Conoce Atico34 - Solicita presupuesto
LOPDGDD & RGPD

Adaptación LOPD y RGPD obligatoria para empresas

Cualquier empresa o negocio que trate datos personales, debe cumplir con la normativa vigente de protección de datos. En las siguientes líneas revisaremos los aspectos clave para llevar a cabo la adaptación LOPD y RGPD de forma adecuada y de acuerdo a la ley.

¿Qué supone la adaptación LOPD / RGPD para el sector privado?

La adaptación RGPD y LOPD para el sector privado supone contemplar y cumplir con una serie de obligaciones y requisitos para garantizar la protección de datos en empresas; estas obligaciones y requisitos están recogidos y regulados en la LOPDGDD (también llamada LOPD) y en el RGPD.

De acuerdo a diferentes estudios e informes, en España todavía hay un significativo número de empresas que no cumplen con todas las exigencias de la normativa de protección de datos, lo que no solo les expone a ser denunciadas y sancionadas por la AEPD (Agencias Española de Protección de Datos), sino que también ponen en riesgo la privacidad de sus clientes, trabajadores y proveedores y lo que ello puede implicar, en algunos casos, para sus derechos y libertades.

Además de las empresas, la protección de datos para autónomos también es una obligación, puesto que como profesionales traten con datos personales de sus clientes (cuando estos son particulares, es decir, personas físicas), proveedores (cuando son otros autónomos) y, en caso de tenerlos, de sus empleados.

La adaptación LOPD en comunidades de propietarios también debe observarse, aunque de una manera menos exigente que para empresas y profesionales, puesto que se manejan datos personales de los propietarios, copropietarios e inquilinos de la comunidad y, en los casos en los que haya cámaras de videovigilancia, hay que cumplir con los requisitos que la normativa fija para el tratamiento de imágenes.

En los siguientes puntos revisaremos los aspectos clave de la adaptación a la LOPD y al RGPD de empresas y profesionales, así como de comunidades de propietarios.

Conocer los datos personales que se van a tratar

El primer aspecto para poder realizar una correcta adaptación de la empresa a la LOPD y el RGPD, es saber qué datos personales se van a tratar, porque estos determinarán las medidas técnicas y organizativas en materia de seguridad que la empresa o el autónomo deberá tomar para garantizar la protección de dichos datos.

Por definición, los datos personales son «toda información sobre una persona física cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona».

De manera que el RGPD y la LOPDGDD establecen que todos los datos personales deben ser tratados con medidas de seguridad adecuadas.

Además, ambas normativas reconocen una categoría especial de datos personales, los denominados datos sensibles o datos especialmente protegidos, que son aquellos cuyo conocimiento puede suponer mayor impacto en los derechos y libertades de las personas. Estos datos especiales son:

  • Datos de origen racial o étnico
  • Opiniones políticas
  • Creencias religiosas o filosóficas
  • Afiliación sindical
  • Datos genéticos
  • Datos biométricos cuyo objetivo sea identificar al individuo
  • Datos relativos a la salud
  • Datos relativos a la vida sexual y/o la orientación sexual

Estos datos requieren una mayor protección y cumplir con algunas obligaciones más a la hora de proceder a la adaptación al RGPD y la LOPD.

Información sobre la privacidad. Adapta tus formularios

Al realizar cualquier tratamiento de datos personales, debes informar a los interesados (los titulares de los datos) de que vas a tratar sus datos personales, qué tipo de datos vas a tratar, con qué finalidad, por cuánto tiempo y si cederás sus datos a terceros, así como de quién es el responsable del tratamiento y, si procede, de quién es el encargado del tratamiento y el delegado de protección de datos (DPO). También deberás aclarar a través de qué vía y cómo pueden los interesados ejercer sus derechos ARSULIPO.

Esta información puede suministrarse de diferentes formas, por ejemplo, cuando se trata de un contrato de trabajo o un contrato de servicios, a través de una cláusula de protección de datos. Si se trata de una página web, se hará a través de los llamados textos legales, es decir, el aviso legal, la política de privacidad y la política de cookies.

Además, si en tu página web empleas formularios de suscripción o de contacto, estos también deben aportar, en una primera capa informativa, la información básica relevante sobre protección de datos y tener habilitada una casilla de validación o checkbox para que los interesados puedan aceptar la política de privacidad.

Recabar el consentimiento expreso

Para cualquier tratamiento de datos que vayas a realizar, formularios de suscripción, uso de cookies, formulario para recibir comunicaciones comerciales, uso del curriculum vitae, etc., necesitas recabar el consentimiento expreso de los interesados (los titulares de los datos).

Este consentimiento expreso puede recogerse de varias formas, tanto de manera digital como física, pero debe quedar registrado, para poder demostrar que se cuenta con él en caso de una inspección de la AEPD.

Que sea «expreso» implica que el interesado debe hacer una acción para aceptarlo o darlo y, puesto que el consentimiento tácito o por inacción no es válido. Por esa razón, los formularios de tu web siempre deben llevar esa checkbox que hemos mencionado más arriba para aceptar la política de privacidad o los interesados deben firmar aceptando la cláusula de protección de datos.

Además, el consentimiento solo será válido para la finalidad para la que se hayan recogido los datos a la hora de solicitarlo, lo que significa que cada vez que vayas a usar esos datos con otra finalidad, deberás volver a solicitar el consentimiento de los interesados. Así mismo, el consentimiento solo se recoge para una finalidad en concreto, si quieres usar los datos con más finalidades, deberás recabar un consentimiento expreso para cada una de ellas.

tarifas proteccion datos

Realizar análisis de riesgos y EIPD

Otra de las obligaciones de la adaptación en protección de datos es la realización de los correspondientes análisis de riesgos.

Antes de llevar a cabo un tratamiento de datos personales, el responsable del tratamiento (la empresa o autónomo) debe llevar a cabo un análisis de los riesgos que dicho tratamiento puede suponer para los derechos y libertades de los interesados. A través de este análisis de riesgos, se determinarán las medidas de seguridad para protección de datos que sean más adecuadas para garantizar la privacidad de los interesados.

Existen determinadas circunstancias en las el responsable del tratamiento deberá llevar a cabo una EIPD (evaluación de impacto de protección de datos); se trata de un análisis de riesgos cuando el tratamiento de datos pueda suponer un riesgo alto para los derechos y libertades de los interesados. En concreto, es obligatorio realizarla cuando se tratan datos sensibles, cuando se tratan datos personales de manera sistemática y a gran escala y en determinados tipos de actividades.

Aplicar medidas de seguridad

Para garantizar la protección de datos personales y una adaptación LOPD y RGPD correcta, el responsable y el encargado del tratamiento deberán implementar las medidas de seguridad técnicas y organizativas necesarias y adecuadas al nivel de riesgo que impliquen los tratamientos de datos personales.

Estas medidas de seguridad deben garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los datos e información personal recogida y almacenada por la empresa o el autónomo.

Ni la LOPD ni el RGPD ofrecen una lista concreta de qué medidas de seguridad se deben tomar (más allá de la seudonimización), pero sí que hace referencia al principio de accountability, es decir, a la responsabilidad proactiva, que exige que la protección de datos personales se haga siempre desde el diseño y por defecto. Esto implica que desde el mismo momento en que diseñamos o pensamos en usar un tratamiento de datos personales, debemos llevar a cabo ese análisis de riesgos del que hablábamos más arriba.

Elaborar el registro de actividades de tratamiento

Responsables y encargados del tratamiento tienen la obligación de elaborar un registro de actividades de tratamiento cuando la empresa tiene más de 250 trabajadores o se tratan datos sensibles o  de manera sistemática o a gran escala. Este registro es una documentación que detalla y documenta los flujos de datos personales de cualquier empresa o profesional. La información que debe contener, como mínimo, es:

  • Datos de contacto del responsable del tratamiento
  • Fines del tratamiento
  • Descripción de categorías de interesados y datos
  • Destinatarios existentes o previstos
  • Transferencias internacionales de datos
  • Medidas de seguridad
  • Plazos de conservación

Contratos de encargo de tratamiento

Si se van a ceder datos personales de usuarios, clientes o trabajadores a terceros, será necesario firmar con esos terceros un contrato de encargado de tratamiento, mediante el cual se especifiquen los servicios prestados, las medidas de seguridad, las posibles transferencias de datos internacionales, los derechos de los usuarios que debe respetar el encargado, etc.

Atender las solicitudes de derechos ARSULIPO

Responsables y encargados del tratamiento no solo deben especificar en la política de privacidad la existencia de los derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición), sino que deben facilitar las vías para ejercerlos y responder siempre dentro de plazo a las solicitudes de estos derechos por parte de los interesados. No responder estas solicitudes es motivo de sanción por parte de la AEPD.

Aparte de estos derechos, también se debe responder a la solicitud de derecho al olvido, que es el derecho que tienen las personas a solicitar que sus datos personales se desvinculen de motores de búsqueda e indexaciones en Internet.

¿Necesitas un DPO?

Hay algunos tipos de negocio y actividades que requieren la designación de un DPO, en concreto cuando:

  • Las actividades principales de la empresa o profesional son operaciones que requieren la observación habitual y sistemática de datos personales o se tratan datos personales a gran escala.
  • Las actividades principales requieren el tratamiento de datos especialmente protegidos.

El DPO es un profesional con formación en protección de datos, y que tiene unas funciones específicas dentro de la empresa, entre ellas, las de asesorar en el cumplimiento y adaptación LOPD y RGPD, así como de funcionar como enlace entre la organización y la AEPD (por ejemplo, para realizar consultas en materia de protección de datos).

El DPO puede ser un empleado interno o contratarse como servicio externo.

Reportar de las brechas de seguridad

Finalmente, cualquier incidente de seguridad que pueda poner en riesgo los datos personales de los interesados y que puedan, por ello, causarle alguna clase de perjuicio, debe ser reportado.

Las brechas de seguridad deben comunicarse en un plazo máximo de 72 horas tanto a la AEPD como a los propios interesados cuyos datos personales hayan sido vulnerados.

¿Cuánto cuesta la adaptación RGPD y LOPD?

¿Cuál es el precio de la adaptación a la LOPD y al RGPD? La respuesta es que depende del tipo de actividad, el volumen de datos tratados y de si se trata de categorías especiales de datos. Por lo que os invitamos a consultar el precio de adaptación LOPD y RGPD y comprobar los servicios incluidos.

En cualquier caso, la adaptación RGPD y LOPD de tu empresa o negocio puede resultar una tarea compleja y que necesita dedicarle tiempo, además, exige contar con, al menos, un profesional especializado en protección de datos, conocedor de la normativa y de sus modificaciones, motivo por el cual muchas pymes y profesionales recurren a contratar la protección de datos a un servicio externo.

Además, debes tener en cuenta que la adaptación LOPD y RGPD insuficiente o inadecuada puede ser motivo de sanciones, que, en función de su gravedad, pueden alcanzar cuantías bastante elevadas (incluso en el rango leve, estas sanciones pueden llegar a los 40.000 euros, llegando a los 20 millones de euros en el rango de muy graves).

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.