Protección de Datos para PYMES y Delegaciones: Claves para el Cumplimiento en España

En el entorno empresarial actual, la protección de datos se ha convertido en un tema crítico y vital para todas las empresas, incluidas las pequeñas y medianas empresas (PYMES) en España. La creciente implementación de regulaciones, impulsada por normativas como el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), afecta a grandes multinacionales y pequeñas empresas por igual, debiendo adaptarse todas a los mismos estándares de cumplimiento.

A menudo, existe la percepción de que estas normativas se centran en las grandes compañías, pero en realidad, las PYMES están bajo el mismo criterio legal. Cumplir con la ley de protección de datos es una obligación legal para cualquier tipo de empresa que trate datos personales, independientemente de su tamaño, actividad o volumen de negocio.

Marco Normativo de Protección de Datos en España

En España, cuando hablamos de la normativa de protección de datos, nos referimos principalmente a dos normas:

• RGPD: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos). El RGPD es un Reglamento Europeo aplicable a todos los países de la UE, vigente desde mayo de 2018.
• LOPDYDD: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. La LOPDYDD es una ley española, vigente desde diciembre de 2018.

Las PYMES españolas que desarrollen su actividad en España están obligadas por estas dos normas. Su incumplimiento puede acarrear sanciones de la Agencia Española de Protección de Datos (AEPD), además de una crisis reputacional frente a clientes o usuarios, cada vez más concienciados sobre la importancia de la privacidad. Por eso resulta crítico para las empresas contar con servicios de protección de datos altamente especializados.

Principios del Reglamento de Protección de Datos

La normativa de protección de datos europea se considera la más exigente del mundo y la más protectora para los derechos de las personas. El Reglamento cuenta con unos principios que deben guiar la política de protección de datos dentro de una organización, incluidas las PYMES. Estos principios son los siguientes:

• Licitud: Para poder recabar y tratar datos personales se debe contar con el consentimiento del interesado. Para que este consentimiento sea válido, debe ser una manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. Solo podremos recoger y tratar datos personales sin el consentimiento del titular de los mismos cuando resulte necesario para ejecutar un contrato, cumplir una obligación legal, proteger intereses vitales (del interesado u otra persona), interés público o interés legítimo.
• Lealtad y transparencia: La información relativa al tratamiento debe ser fácilmente accesible, fácil de entender y expresarse en lenguaje claro y sencillo.
• Limitación de la finalidad: La finalidad de la recogida y tratamiento de los datos debe ser explícita, determinada y legítima. Los fines deben ser adecuados, pertinentes y limitados. No deben recogerse más datos de los estrictamente necesarios para la finalidad concreta para la que se vayan a utilizar.
• Exactitud: Establece como obligación del responsable mantener los datos exactos y actualizados.

Responsable de Tratamiento y Encargado de Tratamiento: Diferenciación Clave

Para poder entender y aplicar correctamente la normativa de protección de datos es imprescindible distinguir entre responsable y encargado del tratamiento. Dos posiciones diferentes que conllevan distintas obligaciones.

• Una PYME será responsable del tratamiento de datos personales si determina los fines y medios del tratamiento. Es decir, si establece para qué recoge los datos personales y cómo los va a tratar.
• Sin embargo, una PYME será encargada del tratamiento cuando trate datos personales por cuenta de un responsable, que es quien ha fijado los fines y medios del tratamiento.

Por ejemplo: una clínica dental será responsable de los datos personales de sus pacientes. Recoge estos datos y determina los fines y medios del tratamiento de los mismos. Mientras que el laboratorio de prótesis dentales al que la clínica encarga las piezas para sus clientes, será encargado del tratamiento de esos datos personales, que tratará por cuenta de la clínica y bajo sus directrices.

Adaptación de la PYME a la Normativa de Protección de Datos en 8 Pasos

La adaptación a la ley de protección de datos para empresas y el cumplimiento de las obligaciones LOPD y RGPD requiere seguir una serie de pasos clave. Ahora que hemos visto cuáles son las normas aplicables, los principios que deben guiarnos, y las diferencias entre responsable y encargado del tratamiento, a continuación, se detallan los pasos que debe dar una PYME para adaptarse a la normativa de protección de datos:

1. Identificar qué datos personales se van a tratar y realizar una auditoría

El primer paso sería realizar una auditoría LOPD en protección de datos para detectar aquellas deficiencias en la materia o áreas a mejorar. Se deben identificar todas las fuentes de datos personales de nuestros tratamientos, catalogar todos los agentes responsables y los tipos de operaciones que se hacen con esos datos durante todo su ciclo de vida: captura, clasificación y almacenamiento, uso, cesión o transferencia y destrucción.

Ser exhaustivos con los datos que se recogen: ¿dónde se almacenan?, ¿durante cuánto tiempo?, ¿en un fichero o en una base de datos?, ¿en qué equipos? ¿siguen los principios del tratamiento del RGPD? Hacer un diagrama de flujo de datos del tratamiento, es decir, desde que se recogen hasta que se utilizan o desechan con las transformaciones intermedias.

2. Determinar la base jurídica que legitima el tratamiento

Es fundamental determinar si se cuenta con el consentimiento del interesado. Para que este consentimiento sea válido, debe ser una manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

Solo se podrán recoger y tratar datos personales sin el consentimiento del titular de los mismos cuando resulte necesario para ejecutar un contrato, cumplir una obligación legal, proteger intereses vitales (del interesado u otra persona), interés público o interés legítimo.

3. Designar a un Delegado/a de Protección de Datos (DPD) o identificar a la persona responsable

El Delegado/a de Protección de Datos es una persona o empresa con determinado grado de independencia que se encargará de la adaptación al RGPD y de su cumplimiento, y debe contar con conocimientos especializados del Derecho y práctica en protección de datos. Puede ser personal interno o externo, persona física o persona jurídica, y hay que nombrarle ante la AEPD.

El Delegado de Protección de Datos puede nombrarse voluntariamente, pero es obligatorio hacerlo en los supuestos legalmente obligatorios que contienen el art. 37.1 del RGPD y el 34 de la LOPDYGDD. Si tu PYME no tiene obligación de designar delegado de protección de datos, y no quieres nombrarlo voluntariamente, deberás identificar a la persona responsable de coordinar la adaptación a la normativa de protección de datos. Se está tramitando una ley que previsiblemente establecerá la obligación de nombrar delegado de protección de datos para todas las empresas con 50 o más trabajadores.

4. Elaborar el Registro de Actividades de Tratamiento (RAT)

En principio no es obligatorio para empresas de menos de 250 trabajadores, a menos que el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos o datos relativos a condenas e infracciones penales. En la práctica, la mayoría de los responsables o encargados del tratamiento que empleen a menos de 250 trabajadores estarán obligadas a llevar un registro de actividades de tratamiento.

Suele organizarse por categorías de datos, que se desglosan después en las operaciones de tratamiento. El contenido obligatorio del registro de actividades de tratamiento es diferente para los responsables y encargados de tratamiento. La información que debe contener está recogida en el artículo 30 del RGPD.

5. Realizar un análisis de riesgos y, en su caso, una evaluación de impacto

El análisis de riesgos debe realizarse siempre. Cuando de éste se concluya que algún tratamiento puede entrañar un riesgo alto para los derechos y libertades de las personas físicas, debe realizarse la evaluación de impacto. La evaluación de impacto será requerida siempre en casos de evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, tratamiento a gran escala de categorías especiales de datos o datos relativos a condenas e infracciones penales, y observación sistemática a gran escala de una zona de acceso público.

Para realizar el análisis de riesgos y la evaluación de impacto, la AEPD cuenta con una Guía. Si como resultado de la evaluación de impacto, alguno de los tratamientos presenta riesgo alto, debe remitirse una consulta previa a la AEPD (36 RGPD).

6. Implantar medidas de seguridad técnicas y organizativas

Una vez analizados los riesgos, debemos establecer las medidas de seguridad adecuadas para neutralizarlos. Las medidas de seguridad deben adaptarse a cada caso concreto, los tratamientos que se realicen y los riesgos que existan. Algunas medidas de seguridad genéricas aconsejables son:

• Establecer mecanismos de autorización y control de los accesos a los datos personales.
• Proteger las instalaciones.
• Dotarse de productos de seguridad y contratar servicios de seguridad como antivirus.
• Mantener actualizados los equipos y dispositivos informáticos.

7. Habilitar la vía para ejercer los derechos ARSULIPO y garantizar el derecho de información a los interesados

Uno de los pilares para adaptar una PYME a la normativa de protección de datos es garantizar a los interesados el derecho a la información sobre el tratamiento de sus datos, y con carácter mínimo habrá que informarles de quién es el responsable, fines del tratamiento, duración del tratamiento, destinatarios, riesgos del tratamiento, normas que lo rigen, salvaguardas y derechos que le corresponden y modo de ejercerlos.

Se debe habilitar una vía para que los interesados puedan enviar sus solicitudes de derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición). Las solicitudes de derechos ARSULIPO deben gestionarse siempre en tiempo y forma, es decir, hay que responderlas dentro del plazo dado por la ley, que es de un mes.

8. Supervisar las garantías de los encargados de tratamiento y adaptar sus contratos

Como parte de la adaptación a la normativa de protección de datos, el responsable de los mismos debe supervisar las garantías que ofrecen al respecto aquellas empresas o personas que vayan a ser encargados del tratamiento. Las PYMES deberán contar con un contrato de encargo de tratamiento con estos encargados, con un contenido mínimo que incluya el objeto, naturaleza y finalidad del encargo, tipo de datos personales y categoría de interesados, obligaciones y derechos del responsable y del encargado, personal autorizado, medidas de seguridad, brechas de seguridad, comunicación de los datos a terceros, transferencias internacionales de datos, subcontratación del tratamiento de datos, derechos de los interesados, responsabilidad y fin de la prestación de servicio y destrucción/devolución de datos.

Desafíos y Soluciones para PYMES en la Protección de Datos

A diferencia de las grandes corporaciones, las PYMES suelen tener limitaciones en cuanto a personal especializado en ciberseguridad y protección de datos, y suelen carecer de los recursos técnicos y financieros para poner en marcha soluciones avanzadas. La inversión en ciberseguridad es otra área crítica en la que muchas PYMES fallan, subestimando los riesgos con más frecuencia de lo deseable, lo que las hace más propensas a sufrir ataques que pongan en riesgo los datos de sus clientes.

Sin embargo, hoy en día existen múltiples herramientas de ciberseguridad accesibles y asequibles que las PYMES pueden utilizar para protegerse. Algunas recomendaciones incluyen el uso de firewalls, antivirus actualizados, sistemas de cifrado de correos electrónicos y la autenticación multifactorial.

Externalización y Subcontratación

Muchas PYMES optan por externalizar servicios críticos como la gestión de IT o el almacenamiento de datos. Y, aunque es cierto que puede ser una solución eficiente en términos de recursos, también acarrea varios riesgos. La subcontratación sin una adecuada verificación de los proveedores puede llevar a incumplimientos normativos, especialmente si estos no cumplen con las regulaciones del RGPD y la LOPDGDD. Es sumamente importante que las PYMES cuenten con contratos claros que garanticen que los terceros también respeten la normativa de protección de datos.

Formación y Concienciación

La formación es un elemento clave para garantizar que todo el personal de una PYME entienda la importancia de la protección de datos. Sectores como el retail, los servicios y la tecnología manejan grandes cantidades de información personal y, por tanto, es fundamental que los empleados conozcan las mejores prácticas. Poner en marcha programas de formación periódica permite actualizar al personal y garantizar una mayor protección de datos.

Recursos y Herramientas de la AEPD

Para la adaptación y cumplimiento del RGPD, la AEPD dispone de materiales, recursos y herramientas en su página web que tienen por objetivo facilitar la adaptación y cumplimiento del RGPD. Entre estos materiales, destaca la denominada “Hoja de ruta” dirigida al sector privado, así como la publicación de diferentes guías sobre el RGPD.

Además, para ellos, la AEPD ha elaborado la herramienta FACILITA_RGPD, que proporciona ayuda para la elaboración del registro de actividades de tratamiento, las cláusulas informativas, las cláusulas contractuales para encargados del tratamiento y las medidas de seguridad a adoptar. Si los tratamientos que realizas son de bajo riesgo, es decir no son tratamientos masivos ni con datos especialmente protegidos, podrás utilizar la herramienta Facilita de la AEPD.

Por último, para aquellas dudas y consultas sobre la aplicación del RGPD, la AEPD cuenta con el canal INFORMA_RGPD para resolverlas. Puedes consultar la siguiente información:

• Herramienta FACILITA_RGPD
• FACILITA_RGPD ¿Cómo funciona y para qué sirve?

Recuerda: la protección de datos personales de tus clientes, usuarios, colaboradores o empleados según el RGPD no sólo sirve para evitar las sanciones, sino que es además un importante factor de competitividad y fidelización.

Para cumplir con el RGPD tienes que garantizar los derechos y libertades de las personas desde la misma definición del tratamiento de sus datos personales.