¿Cuáles son las obligaciones en la protección de datos para la empresa?

El nuevo reglamento de protección de datos va a afectar a todas las empresas y autónomos en España. Además en la Unión Europea.

No solo a grandes empresas sino también a pymes y autónomos.

¿Qué normativa sobre protección de datos se aplica a las empresas?

Existen dos normativas que regulan el tratamiento de datos personales en España:

  • RGPD (Europa). Es el Reglamento 2016/679 del Parlamento Europeo y del Consejo. De fecha 27 de abril de 2016. Y entra en vigor el día 25 de mayo de 2018. Desde esa fecha los cambios del reglamento afectan a las empresas y autónomos.
  • LOPD (España). Es la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Obligaciones en la protección de datos en la empresa

Obligaciones en la protección de datos en las empresas. Afectarán a pymes, autónomos, y otros comercios que recojan datos de personas físicas

Podemos destacar las siguientes obligaciones en la protección de datos para las empresas:

Consentimiento

El nuevo reglamento es más exigente en la prestación del consentimiento que la LOPD.

¿Cómo debe prestarse el consentimiento para cumplir la normativa de protección de datos?

Hay que procurar el consentimiento inequívoco.

Por lo tanto evitar el consentimiento tácito de los afectados para el uso de sus datos.

Recomendamos que el cliente realice una acción afirmativa para tratar los datos, por ejemplo poniendo un tick en una casilla o firmado un documento.

¿Cómo debe ser el consentimiento de los menores de edad?

El consentimiento de menores de 16 años deberá ser prestado por los tutores, padres, o quienes tengan la patria potestad. Así lo exige el Reglamento General de Protección de Datos.

Notificación brechas de seguridad

La empresa está obligada a notificar una brecha o violación de seguridad. Pero se informará si afecta a datos personales y constituye un riesgo para los derechos y las libertades de las personas físicas. Es otra de las obligaciones en la protección de datos en las empresas.

Nuevas cláusulas e información, principio de transparencia, claridad y lealtad

Hay que dar mayor información al cliente, como por ejemplo:

  • nombre y datos de contacto del responsable del tratamiento
  • nombre y datos del Delegado de Protección de Datos
  • finalidad del tratamiento
  • descripción de categorías del interesado
  • descripción de categorías de datos tratados
  • las transferencias internacionales de datos
  • la legitimación para la recogida de los datos, es decir, el por qué podemos tratar sus datos
  • para que se usan
  • cómo ejercitar los derechos

Plazo de conservación de los datos

Una de las novedades del RGPD, es el principio de Accountabilty (responsabilidad proactiva). Por ello la necesidad de informar del plazo de conservación de los datos.

No hay un plazo concreto. Dependiendo de la documentación que se trate el plazo puede ser uno u otro.

Inclusión de protección de datos a nuestros proveedores

También habrá que incluir nuevas cláusulas de protección de datos para el proveedor que nos preste un servicio.

Por ejemplo la empresa informática o la gestoría que nos elabora las cuentas.

Delegado de Protección de Datos

Para ciertos tratamientos, que entrañen graves riesgos para los derechos y libertades de las personas, será obligatoria la existencia de un Delegado de Protección de Datos.

Por ejemplo datos de clientes como psicólogos, de salud, etc.

Evaluación de impacto en la Protección de Datos Personales

Cuando iniciemos un nuevo tratamiento, deberemos hacer un análisis previo de los riesgos.

Códigos de conducta y certificados

Ahora podremos sumarnos a códigos de conducta y certificados. Su objetivo es poder demostrar que cumplimos la normativa.

Atención de derechos solicitados por los afectados

A los tradicionales derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), se le suman dos:

  • derecho de limitación de los datos
  • derecho a la portabilidad de los datos

Ficheros

Se deben identificar los tratamientos que contengan datos de carácter personal, cada tratamiento se consideraría un fichero.

Con total seguridad, serán datos o ficheros de:

  • empleados
  • clientes
  • proveedores
  • videovigilancia
  • usuarios web

A continuación, se debe especificar la finalidad para que se usan esos datos.

Registro de las Actividades de Tratamiento

Posteriormente solo ciertas actividades que traten datos específicos (datos especialmente protegidos como datos de salud, de menores, etc) deberán llevar a cabo un registro interno de estos ficheros.

Este registro interno será conocido como Registro de las Actividades de Tratamiento.

Elaboración del Documento de Seguridad

El Documento de Seguridad, es un documento en el cual se resume todo aquello relativo al tratamiento de datos personales dentro de la actividad profesional, como por ejemplo:

  • ficheros inscritos
  • contratos de encargo de tratamiento
  • empleados que acceden a los datos
  • sistemas de seguridad instalados
  • inventario de sistemas que tratan los datos, como ordenadores
  • registro de incidencias

Formación

El Responsable del Fichero, es decir, la persona encargada del tratamiento en la entidad, deberá tener una mínima formación en la materia que le permita tratar los datos conforme a la normativa.

Auditorías periódicas

Será conveniente establecer unos procedimientos para analizar periódicamente el cumplimiento de estas obligaciones.

Estos informes serán revisados por el Responsable de Seguridad. Además elevará las conclusiones al Responsable de Fichero con objeto de elegir las medidas correctoras necesarias.

Normalmente, estas dos figuras anteriores las podrá efectuar el propio empresario.

Contacto con clientes

Nombre

E-mail

Oficina a contactar

Mensaje

programa de afiliados agente de compras agencia comercial confidencialidad acuerdos de confidencialidad consultoría contacto protección de datos distribución franquicia exportación guías de negociación en países intermediario contratos internacionales contrato de distribución internacional contrato de venta internacional empresa conjunta aviso legal servicios de logística fabricación negociación en otros países guías de negociación en 70 países . paquete 10 contratos paquete todos los contratos venta contrato comisión de ventas representante de ventas servicios alianza estratégica suministro transferencia de tecnología marca registrada affiliate program   buying agent  commercial agency   confidentiality   confidentiality agreements  consulting   contact   data protection   distribution  expatriate   export   franchise   guías de negociación en países  intermediary   international contracts  international distribution contract   international sale contract   joint venture   legal notice  logistics services  manufacturing negotiating in other countries   negotiation guides in 70 countries   pack 10 contracts  pack all contracts   sale contract  sales commision sales representative services  strategic alliance supply  technology transfer  trademark