Los autónomos están obligados a cumplir con la normativa de protección de datos en la medida en la que para el desarrollo de su actividad tratan datos de carácter personal de proveedores, clientes y empleados. En este artículo te vamos a dar las claves para cumplir con la LOPD y el RGPD.
Es importante destacar que los autónomos tienen la consideración de responsables del tratamiento dado que determinan los dines y los medias relacionados con el tratamiento de datos personales, es decir, deciden "por qué" y "cómo" deben tratarse los datos personales. Además, pueden actuar como encargados del tratamiento cuanto traten datos personales por cuenta del responsable del tratamiento.
Protección de datos para autónomos: principio de responsabilidad proactiva
Para cumplir con la normativa de protección de datos los autónomos deben, como responsables del tratamiento, aplicar una serie de medidas para garantizar que los tratamientos que lleven a cabo se adapten a las previsiones del Reglamento General de Protección de Datos (RGPD) y a la Ley Orgánica de Protección de Datos 3/2018 (LOPD). Estas medidas se denominan de responsabilidad proactiva y se resumen en las siguientes. ¡Vamos!
Análisis de riesgos
Las medidas que debe adoptar el autónomo en materia de protección de datos varían en función del riesgo que los tratamientos puedan suponer para los derechos y libertades de los interesados. Por ejemplo, sólo será necesario realizar una EIPD si el riesgo inherente al tratamiento es alto.
Todos los autónomos deben realizar una valoración del riesgo de los tratamientos que realizan para poder determinar las medidas a aplicar. El análisis de riesgos varía en función de:
- El tipo de tratamiento.
- La naturaleza de los datos.
- El número de interesados afectados.
- La variedad y cantidad de tratamientos que el autónomo lleve a cabo.
Registro de actividades del tratamiento
Con carácter general los autónomos no están obligados a llevar un registro de actividades del tratamiento, a menos que el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos o datos relativos a condenas e infracciones penales.
El registro de actividades del tratamiento debe contener la información recogida en el artículo 30 del RGPD.
Protección de datos desde el diseño y por defecto
Este principio requiere pensar en términos de protección de datos desde el mismo momento en que se diseña un tratamiento, un producto o servicio que implica el tratamiento de los datos personales.
Los autónomos deben tomar medidas técnicas y organizativas para integrar en los tratamientos garantías que permitan aplicar los principios del RGPD de forma efectiva.
Medidas de seguridad
A partir del análisis de riesgos llevado a cabo, el autónomo establecerá medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado. Estas medias técnicas y organizativas se establecerán teniendo en cuenta:
- El coste de la técnica
- Los costes de aplicación
- La naturaleza, el alcance, el contexto y los fines del tratamiento
- Los riesgos para los derechos y libertades
Notificación de brechas de seguridad en el tratamiento de datos
El RGPD define brechas de seguridad como de una forma muy amplia, que incluye todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Son ejemplos de brechas de seguridad: la pérdida de un ordenador portátil o el borrado accidental de algunos registros.
Cuando se produzca una brecha de seguridad, el autónomo debe notificarla a la AEPD o a la autoridad autonómica competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.
La notificación de la brecha a las autoridades de control debe producirse sin dilación indebida y, a ser posible, dentro de las 72 horas siguientes a que el autónomo tenga constancia de ella.
Evaluación de impacto sobre protección de datos (EIPD)
El autónomo deberá realizar una EIPD cuando sea probable que el tratamiento de datos conlleve un alto riesgo para los derechos y libertades de los interesados. Es decir, cuando el resultado de la evaluación de riesgos identifique que los tratamientos implican un alto riesgo para los derechos o libertades de los interesados
Delegado de protección de datos
Tanto el RGPD como la LOPDGDD prevén unos supuestos concretos en los que el autónomo estará obligado a designar un delegado de protección de datos. Con carácter general las autónomos están exentos de esta obligación.
Además, los responsables del tratamiento pueden realizar de forma periódica auditorías de protección de datos como herramienta útil de gestión del cumplimiento y parte esencial de los procesos de revisión y mejora continua.
Cumplimiento de la normativa europea y nacional
La Agencia Española de Protección de Datos ofrece a los autónomos diversas herramientas para adaptar el tratamiento de datos a las previsiones del RGPD y la LOPD.
Con carácter general los autónomos realizan un tratamiento de datos personales de escaso riesgos lo que permitirá el uso de la herramienta Facilita_ RGPD. Esta es una herramienta útil para que los autónomos valoren su situación respecto del tratamiento de datos personales. Si el tratamiento se adapta a los requisitos exigidos para utilizar esta herramienta, los autónomos dispondrán diversos documentos adaptados a su empresa. Algunos de ellos son: el registro de actividades del tratamiento, cláusulas contractuales para anexar en los contratos de encargo del tratamiento de datos, cláusulas informativas a incluir en los formularios de recogida de datos personales y las medidas mínimas de seguridad a implantar.
Sólo con los documentos que proporciona la herramienta Facilita_RGPD no supone el cumplimiento automático del RGPD y la LOPD. Así, se trata de documentos iniciales de orientación y ayuda para abordar de forma adecuada la comprensión de las obligaciones del responsable del tratamiento.
Además, la AEPD ha publicado la herramienta Facilita emprende que sirve de apoyo a autónomos y emprendedores cuyos tratamientos se caracterice por un fuerte componente innovador que hace uso de las nuevas tecnologías.
