Impacto de la Ley de Protección de Datos en las PYMES españolas: Guía completa de adaptación y cumplimiento

by on

La protección de datos es un tema delicado y vital para todas las empresas, incluidas las pequeñas y medianas empresas (PYMES) en España. La creciente implementación de regulaciones, impulsada por normativas como el Reglamento General de Protección de Datos (RGPD) o la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), afecta a grandes multinacionales y pequeñas empresas por igual, debiendo adaptarse todas a los mismos estándares de cumplimiento. La respuesta es sí, te afecta la Ley de Protección de Datos, da igual que tengas 4 clientes que 200.

El objetivo de la ley es proteger y garantizar el tratamiento de los datos personales y el derecho a la intimidad, el honor y la privacidad. Así que no hay excusas, aunque nuestra empresa sea pequeña, estamos obligados a cumplir la LOPD. Como PYME, estamos obligados a gestionar correctamente los datos de carácter personal. De esa manera, toda entidad, ya sea una empresa, asociación, la administración pública o un autónomo debe cumplir con la normativa vigente en esta materia.

¿Qué es la normativa de protección de datos?

En España, cuando hablamos de la normativa de protección de datos, nos referimos principalmente a dos normas:

  • RGPD: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).
  • LOPDGDD: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

El RGPD es un Reglamento Europeo aplicable a todos los países de la UE, mientras que la LOPDGDD es una ley española. Las PYMES españolas, que desarrollen su actividad en España, están obligadas por estas dos normas. El 5 de diciembre de 2018 entró en vigor la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) que adapta el derecho español al modelo establecido por el Reglamento General de Protección de Datos (RGPD). El RGPD, vigente desde mayo de 2018, y la LOPDGDD, desde diciembre de 2018, establecen una serie de principios clave: el consentimiento claro de los usuarios, el derecho al olvido, la portabilidad de los datos y la obligación de notificar brechas de seguridad.

¿Quiénes deben cumplir con el RGPD?

Las empresas, sociedades, comunidades, asociaciones y autónomos, a los que aplica el RGPD son los:

  • establecidos en la UE independientemente de si el tratamiento se hace o no en la UE;
  • que monitorizan el comportamiento de las personas que se encuentran en la UE;
  • que ofrecen bienes o servicios a personas que se encuentren en la UE.

Principios del Reglamento de Protección de Datos

La normativa de protección de datos europea se considera la más exigente del mundo, y la más protectora para los derechos de las personas. El Reglamento cuenta con unos principios que deben guiar la política de protección de datos dentro de una organización, incluidas las PYMES. Estos principios son los siguientes:

  • Licitud: Para poder recabar y tratar datos personales se debe contar con el consentimiento del interesado, que debe ser una manifestación de voluntad libre, específica, informada e inequívoca. Solo podremos recoger y tratar datos personales sin el consentimiento del titular cuando sea necesario para ejecutar un contrato, cumplir una obligación legal, proteger intereses vitales, interés público o interés legítimo.
  • Lealtad y transparencia: La información relativa al tratamiento debe ser fácilmente accesible, fácil de entender y expresarse en lenguaje claro y sencillo.
  • Limitación de la finalidad: La finalidad de la recogida y tratamiento de los datos debe ser explícita, determinada y legítima. No deben recogerse más datos de los estrictamente necesarios.
  • Exactitud: Establece como obligación del responsable mantener los datos exactos y actualizados.

Responsable de tratamiento y encargado de tratamiento: ¿Cómo saber qué papel nos corresponde?

Para poder entender y aplicar correctamente la normativa de protección de datos es imprescindible distinguir entre responsable y encargado del tratamiento. Una PYME será responsable del tratamiento de datos personales si determina los fines y medios del tratamiento. Es decir, si establece para qué recoge los datos personales, y cómo los va a tratar. Sin embargo, una PYME será encargada del tratamiento cuando trate datos personales por cuenta de un responsable, que es quien ha fijado los fines y medios del tratamiento.

Por ejemplo: Una clínica dental será responsable de los datos personales de sus pacientes. Recoge estos datos, y determina los fines y medios del tratamiento de los mismos. Mientras que el laboratorio de prótesis dentales al que la clínica encarga las piezas para sus clientes, será encargado del tratamiento de esos datos personales, que tratará por cuenta de la clínica y bajo sus directrices.

La adaptación de la PYME a la normativa de protección de datos en 8 pasos

Para adaptarse a la ley de protección de datos para empresas y cumplir con las obligaciones LOPD y RGPD, es necesario seguir una serie de pasos. Aquí te explicamos cómo:

  1. Designar a un Delegado/a de Protección de Datos (DPD), o identificar a la persona responsable de coordinar la adaptación:

    El DPD es una persona o empresa con un grado de independencia que se encargará de la adaptación al RGPD y de su cumplimiento, y debe contar con conocimientos especializados del Derecho y práctica en protección de datos. Puede ser personal interno o externo, persona física o jurídica, y hay que nombrarle ante la AEPD. El Delegado de Protección de Datos puede nombrarse voluntariamente, pero es obligatorio hacerlo en los supuestos legalmente obligatorios que contienen el art. 37.1 del RGPD y el 34 de la LOPDGDD. Si tu PYME no tiene obligación de designar delegado de protección de datos, y no quieres nombrarlo voluntariamente, deberás identificar a la persona responsable de coordinar la adaptación a la normativa de protección de datos. En este sentido, hay que señalar que se está tramitando una ley que previsiblemente establecerá la obligación de nombrar delegado de protección de datos para todas las empresas con 50 o más trabajadores.

    A nivel organizativo, si has determinado que realizas tratamientos de alto riesgo, tendrás que nombrar un DPD.

    ¿Qué es un Delegado de Protección de Datos (DPO)? Funciones y responsabilidades explicadas

  2. Elaborar el Registro de Actividades de Tratamiento (RAT):

    En principio no es obligatorio para empresas de menos de 250 trabajadores, a menos que el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos o datos relativos a condenas e infracciones penales. En la práctica, la mayoría de los responsables o encargados del tratamiento que empleen a menos de 250 trabajadores estarán obligadas a llevar un registro de actividades de tratamiento. Suele organizarse por categorías de datos, que se desglosan después en las operaciones de tratamiento. Por ejemplo: datos de clientes, que se tratarán para comunicaciones comerciales, facturación, etc. El contenido obligatorio del registro de actividades de tratamiento es diferente para los responsables y encargados de tratamiento. La información que debe contener está recogida en el artículo 30 del RGPD: en el apartado 1 para los responsables de tratamiento, y en el 2 para los encargados.

  3. Realizar un análisis de riesgos y, en su caso, una evaluación de impacto:

    El análisis de riesgos debe realizarse siempre. Cuando de éste se concluya que algún tratamiento puede entrañar un riesgo alto para los derechos y libertades de las personas físicas, debe realizarse la evaluación de impacto. Para comenzar con el análisis de riesgos de privacidad debemos:

    • Identificar todas las fuentes de datos personales de nuestros tratamientos, catalogar todos los agentes responsables y los tipos de operaciones que se hacen con esos datos durante todo su ciclo de vida: captura, clasificación y almacenamiento, uso, cesión o transferencia y destrucción.
    • Ser exhaustivos con los datos que se recogen: ¿dónde se almacenan?, ¿durante cuánto tiempo?, ¿en un fichero o en una base de datos?, ¿en qué equipos? ¿siguen los principios del tratamiento del RGPD?
    • Hacer un diagrama de flujo de datos del tratamiento, es decir, desde que se recogen hasta que se utilizan o desechan con las transformaciones intermedias.
    • Priorizar, es decir, analizar en primer lugar a los agentes involucrados en el tratamiento y las acciones problemáticas sobre los datos, es decir, aquellas que pueden tener un efecto adverso sobre la privacidad de las personas.

    Además, la evaluación de impacto será requerida siempre, en caso de:

    • Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
    • Tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10;
    • Observación sistemática a gran escala de una zona de acceso público.

    Si como resultado de la evaluación de impacto, alguno de los tratamientos presenta riesgo alto, debe remitirse una consulta previa a la AEPD (36 RGPD). Gracias al análisis de riesgos conoceremos mejor los tratamientos y cómo proteger la privacidad durante los mismos. A nivel organizativo, si has determinado que realizas tratamientos de alto riesgo, tendrás que realizar un Análisis de impacto del tratamiento.

  4. Establecer medidas de seguridad:

    Una vez hemos analizado los riesgos, debemos establecer las medidas de seguridad adecuadas para neutralizarlos. Las medidas de seguridad deben adaptarse a cada caso concreto, los tratamientos que se realicen y los riesgos que existan. No obstante, algunas medidas de seguridad genéricas aconsejables son las siguientes:

    • Establecer mecanismos de autorización y control de los accesos a los datos personales.
    • Proteger las instalaciones.
    • Dotarse de productos de seguridad y contratar de servicios de seguridad como, por ejemplo, antivirus.
    • Mantener actualizados los equipos y dispositivos informáticos.

    La privacidad debe integrarse desde el inicio en cualquier tratamiento de datos. Todas las medidas deben garantizar la confidencialidad, integridad y disponibilidad de los tratamientos y datos personales, y permitir que las autoridades puedan verificarlo. Las medidas anteriores han de proteger los datos personales con garantías de seguridad, tanto si la infraestructura para el tratamiento está en local como si está externalizada o en la nube.

  5. Contar con un procedimiento para la notificación de brechas de seguridad:

    Estamos ante una brecha de seguridad cuando se produce el acceso o comunicación no autorizado a datos personales, o la destrucción, pérdida o alteración no permitida de los mismos. El artículo 33 del RGPD establece la obligación para el responsable de tratamiento de notificar esta brecha a la AEPD cuando suponga un riesgo para los derechos y libertades de las personas. Además, cuando el riesgo sea alto, el responsable debe notificarlo también a las personas afectadas. El plazo para notificar la brecha de seguridad a la AEPD es de 72 horas desde que se haya tenido constancia. Como parte de la adaptación al RGPD, la PYME debe contar con un procedimiento preestablecido para notificar las brechas de seguridad en caso de que se produzcan. ¡Ojo! La notificación debe realizarse en un máximo de 72 horas desde que se tiene conocimiento del incidente. Las brechas de seguridad pueden producirse por diferentes causas, muchas de ellas relacionadas con errores humanos o fallos técnicos.

  6. Garantizar el derecho de información a los interesados:

    Uno de los pilares para adaptar una PYME a la normativa de protección de datos es garantizar a los interesados el derecho a la información sobre el tratamiento de sus datos, y con carácter mínimo habrá que informarles de lo siguiente:

    • Quién es el responsable: quién va a tratar los datos.
    • Fines del tratamiento: para qué se van a tratar los datos.
    • Duración del tratamiento.
    • Destinatarios.
    • Riesgos del tratamiento.
    • Normas que lo rigen.
    • Salvaguardas.
    • Derechos que le corresponden y modo de ejercerlos.

    La AEPD ha recordado que, en caso de producirse una brecha de seguridad, es fundamental notificarla en un plazo máximo de 72 horas.

  7. Supervisar las garantías de los encargados de tratamiento y adaptar sus contratos:

    Como parte de la adaptación a la normativa de protección de datos, el responsable de los mismos debe supervisar las garantías que ofrecen al respecto aquellas empresas o personas que vayan a ser encargados del tratamiento. Las PYMES deberán contar con un contrato de encargo de tratamiento con estos encargados, con el siguiente contenido mínimo:

    • Objeto, naturaleza y finalidad del encargo.
    • Tipo de datos personales y categoría de interesados.
    • Obligaciones y derechos del responsable.
    • Obligaciones y derechos del encargado.
    • Personal autorizado para realizar el tratamiento.
    • Medidas de seguridad.
    • Brechas de seguridad.
    • Comunicación de los datos a terceros.
    • Transferencias internacionales de datos.
    • Subcontratación del tratamiento de datos.
    • Derechos de los interesados.
    • Responsabilidad.
    • Fin de la prestación de servicio y destrucción/devolución de datos.

    Revisa los contratos con los encargados de tratamiento de información, si contratas servicios externos que utilicen los datos personales de tus tratamientos. Es sumamente importante que las pymes cuenten con contratos claros que garanticen que los terceros también respeten la normativa de protección de datos.

  8. Política de privacidad:

    Si la PYME cuenta con página web, ésta debe contar con una Política de Privacidad adecuada, así como Política de Cookies.

Incumplimiento de la normativa: Riesgos y sanciones

No debemos olvidar que las sanciones no son baratas, la sanción mínima es de 900 euros y en los casos más graves puede llegar hasta los 600.000 euros. ¿Y qué hay de las sanciones o multas por el incumplimiento? También es cierto que, no es lo mismo tener datos de 5 clientes que de 500. En caso de hacer un mal uso intencionado de la información o no estar acogido a la LOPD, la cantidad de la sanción tendrá mucho que ver con la cantidad de datos que se manejen y el número de afectados. El incumplimiento de la normativa de protección de datos puede conllevar sanciones económicas importantes.

Aquí te mostramos una tabla con las posibles sanciones:

Tipo de Infracción Cuantía de la Sanción
Leves Hasta 40.000 euros
Graves Entre 40.001 y 300.000 euros
Muy Graves Más de 300.000 euros (hasta 20 millones de euros o el 4% del volumen de negocio anual global)

Las autoridades podrán investigar y corregir las infracciones. Para ello estarán en disposición de ordenar al responsable o al encargado que facilite información, lleve a cabo auditorías u obtenga acceso a los datos, locales y equipos. Las sanciones por infracción podrán ir, desde advertencias si la infracción es posible, apercibimientos y limitaciones temporales, hasta prohibir el tratamiento, ordenar supresión de datos e imponer multas. Cualquier ciudadano de la UE tiene derecho a presentar reclamaciones de forma individual o colectiva si considera que el tratamiento de sus datos personales vulnera el RGPD. También, al ser la privacidad un derecho fundamental, tendrá derecho a la tutela judicial efectiva y a la indemnización por los daños y perjuicios sufridos a consecuencia de una infracción del RGPD.

En uno de los casos más recientes, una empresa del sector del alojamiento fue sancionada con 9.000 euros (reducidos a 5.400 euros tras el reconocimiento de responsabilidad) por escanear y almacenar los DNI de sus clientes como parte del proceso de registro. Aquellas consideradas muy graves -como pueden ser la vulneración de los principios básicos de protección de datos, o infringir o dificultar el ejercicio de derechos de Acceso, Rectificación, Supresión, Limitación del tratamiento, Portabilidad y Oposición-, se sancionan con una multa mínima de 300.000 euros. En caso de incumplimiento de la normativa de protección de datos, el organismo encargado de imponer sanciones en esta materia sería la Autoridad de Control nacional en protección de datos que, en el caso de España, se trata de la Agencia Española de Protección de Datos. Además de una crisis reputacional frente a clientes o usuarios, cada vez más concienciados sobre la importancia de la privacidad.

Herramientas y recursos para PYMES

La AEPD ha elaborado la herramienta FACILITA, que proporciona ayuda para la elaboración del registro de actividades de tratamiento, las cláusulas informativas, las cláusulas contractuales para encargados del tratamiento y las medidas de seguridad a adoptar. Además, para la adaptación y cumplimiento del RGPD, la AEPD dispone de materiales, recursos y herramientas en su página web que tienen por objetivo facilitar la adaptación y cumplimiento del RGPD. Entre estos materiales, destaca la denominada “Hoja de ruta” dirigida al sector privado, así como la publicación de diferentes guías sobre el RGPD. Por último, para aquellas dudas y consultas sobre la aplicación del RGPD, la AEPD cuenta con el canal INFORMA para resolverlas.

Solo si realizas tratamientos de bajo riesgo, es decir, no son tratamientos masivos ni con datos especialmente protegidos, podrás utilizar la herramienta FACILITA de la AEPD. También podrás seguir el documento "Adecuación de pymes y profesionales al RGPD en ocho pasos" de la AVPD.

La privacidad se ha convertido en una prioridad para todas las empresas. Por ello, es importante que las organizaciones de todo tipo, ya sean grandes corporaciones o pymes, examinen su situación en cuanto a la protección de datos personales, pues están en juego factores como la confianza de los clientes o la competitividad. Recuerda: la protección de datos personales de tus clientes, usuarios, colaboradores o empleados según el RGPD no solo sirve para evitar las sanciones, sino que es además un importante factor de competitividad y fidelización.

tags: #como #afecta #ley #de #proteccion #de

Publicaciones populares: