El modelo europeo de protección de datos que tiene su base en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
Por su parte, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales es el instrumento que se utiliza para adaptar al ordenamiento jurídico español el Reglamento General de Protección de Datos (RGPD).
Cualquier modelo de negocio, empresa o actividad, para unos fines o para otros, trata datos de carácter personal, veamos el impacto de la protección de datos en la actividad de las empresas.
¿Qué empresas están obligadas a cumplir con la Ley Orgánica de Protección de Datos?
No podemos hablar solo de empresas.
La normativa sobre protección de datos afecta a todas las personas físicas o jurídicas que traten ficheros de datos personales.
Con independencia de si se trata de organizaciones, empresas, Pymes, administraciones públicas, comunidades de propietarios, asociaciones, entidades sin ánimo de lucro, autónomos o grandes empresas ...
El Reglamento, y, por tanto, también la Ley de Protección de Datos, se aplican al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
La aplicación del RGPD se contempla sobre aquellos responsables y encargados, que encontrándose o no establecidos en la UE, realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión.
Las previsiones de la normativa de protección de datos no son de aplicación cuando se almacenen o procesen datos personales únicamente en el ejercicio de actividades personales o domésticas.
¿Es obligatoria la protección de datos para grandes empresas?
Es obligatoria para cualquiera que trate datos personales. En general la Ley de Protección de Datos afecta a todas las personas físicas o jurídicas que traten ficheros de datos personales.
La aplicación del RGPD no se establece en función del tipo de empresa o el tamaño de la misma, pero sí atendiendo a la naturaleza de sus actividades.
Si atendemos al tamaño de las empresas, el RGPD sí establece una serie de excepciones en materia de llevanzas de registros, veamos:
- Las empresas con menos de 250 empleados no deben llevar registros de sus actividades de tratamiento a menos que el tratamiento de los datos personales sea una actividad habitual, suponga una amenaza para los derechos y libertades de las personas o guarde relación con datos sensibles o antecedentes penales.
- Las pymes solo deberán nombrar a un delegado de protección de datos si el tratamiento es su actividad principal y supone una amenaza específica para los derechos y libertades de las personas (como la observación de personas o el tratamiento de datos sensibles o antecedentes penales), en particular porque se realiza a gran escala.
¿Qué tipo de datos maneja una empresa?
Las empresas pueden manejar cualquier tipo de datos. Pueden ser datos de otras empresas, de clientes, de su personal, de proveedores, etc.
En todo caso, lo que interesa a efectos de protección de datos son los datos personales, con independencia de a quien pertenezcan los mismos.
El RGPD define qué se entenderá por datos personales y de acuerdo con las previsiones del artículo 4 establece:
A efectos del presente Reglamento se entenderá por:
“1) «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;”.
¿Qué obligaciones tienen las empresas en relación a los datos personales?
El RGPD establece una serie de obligaciones en cumplimiento del principio de responsabilidad proactiva, que permitirán por una parte proteger y garantizar los derechos y libertades de las personas físicas cuyos datos son tratados y a la vez que para demostrar el cumplimiento.
Estas medidas de responsabilidad activa son las siguientes:
- Registro de actividades de tratamiento
- Inventario de actividades de tratamiento
- Designación de un delegado de protección de datos
- Evaluación del riesgo que, para los derechos y libertades de los interesados, podría suponer un tratamiento de datos personales
- Realización de evaluaciones de impacto para la protección de datos
- Consulta previa a la Autoridad de Control
- Protección de datos desde el diseño
- Protección de datos por defecto
- Seguridad de los tratamientos de datos
- Notificación de brechas de datos personales a la Autoridad de Control
- Comunicación de brechas de datos personales a los interesados
- Adopción de Códigos de conducta
- Establecimiento de garantías para las transferencias de datos personales a terceros países u organizaciones internacionales
Principios básicos de Protección de Datos
Todo esto debe realizarse en cumplimiento de los principios básicos que el Reglamento General de Protección de Datos y por extensión la LOPDGDD señala:
Licitud del tratamiento
Los datos deben de ser tratados con el consentimiento explícito del interesado o sobre otra base o fundamento jurídico que lo legitime para que el tratamiento sea lícito. Son bases de legitimación para el tratamiento de los datos:
- Prestar el consentimiento
- Que exista una relación contractual que lo fundamente
- Que se traten para cumplir con intereses vitales del interesado o de otras personas
- Cumplimiento de una obligación legal del responsable
- Que se deba al interés público o ejercicio de poderes públicos
- Para salvaguardar intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos
Lealtad
El interesado respecto de sus datos personales, debe conocer que se están recogiendo, utilizando, consultando o tratando, así como la medida en que dichos datos son o serán tratados.
Transparencia
Exige que toda comunicación o información relativa al tratamiento de datos personales sea accesible y fácil de entender, que se utilice un lenguaje claro y sencillo.
Limitación de la finalidad
Los datos personales deben de ser recogidos con fines explícitos, determinados y legítimos, no serán tratados de manera incompatible o distinta con los fines para los que se recogieron posteriormente.
Minimización de los datos
Aplicar medidas técnicas y organizativas para que los datos que se traten sean pertinentes, adecuados y no excesivos o limitados, en relación con los fines que legitiman el tratamiento.
Exactitud
Los datos deben de ser exactos y actualizados.
Deben adoptarse las medidas razonables que permitan corregir errores, editar datos que resulten incompletos o inexactos y garantizar la veracidad de la información objeto de tratamiento.
Confidencialidad
El tratamiento de los datos debe realizarse de forma que permita garantizar la seguridad adecuada de los mismos.
Se incluye la protección contra el tratamiento no autorizado o ilícito, pérdida, destrucción, daño accidental, mediante medidas técnicas u organizativas que garanticen la integridad y confidencialidad.
Conservación
Los datos se mantendrán y conservarán el menor tiempo posible. Deben establecerse plazos para la supresión o revisión periódica.
¿Cómo evito que sancionen a mi empresa por incumplir la normativa de protección de datos?
Es suficiente con cumplir las directrices del Reglamento de Protección de Datos y por extensión de la Ley de Protección de datos.
Como recomendaciones la realización de auditorías, pues son una parte esencial de los procesos de mejora continua y revisión:
Realizar auditorías periódicas de protección de datos y de sistemas de información, así como en la gestión de la seguridad de los tratamientos.
La Ley de Protección de datos y el RGPD no exigen de forma explícita la realización de auditorías, pero sí son recomendables también porque el principio de responsabilidad proactiva exige que el responsable del tratamiento (en ocasiones el encargado) será no solo responsable de cumplir con las previsiones del RGPD, sino que también deberá ser capaz de demostrarlo.
Así pues, es necesario disponer de evidencias de cumplimiento, que normalmente requerirán documentar de forma adecuada todas las medidas implementadas con la finalidad de dar cumplimiento a las obligaciones establecidas en la normativa de protección de datos.
Ventajas de la realización de auditorías de protección de datos
Entre las ventajas de la realización de auditorías destacamos, por tanto:
- Permite evaluar riesgos.
- Verificar si las medidas implementadas son suficientes.
- Sumarse a un proceso de mejora continua que permita adoptar medidas nuevas.
- Evidenciar el cumplimiento.
Fórmate en este sector en auge y adquiere una especialización en Protección de datos en Empresas que te permita gestionar las cuestiones relacionadas con la protección de datos en cualquier tipo de empresa.
Categorizado en:
Jurídico
