Adaptación de la Ley de Protección de Datos para Emprendedores y PYMES
De entre las casi infinitas obligaciones y normativas que se imponen al desarrollo de una actividad económica, la normativa de protección de datos es de las más incomprendidas y puede que por eso, de las que más se incumplen. Su incumplimiento puede acarrear sanciones de la Agencia Española de Protección de Datos. Además, puede generar una crisis reputacional frente a clientes o usuarios, cada vez más concienciados sobre la importancia de la privacidad. Por eso resulta crítico para las empresas contar con servicios de protección de datos altamente especializados.
Hoy en día todas las empresas que trabajan con datos personales deben realizar la adaptación. En este artículo intentaremos acercar la normativa de protección de datos y su razón de ser a las PYMES, y explicaremos cómo adaptarse a la misma en 8 pasos esenciales.
Marco Legal de la Protección de Datos en España
En España, cuando hablamos de la normativa de protección de datos, nos referimos principalmente a dos normas:
- RGPD: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
- LOPDYDD: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
El RGPD es un Reglamento Europeo aplicable a todos los países de la UE. Mientras que la LOPDYDD es una ley española. Las PYMES españolas, que desarrollen su actividad en España, están obligadas por estas dos normas.
Principios Clave del Reglamento General de Protección de Datos
La normativa de protección de datos europea se considera la más exigente del mundo, y la más protectora para los derechos de las personas. El Reglamento cuenta con unos principios que deben guiar la política de protección de datos dentro de una organización, incluidas las PYMES. Estos principios son los siguientes:
- Licitud: Según este principio, para poder recabar y tratar datos personales se debe contar con el consentimiento del interesado. Para que este consentimiento sea válido, debe ser una manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. Solo podremos recoger y tratar datos personales sin el consentimiento del titular de los mismos cuando resulte necesario para:
- Ejecutar un contrato
- Cumplir una obligación legal
- Proteger intereses vitales (del interesado u otra persona)
- Interés público
- Interés legítimo
- Lealtad y transparencia: La información relativa al tratamiento debe ser fácilmente accesible, fácil de entender y expresarse en lenguaje claro y sencillo.
- Limitación de la finalidad: La finalidad de la recogida y tratamiento de los datos debe ser explícita, determinada y legítima. Y los fines deben ser adecuados, pertinentes y limitados. No deben recogerse más datos de los estrictamente necesarios para la finalidad concreta para la que se vayan a utilizar.
- Exactitud: Establece como obligación del responsable mantener los datos exactos y actualizados.
Responsable de Tratamiento y Encargado de Tratamiento: Diferenciando Roles
Para poder entender y aplicar correctamente la normativa de protección de datos es imprescindible distinguir entre responsable y encargado del tratamiento. Dos posiciones diferentes que conllevan distintas obligaciones.
Una PYME será responsable del tratamiento de datos personales si determina los fines y medios del tratamiento. Es decir, si establece para qué recoge los datos personales, y cómo los va a tratar.
Sin embargo, una PYME será encargada del tratamiento cuando trate datos personales por cuenta de un responsable, que es quien ha fijado los fines y medios del tratamiento.
Por ejemplo: una clínica dental será responsable de los datos personales de sus pacientes. Recoge estos datos, y determina los fines y medios del tratamiento de los mismos. Mientras que el laboratorio de prótesis dentales al que la clínica encarga las piezas para sus clientes, será encargado del tratamiento de esos datos personales, que tratará por cuenta de la clínica y bajo sus directrices.
Adaptación de la PYME a la Normativa de Protección de Datos: 8 Pasos Esenciales
Ahora que hemos visto cuáles son las normas aplicables, los principios que deben guiarnos, y las diferencias entre responsable y encargado del tratamiento, ¿cuáles son los pasos que debe dar una PYME para adaptarse a la normativa de protección de datos?
1. Identificar los Datos Tratados, sus Finalidades y Garantizar la Licitud
El primer paso para implantar protección de datos es que te asegures de que se cumplen los principios legales que establece la ley en cuanto al tratamiento de datos personales, como el principio de calidad, el principio de información, el principio de consentimiento, entre otros. Para ello, es fundamental identificar los datos que tratas y determinar qué tipo de información tienes sobre tus clientes y empleados, así como con qué finalidad los estás tratando. Organizar los datos personales en carpetas permitirá a tu empresa tener una visión clara y estructurada de los datos que posee y su finalidad, además de facilitar el acceso a ellos en caso de que sea necesario.
2. Obtener el Consentimiento de los Interesados
Según el principio de licitud, para poder recabar y tratar datos personales se debe contar con el consentimiento del interesado. Tu empresa debe asegurarse de que la solicitud de consentimiento sea clara y explique de manera detallada el propósito del tratamiento de los datos, además de garantizar que se haya obtenido el consentimiento de forma libre, específica, informada e inequívoca. Es crucial crear un protocolo para solicitar el consentimiento de los interesados para el tratamiento de sus datos personales.
3. Designar un Delegado de Protección de Datos (DPD) o Responsable Interno
El Delegado/a de Protección de Datos es una persona o empresa con determinado grado de independencia que se encargará de la adaptación al RGPD y de su cumplimiento, y debe contar con conocimientos especializados del Derecho y práctica en protección de datos. Puede ser personal interno o externo, persona física o persona jurídica, y hay que nombrarle ante la AEPD.
El Delegado de protección de datos puede nombrarse voluntariamente, pero es obligatorio hacerlo en los supuestos legalmente obligatorios que contienen el art. 37.1 del RGPD y el 34 de la LOPDYGDD. Si tu empresa realiza un seguimiento de personas de forma sistemática o procesa categorías especiales de datos personales a gran escala, entonces necesitas un DPD.
Si tu PYME no tiene obligación de designar delegado de protección de datos, y no quieres nombrarlo voluntariamente, deberás identificar a la persona responsable de coordinar la adaptación a la normativa de protección de datos. Hay que señalar que se está tramitando una ley que previsiblemente establecerá la obligación de nombrar delegado de protección de datos para todas las empresas con 50 o más trabajadores.
4. Elaborar el Registro de Actividades de Tratamiento (RAT)
En principio no es obligatorio para empresas de menos de 250 trabajadores, a menos que el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos o datos relativos a condenas e infracciones penales. En la práctica, la mayoría de los responsables o encargados del tratamiento que empleen a menos de 250 trabajadores estarán obligadas a llevar un registro de actividades de tratamiento, ya que casi todos los tratamientos pueden suponer un riesgo. Suele organizarse por categorías de datos, que se desglosan después en las operaciones de tratamiento (por ejemplo: datos de clientes para comunicaciones comerciales, facturación, etc.). El contenido obligatorio del RAT es diferente para responsables y encargados de tratamiento, y está recogido en el artículo 30 del RGPD.
5. Realizar un Análisis de Riesgos y, si procede, una Evaluación de Impacto (EIPD)
El análisis de riesgos debe realizarse siempre. Cuando de éste se concluya que algún tratamiento puede entrañar un riesgo alto para los derechos y libertades de las personas físicas, debe realizarse la evaluación de impacto (EIPD).
La evaluación de impacto será requerida siempre, en caso de:
- a) Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
- b) Tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o
- c) Observación sistemática a gran escala de una zona de acceso público.
Para realizar el análisis de riesgos y la evaluación de impacto, la AEPD cuenta con una Guía. Si como resultado de la evaluación de impacto, alguno de los tratamientos presenta riesgo alto, debe remitirse una consulta previa a la AEPD (art. 36 RGPD).
6. Establecer Medidas de Seguridad y un Procedimiento para Brechas
Una vez hemos analizado los riesgos, debemos establecer las medidas de seguridad adecuadas para neutralizarlos. Estas medidas deben adaptarse a cada caso concreto, los tratamientos que se realicen y los riesgos que existan. Algunas medidas de seguridad genéricas aconsejables son:
- Establecer mecanismos de autorización y control de los accesos a los datos personales.
- Proteger las instalaciones.
- Dotarse de productos y servicios de seguridad como antivirus.
- Mantener actualizados los equipos y dispositivos informáticos.
Además, es vital contar con un procedimiento para la notificación de brechas de seguridad. Una brecha de seguridad se produce cuando hay acceso o comunicación no autorizado a datos personales, o la destrucción, pérdida o alteración no permitida de los mismos. El artículo 33 del RGPD establece la obligación para el responsable de tratamiento de notificar esta brecha a la AEPD cuando suponga un riesgo para los derechos y libertades de las personas, en un plazo de 72 horas desde que se haya tenido constancia. Si el riesgo es alto, el responsable debe notificarlo también a las personas afectadas. Como parte de la adaptación al RGPD, la PYME debe contar con un procedimiento prestablecido para notificar las brechas de seguridad en caso de que se produzcan e implementar medidas preventivas para evitarlas.
7. Supervisar Encargados de Tratamiento y Adaptar Contratos
Como parte de la adaptación a la normativa de protección de datos, el responsable de los mismos debe supervisar las garantías que ofrecen al respecto aquellas empresas o personas que vayan a ser encargados del tratamiento. Las PYMES deberán contar con un contrato de encargo de tratamiento con estos encargados, con el siguiente contenido mínimo:
- Objeto, naturaleza y finalidad del encargo
- Tipo de datos personales y categoría de interesados
- Obligaciones y derechos del responsable
- Obligaciones y derechos del encargado
- Personal autorizado para realizar el tratamiento
- Medidas de seguridad
- Brechas de seguridad
- Comunicación de los datos a terceros
- Transferencias internacionales de datos
- Subcontratación del tratamiento de datos
- Derechos de los interesados
- Responsabilidad
- Fin de la prestación de servicio y destrucción/devolución de datos
8. Implementar Políticas de Privacidad y Cookies en la Web
Si la PYME cuenta con página web, ésta debe contar con una Política de Privacidad adecuada, así como una Política de Cookies. Tu empresa debe proporcionar información clara y accesible sobre la protección de datos personales y la forma en que se está cumpliendo con la implantación de la LOPD en tu empresa a través de estas políticas.
TIPS DE FINANZAS PARA EMPRENDEDORES [5 HACKS]
Herramientas de Apoyo para Emprendedores: Facilita Emprende
La Agencia Española de Protección de Datos (AEPD) es la autoridad pública independiente encargada de velar por la privacidad y la protección de datos de la ciudadanía. Para facilitar la adaptación a la normativa, la AEPD ofrece recursos útiles como ‘Facilita Emprende’.
‘Facilita Emprende’ está pensada para empresas con modelos de negocio que utilicen tecnologías como plataformas colaborativas, comercio electrónico, software en la nube (SaaS), desarrollo de juegos o aplicaciones web o análisis masivo de datos. Este nuevo recurso de la Agencia es gratuito y fácil de utilizar, y se compone de una serie de cuestionarios guiados que ayudan a la persona responsable a caracterizar el tipo de tratamientos que realiza su empresa. Al completar estos cuestionarios, cuya duración estimada es de 30 minutos, la herramienta genera un documento adaptado a los datos introducidos que sirve de guía para cumplir con las obligaciones impuestas por la normativa de protección de datos.
Consecuencias de No Cumplir con la Normativa de Protección de Datos
¿Qué pasa si no cumplo con la Ley de Protección de Datos? En caso de incumplir con la normativa que impone la AEPD corremos el riesgo de ser sancionados con cuantías que llegan a poner los pelos de punta. En total, desde que la AEPD comenzó a elevar procedimientos sancionadores por vulneraciones de la RGPD (que entró en vigor en mayo de 2018), España ha propuesto multas por valor de 29.372.510 millones de euros.
Además de las sanciones económicas, el incumplimiento puede tener otras graves consecuencias:
- Sanciones económicas: El incumplimiento puede acarrear multas cuantiosas impuestas por la Agencia Española de Protección de Datos.
- Crisis reputacional: El incumplimiento del RGPD puede dañar gravemente la reputación de tu empresa frente a clientes o usuarios, cada vez más concienciados sobre la importancia de la privacidad.
- Responsabilidad legal: Implica consecuencias legales directas para la empresa y sus responsables.
- Pérdida de competitividad: En un mercado donde la privacidad es valorada, el incumplimiento puede afectar la posición de tu negocio.
La Importancia de la Asesoría Profesional para la Adaptación al RGPD
No son pocas las empresas pequeñas y autónomos que, ante la obligación de tener que adaptar su negocio a la protección de datos, deciden hacerlo ellos mismos. Pero, ¿hasta qué punto adaptarse uno mismo a la LOPD o LOPDGDD es una buena idea? Aunque es legal, ¿es realmente recomendable que uno mismo adapte su empresa o negocio a la normativa de protección de datos? La respuesta, en este caso, es no.
Puede que estés pensando que si has logrado emprender un negocio, cumplir con la normativa de protección de datos no puede ser tan difícil, pero sí que es complejo; el DIY (do it yourself, hazlo tú mismo) está muy bien, hasta que te enfrentas al cumplimiento de una serie de obligaciones que a veces puedes no tener muy claro cómo afrontar. La normativa de protección de datos es compleja y exige cumplir diferentes obligaciones, organizativas, técnicas y documentales, algunas de las cuales son mucho más estrictas en función del tipo de datos que tratemos o el volumen de los mismos o nuestra actividad. Por ejemplo, ¿sabrías qué excepciones permiten el tratamiento de datos sensibles? ¿O qué obligaciones extra conlleva el tratamiento de ese tipo de datos? ¿O cuándo es necesario hacer una evaluación de impacto?
Cumplir correctamente con la normativa de protección de datos no es limitarse a cumplimentar unos documentos genéricos que hemos descargado de Internet (o peor, «copy-pasteado»), para archivarlos y olvidarnos de ellos. Cada tratamiento de datos exige, entre otras obligaciones, llevar un registro del mismo, analizar sus riesgos y aplicar medidas de seguridad para atenuar los riesgos. Asimismo, también se debe estar al día respecto a las posibles modificaciones de la normativa, que tendremos que cumplir.
En EDM Legal somos expertos en derecho digital y te ayudaremos a cumplir con todas las obligaciones del RGPD. Para la adaptación al RGPD y LOPD, lo mejor es contratar los servicios de una empresa de protección de datos, puesto que cuentan con profesionales especializados en la normativa (muchos de ellos abogados), que no solo se asegurarán de que cumples correctamente con todas las obligaciones de la ley, sino que también te ofrecerán asesoramiento continuado, te ayudarán con las solicitudes de derechos y ante posibles denuncias. No esperes a que sea demasiado tarde. Protege los datos de tus clientes y empleados y garantiza la sostenibilidad de tu negocio.
