estas obligaciones.

Estos informes serán revisados por el Responsable de Seguridad. Además elevará las conclusiones al Responsable de Fichero con objeto de elegir las medidas correctoras necesarias.

Normalmente, estas dos figuras anteriores las podrá efectuar el propio empresario.

Contacto con clientes

Nombre

E-mail

Oficina a contactar

Mensaje