¡Pide presupuesto en 2 min! ✓
LOPDGDD & RGPD

Claves de la adaptación al RGPD para empresas y profesionales

Si en tu empresa o negocio tratas datos personales, debes cumplir con la normativa vigente de protección de datos. En las siguientes líneas repasaremos los aspectos clave para llevar a cabo la adaptación al RGPD y la LOPDGDD de forma adecuada y de acuerdo a ley.

La adaptación al RGPD es obligatoria

Cualquier entidad, pública o privada, que en el desempeño de su actividad económica o administrativa trate con datos personales, debe cumplir obligatoriamente con la normativa de protección de datos, vigente, es decir, con el RGPD y la LOPDGDD.

A través de la adaptación al RGPD y la LOPDGDD, estas entidades garantizan la protección de los datos personales de sus usuarios y clientes, un derecho fundamental reconocido por la UE, cuyo objetivo es proteger la intimidad y privacidad de las personas físicas frente a los abusos o vulneraciones que puedan ocurrir en la recogida, almacenamiento y/o uso de los datos personales.

Hablamos tanto de la privacidad en Internet como fuera de ella, aunque actualmente tendamos a vincular más la protección de datos personales con el mundo digital, cualquier forma de tratamiento que implique la recogida, almacenamiento y/o empleo de datos personales, dentro o fuera del ámbito digital, implica cumplir con la normativa de protección de datos.

¿Qué supone la adaptación al RGPD para el sector privado?

La adaptación al RGPD para el sector privado supone contemplar y cumplir una serie de obligaciones y requisitos para garantizar la protección de datos en empresas; estas obligaciones y requisitos están establecidos y regulados en el RGPD y en la LOPDGDD y, de acuerdo a diferentes estudios, todavía hay empresas que no cumplen con todas las exigencias de la ley, lo que no solo les expone a ser sancionadas por la AEPD, sino que también ponen en riesgo la privacidad de sus clientes, trabajadores y proveedores y lo que ello puede implicar, en algunos casos, para sus derechos y libertades.

Y no solo son las empresas las que tienen esta obligación, la adaptación al RGPD para autónomos también es obligatoria en el momento en que traten con datos personales, como lo son los de sus clientes particulares.

A continuación vamos a repasar los aspectos clave que empresas y autónomos deben tener en cuenta para llevar a cabo una correcta adaptación al RGPD y la LOPDGDD.

Adaptación RGPD al sector privado

Conocer los datos personales que se van a tratar

El primer aspecto es saber qué datos personales se van a tratar, porque estos determinarán las medidas técnicas y organizativas en materia de seguridad que la empresa o el autónomo deberá tomar para garantizar la protección de dichos datos.

Por definición, los datos personales son «toda información sobre una persona física cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona».

De manera que el RGPD y la LOPDGDD establecen que todos los datos personales deben ser tratados con medidas de seguridad adecuadas.

Además, ambas normativas reconocen una categoría especial de datos personales, los denominados datos sensibles o datos especialmente protegidos, que son aquellos cuyo conocimiento puede suponer mayor impacto en los derechos y libertades de las personas. Estos datos especiales son:

  • Datos de origen racial o étnico
  • Opiniones políticas
  • Creencias religiosas o filosóficas
  • Afiliación sindical
  • Datos genéticos
  • Datos biométricos cuyo objetivo sea identificar al individuo
  • Datos relativos a la salud
  • Datos relativos a la vida sexual y/o la orientación sexual

Estos datos requieren una mayor protección y cumplir con algunas obligaciones más.

Información sobre la privacidad. Adapta tus formularios

Si tu empresa o negocio tiene una página web, esta debe contar con los denominados textos legales, es decir, el aviso legal, la política de privacidad, la política de cookies y, en caso de que sea una tienda online, las condiciones generales de venta o contratación.

Nos vamos a centrar en la política de privacidad y cookies, puesto que es aquí donde debes explicar a tus usuarios y clientes todo lo relativo al tratamiento de sus datos personales, informándoles de manera clara y accesible qué datos se recogen, con qué finalidad se tratan, los plazos de conservación de los mismos, qué cookies propias y de terceros usa la web, si se van a ceder datos a terceros y quiénes son esos terceros, así como si se producirán transferencias internacionales de datos.

Toda esta información debe figurar en su propia página o subpágina independiente y accesible desde cualquier sección de la página web (habitualmente se coloca en el footer), así como en cualquier formulario que emplees en tu sitio web.

Respecto a los formularios en protección de datos, la información sobre privacidad aparecerá resumida (en lo que se conoce como primera capa de información) y, aparte del enlace a la política completa de privacidad, también deberá contar con una casilla o checkbox desmarcada para que los usuarios o clientes puedan aceptar la política de privacidad.

Recabar el consentimiento expreso

Para cualquier tratamiento de datos que vayas a realizar, formularios de suscripción, uso de cookies, formulario para recibir comunicaciones comerciales, uso del curriculum vitae, etc., necesitas recabar el consentimiento expreso de los interesados (los titulares de los datos).

Este consentimiento expreso puede recogerse de varias formas, tanto de manera digital como física, pero debe quedar registrado, para poder demostrar que se cuenta con él en caso de una inspección de la AEPD.

Que sea «expreso» implica que el interesado debe hacer una acción para aceptarlo o darlo y ya no es válido el consentimiento tácito o por inacción. Por esa razón, los formularios de tu web siempre deben llevar esa checkbox que hemos mencionado más arriba para aceptar la política de privacidad.

Además, el consentimiento solo será válido para la finalidad para la que se hayan recogido los datos a la hora de solicitarlo, lo que significa que cada vez que vayas a usar esos datos con otra finalidad, deberás volver a solicitar el consentimiento de los interesados. Así mismo, el consentimiento solo se recoge para una finalidad en concreto, si quieres usar los datos con más finalidades, deberás recabar un consentimiento expreso para cada una de ellas.

tarifas proteccion datos

Realizar análisis de riesgos y EIPD

Antes de llevar a cabo un tratamiento de datos personales, el responsable del tratamiento (la empresa o autónomo) debe llevar a cabo un análisis de los riesgos que dicho tratamiento puede suponer para los derechos y libertades de los interesados. A través de este análisis de riesgos, se determinarán las medidas de seguridad para protección de datos que sean más adecuadas para garantizar la privacidad de los interesados.

Existen determinadas circunstancias en las el responsable del tratamiento deberá llevar a cabo una evaluación de impacto de protección de datos; se trata de un análisis de riesgos cuando el tratamiento de datos pueda suponer un alto riesgo para los derechos y libertades de los interesados. En concreto se realiza cuando se tratan datos sensibles, cuando se tratan datos personales de manera sistemática y a gran escala y en determinados tipos de actividades.

Aplicar medidas de seguridad

Para garantizar la protección de datos personales, el responsable y el encargado del tratamiento deberán implementar las medidas de seguridad técnicas y organizativas necesarias y adecuadas al nivel de riesgo que impliquen los tratamientos de datos personales.

Estas medidas de seguridad deben garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los datos e información personal recogida y almacenada por la empresa o el autónomo.

El RGPD no ofrece una lista de qué medidas de seguridad se deben tomar, pero sí que hace referencia al principio de accountability, es decir, a la responsabilidad proactiva, que exige que la protección de datos personales se haga siempre desde el diseño y por defecto. Esto implica que desde el mismo momento en que diseñamos o pensamos en usar un tratamiento de datos personales, debemos llevar a cabo ese análisis de riesgos del que hablábamos más arriba.

Elaborar el registro de actividades de tratamiento

Responsables y encargados del tratamiento tienen la obligación de elaborar un registro de actividades de tratamiento cuando la empresa tiene más de 250 trabajadores o se tratan datos sensibles o a gran escala. Este registro es una documentación que detalla y documenta los flujos de datos personales de cualquier empresa o profesional. La información que debe contener, como mínimo, es:

  • Datos de contacto del responsable del tratamiento
  • Fines del tratamiento
  • Descripción de categorías de interesados y datos
  • Destinatarios existentes o previstos
  • Transferencias internacionales de datos
  • Medidas de seguridad
  • Plazos de conservación

Contratos de encargo de tratamiento

Si se van a ceder datos personales de usuarios, clientes o trabajadores a terceros, será necesario firmar con esos terceros un contrato de encargado de tratamiento, mediante el cual se especifiquen los servicios prestados, las medidas de seguridad, las posibles transferencias de datos internacionales, los derechos de los usuarios que debe respetar el encargado, etc.

Atender las solicitudes de derechos ARSULIPO

Responsables y encargados del tratamiento no solo deben especificar en la política de privacidad la existencia de los derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición), sino que deben facilitar las vías para ejercerlos y responder siempre dentro de plazo a las solicitudes de estos derechos por parte de los interesados. No responder estas solicitudes es motivo de sanción por parte de la AEPD.

Aparte de estos derechos, también se debe responder a la solicitud de derecho al olvido, que es el derecho que tienen las personas a solicitar que sus datos personales se desvinculen de motores de búsqueda e indexaciones en Internet.

¿Necesitas un DPO?

Hay algunos tipos de negocio y actividades que requieren la designación de un Delegado de Protección de Datos, en concreto cuando:

  • Las actividades principales de la empresa o profesional son operaciones que requieren la observación habitual y sistemática de datos personales a gran escala.
  • Las actividades principales requieren el tratamiento a gran escala de datos especialmente protegidos.

El DPO es un profesional con formación específica en protección de datos, con unas funciones específicas dentro de la empresa, que puede ser un empleado interno o contratarse como servicio externo.

Reportar de las brechas de seguridad

Finalmente, cualquier incidente de seguridad que pueda poner en riesgo los datos personales de los interesados y que puedan, por ello, causarle alguna clase de perjuicio, debe ser reportado.

Las brechas de seguridad deben comunicarse en un plazo máximo de 72 horas tanto a la AEPD como a los propios interesados cuyos datos personales hayan sido vulnerados.

¿Cuánto cuesta adaptar tu negocio al RGPD?

Adaptar la empresa o el negocio al RGPD puede resultar una tarea compleja y que necesita dedicarle tiempo, además, exige contar con, al menos, un profesional especializado en protección de datos, conocedor de la normativa y de sus modificaciones, motivo por el cual muchas pymes y profesionales recurren a contratar la protección de datos a un servicio externo.

Pero, ¿cuál es el precio de la adaptación al RGPD? La respuesta es que depende del tipo de actividad, el volumen de datos tratados y de si se trata de categorías especiales de datos. Por lo que os invitamos a consultar los precios de adaptación a la LOPDGDD y el RGPD y comprobar los servicios incluidos, teniendo en cuenta que no cumplir con la normativa o hacerlo de forma insuficiente puede acarrear importantes sanciones (de hasta 20 millones de euros en los casos más graves).

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.