Entre las diferentes obligaciones legales que debe cumplir cualquier empresa o autónomo, se encuentran aquellas derivadas de la Ley de Protección de Datos (LOPD o LOPDGDD) para quienes tratan con datos personales, que, prácticamente, es cualquier empresa o autónomo, así como entidad pública, e incluso comunidades de propietarios. De manera que la pregunta que muchos de ellos se hacen es: ¿cómo cumplir la LOPD?
En este artículo hablamos de:
- ¿Quién está obligado a cumplir la Ley de Protección de Datos?
- 13 pasos para cumplir con la LOPD en tu negocio en 2023
- 1. Determinar qué datos personales tratas
- 2. Definir qué tratamientos de datos vas a realizar
- 3. Análisis de riesgos
- 4. Implantar las medidas de seguridad adecuadas
- 5. Elaborar el registro de actividades de tratamiento
- 6. Ceder datos a terceros
- 7. Designar un DPO
- 8. Deber de informar
- 9. Recabar y registrar el consentimiento expreso
- 10. Textos legales de la página web
- 11. Gestionar brechas de seguridad
- 12. Auditorías periódicas
- 13. Contratos de confidencialidad
- Consecuencias por no cumplir la LOPD en 2023
- ¿No tienes claro cómo cumplir la Ley de Protección de Datos? Grupo Atico34 te puede ayudar
¿Quién está obligado a cumplir la Ley de Protección de Datos?
Antes de explicar cómo cumplir con la Ley de Protección de datos, es necesario saber quién está obligado a cumplir esta normativa. Puesto que en otros artículos relativos al RGPD y la LOPD ya hemos tratado este tema, responderemos de manera resumida a esta cuestión.
Están obligados a cumplir la Ley de Protección de Datos todas aquellas entidades que traten datos personales dentro de un contexto profesional o comercial, es decir, deben cumplir la normativa de protección de datos organizaciones, empresas, administraciones públicas y autónomos.
13 pasos para cumplir con la LOPD en tu negocio en 2023
Saber cómo cumplir con la protección de datos no siempre es fácil, especialmente para empresas o autónomos que manejan grandes volúmenes de datos personales o que tratan datos de las denominadas categorías especiales (art. 9 del RGPD). Además, cumplir con la protección de datos en empresas puede requerir tener cierto nivel de conocimientos y experiencia sobre la materia (es el caso, por ejemplo, del papel del Delegado de Protección de Datos).
12 pasos para cumplir la Lopd
Si quieres saber hasta qué punto sabes cómo cumplir con la LOPD en tu negocio, puedes comprobarlo siguiendo los siguientes puntos a modo de check list o lista de comprobación, que a su vez te servirá de guía para saber cómo cumplir con la Ley de Protección de Datos.
1. Determinar qué datos personales tratas
Los datos personales se dividen, actualmente, en dos categorías (aunque también hay qué considerar su tipo), una que podemos llamar básica (por ejemplo, los datos identificativos o los datos de contacto) y otra llamada categorías de datos especiales (también llamados datos sensibles o especialmente protegidos).
¿Sabes qué datos personales tratas en el día a día de tu negocio? Saber la respuesta a esta pregunta es fundamental para cumplir la LOPD para autónomos o empresas, porque determinará si debes o no cumplir con algunas de las obligaciones de la LOPD.
2. Definir qué tratamientos de datos vas a realizar
De la misma forma que necesitas saber qué datos vas a tratar, también debes saber o, al menos, tener previstos qué tratamientos de datos personales vas a llevar a cabo para realizar tu actividad. Por ejemplo, si tienes empleados, necesitas conocer sus datos identificativos, su número de la Seguridad Social, su número de cuenta bancaria, etc., para poder gestionar sus nóminas.
Tener definidos o previstos los tratamientos de datos que necesitas llevar a cabo para desarrollar tu actividad profesional o que se derivan de ella, es necesario para poder, entre otras cosas, determinar las medidas técnicas y organizativas que debes adoptar para garantizar la confidencialidad, integridad y disponibilidad de los datos. También te ayudará para saber qué categorías y tipos de datos personales vas a tratar.
Porque no es lo mismo cumplir la protección de datos en aseguradoras que en un taller mecánico o en una empresa de servicios informáticos, por ejemplo. Las obligaciones varían en función no solo de las categorías de datos, sino también de los tratamientos que se van a realizar (cumplir el RGPD y la LOPD tiene unas obligaciones generales y otras más específicas en función de la actividad, los datos o los tratamientos a realizar).
3. Análisis de riesgos
La protección de datos implica ser proactivos y aplicarla desde el propio diseño de los tratamientos, es decir, debemos conocer los riesgos que pueden suponer esos tratamientos de datos para los interesados (los titulares de los datos), en concreto, para sus derechos y libertades fundamentales y para su privacidad, tanto si se trata de cumplir la protección de datos en la administración pública como si es en una empresa.
Para ello, es necesario llevar a cabo los correspondientes análisis de riesgos, que nos ayudarán a determinar el nivel de riesgo de un tratamiento de datos, que no es otra cosa que saber qué probabilidades hay de que una amenaza (por ejemplo, un ciberataque) se materialice y afecte a dichos datos (por ejemplo, que una ataque de ransomware pueda acabar también filtrando una base de datos personales que no estuviera suficientemente protegida).
Los análisis de riesgos también nos ayudan a decidir qué medidas de seguridad son las más adecuadas para reducir las probabilidades de que las amenazas se materialicen y, en el caso de que ocurran, minimizar el impacto en los derechos y libertades de los interesados cuyos datos puedan haberse visto afectados (siguiendo con los ejemplos anteriores, cifrar la base de datos personales de nuestros clientes evitará que estos sean vulnerados en una posible filtración).
Para cualquier tratamiento de datos que tengas pensado realizar o actividad que implique tratamiento de datos personales, deberás llevar a cabo el análisis de riesgos (siempre que se trate de un tratamiento nuevo y de diferentes características). Además, ese análisis de riesgo debe quedar documentado.
Es posible que por el volumen de datos que realices de manera habitual, o si tratas con datos de categorías especiales o de infracciones penales o si tu negocio requiere la observación sistemática a gran escala de una zona de acceso público, debas llevar a cabo también una evaluación de impacto (EIPD). Es otro tipo de análisis de riesgos, centrado en determinar el nivel de impacto negativo en los derechos y libertades de los interesados de las amenazas a las que se expone un determinado tratamiento de datos y si es posible minimizarlo con las correspondientes medidas de seguridad.
Por ejemplo, es muy posible que a la hora de cumplir la protección de datos para abogados, el despacho deba realizar la evaluación de impacto antes de tratar los datos de aquellos clientes que hubieran cometido delitos penales.
4. Implantar las medidas de seguridad adecuadas
Como decíamos, las medidas de seguridad que decidamos implantar deben garantizar la confidencialidad, integridad y disponibilidad de los datos que tratamos. Por ello debemos escoger o diseñar aquellas más adecuadas basándonos en los resultados de los análisis de riesgos y de las EIPD (si hemos tenido que realizar alguna).
Así mismo, esas medidas de seguridad deben estar documentadas, incluida una descripción y el objetivo que se persigue con ellas.
5. Elaborar el registro de actividades de tratamiento
Los registros de actividades de tratamiento sirven para documentar los tratamientos de datos que se realizan en la empresa o el negocio, aportando información concisa y detallada relativa a los mismos. Son documentos internos, que debemos mantener actualizados, y que la AEPD (Agencia Española de Protección de Datos) puede solicitar en un proceso de investigación o inspección.
La normativa nos dice qué entidades o profesionales deben llevar el registro de actividades de tratamiento:
-
- Empresas con más de 250 empleados
- Si se tratan datos de categorías especiales
- Si se tratan datos de manera habitual
- Si se tratan datos relativos a condenas e infracciones
El tercer punto implica que, en la práctica, la mayoría de entidades y profesionales deben elaborar este registro, que deberá incluir la siguiente información:
-
- Identidad del responsable del tratamiento
- Finalidad del tratamiento
- Base legitimadora para el tratamiento
- Descripción de categorías de interesados y categorías de datos
- Descripción de destinatarios (existentes y previstos)
- Transferencias internacionales de datos y sus garantías
- Descripción de las medidas de seguridad adoptadas (sin que esto implique un riesgo para dicha seguridad)
- Plazos de conservación de los datos
6. Ceder datos a terceros
Si para poder cumplir con alguna obligación legal o prestar algún servicio, necesitas contratar a un proveedor y este va a tener acceso a los datos personales para poder realizar el servicio para el que les ha contratado, debes firmar con él un contrato de protección de datos o contrato de encargo de tratamiento.
En este contrato, tú, como responsable del tratamiento, debes establecer las obligaciones y condiciones que el encargado del tratamiento, el proveedor, debe cumplir en relación a los datos que le cedes (finalidad, medidas de seguridad, plazo de conservación, qué hacer con los datos finalizado el contrato, etc.).
Además, también debes asegurarte de que cumple con todas las obligaciones en materia de protección de datos.
7. Designar un DPO
La LOPD recoge las actividades que obligan a tener un Delegado de Protección de Datos (DPO). Pero a esa lista también hay que sumar actividades que impliquen el tratamiento de datos personales a gran escala, el tratamiento de datos de categorías especiales o relativos a condenas e infracciones.
Si bien, se puede nombrar a un empleado de la empresa como DPO, este debe contar tanto con conocimientos como con experiencia en protección de datos, puesto que entre sus funciones está la asistencia al responsable en todo lo relacionado con las obligaciones en protección de datos, responder dudas o plantear estas dudas a la AEPD, con la que además funciona como enlace.
8. Deber de informar
Tratar datos personales significa también cumplir con el principio de transparencia, es decir, debes informar a los interesados sobre los tratamientos que realizas y para qué los realizas, qué ocurre con sus datos una vez cumplida la finalidad para la que fueron recabados y si vas a cederlos a terceros, entre otros aspectos, como el plazo de conservación o la base legitimadora para el tratamiento.
De esa forma, contribuyes a que los titulares de los datos tengan un mayor control sobre los datos personales que te ceden a ti o a otras entidades.
Esta información se puede suministrar de diferentes formas (política de privacidad, cláusulas de protección de datos, carteles de videovigilancia, etc.), pero siempre debe ser accesible para los interesados y estar redactada de forma clara y comprensible para el usuario medio.
Además, también debes informarles sobre sus derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición); cómo pueden ejercerlos y a través de qué vía. Así mismo, también debes informar de la posibilidad de reclamar ante la AEPD.
9. Recabar y registrar el consentimiento expreso
El consentimiento expreso es la principal base legitimadora para el tratamiento de datos personales e implica que debes habilitar un medio o forma para recabarlo y que quede registrado, puesto que exige que los interesados realicen una acción afirmativa (una firma, el marcado de una casilla, etc.).
Debes saber, además, que el consentimiento expreso es granulado, esto significa que para una finalidad diferente, debes recabar un consentimiento diferente. O que si quieres usar los datos que ya has recabado para otra finalidad, debes volver a recabar el consentimiento de los interesados.
También debes saber cuándo no es necesario recabar ese consentimiento, puesto que hay otras bases legitimadoras a las que se puede recurrir (art. 6 del RGPD), aunque siempre deberás informar sobre el tratamiento de datos a los interesados.
Ten en cuenta, además, que para tratar datos de categorías especiales, la LOPD dice que el consentimiento expreso siempre es necesario.
10. Textos legales de la página web
Cumplir la LOPD en páginas web implica cumplir una serie de obligaciones específicas, puesto que a través de ellas recabarás datos personales de tus usuarios (dirección IP, datos identificativos o de contacto, de comportamiento, etc.). Esas obligaciones se resumen en los textos legales web:
-
- Política de privacidad (siempre que recabes datos personales de tus usuarios)
- Política de cookies y aviso de cookies (siempre que tu web emplee cookies propias o de terceros)
- Aviso legal (si tu web genera beneficios económicos directos o indirectos o es una web corporativa)
- Condiciones generales de venta y/o contratación (si eres una tienda online o vendes o prestas algún servicio online)
Estos textos legales siempre deben ser accesibles desde cualquier sección de la web y estar personalizados, es decir, deben referirse a tu negocio o actividad (no vale el copia pega o textos muy estandarizados). Y puesto que son la forma en la que se cumple con el deber de informar en la web, deben estar redactados de forma clara y comprensible.
11. Gestionar brechas de seguridad
Aunque tengas implantadas medidas de seguridad, el riesgo cero no existe y por ello debes saber qué hacer en caso de sufrir una brecha de seguridad que pueda exponer los datos personales que almacenas o que puedas estar manejando.
Si la brecha de seguridad puede suponer un riesgo para los derechos y libertades de los interesados cuyos datos pueden verse afectados (es decir, queden expuestos sus datos personales), debes informar de ello tanto a los propios interesados como a la AEPD en un plazo no superior a 72 horas, a contar desde el momento en que se detectó la brecha.
Esto implica que debes tener habilitado un protocolo de actuación para este tipo de incidentes, que te permita no solo notificar en plazo la brecha de seguridad, sino también poner en marcha las medidas que reduzcan el impacto de la misma y le pongan solución. Además, también deberías incluir un método de evaluación de incidentes para analizarlos y saber por qué se han producido y cómo poder evitarlos en el futuro.
12. Auditorías periódicas
Lo decíamos más arriba, cumplir con la LOPD implica ser proactivos y eso pasa por poder demostrar que cumplimos con las obligaciones que hemos ido viendo en los puntos anteriores. La mejor forma de demostrarlo es recurrir a la realización de auditorías periódicas para evaluar si estamos cumpliendo de manera adecuada la normativa, nuestras medidas de seguridad son suficientes y efectivas o hay algún problema o riesgo de incumplimiento que solucionar.
Si no llevas a cabo este tipo de auditorías, es muy recomendable programarlas con carácter bienal o, si se producen cambios significativos en la organización, realizarlas antes. También se recomienda recurrir a un servicio de consultoría externo especializado en protección de datos para hacerlas, de manera que sean completamente objetivas e independientes.
13. Contratos de confidencialidad
Para cumplir con la ley de protección de datos es necesario firmar un contrato de confidencialidad con los empleados o con aquellas personas con acceso a los datos personales de los usuarios, o a los equipos mediante los cuáles se realiza la gestión o tratamiento de dichos datos.
Consecuencias por no cumplir la LOPD en 2023
Recordamos que no cumplir con la LOPD tiene consecuencias, que van desde apercibimientos hasta sanciones impuestas por la AEPD.
La cuantía de las sanciones por no cumplir la protección de datos depende de la gravedad de la infracción, su duración en el tiempo, su intencionalidad, el número de afectados, el tipo de datos afectados y si se colabora o no con la AEPD durante la investigación.
De manera resumida, las sanciones contempladas en la LOPD son:
- Hasta 40.000 euros para infracciones leves (art. 74)
- De 40.001 a 300.000 euros para infracciones graves (art. 73)
- De 300.001 a 20 millones de euros o el 4% del volumen de facturación anual para infracciones muy graves (art. 72)
Cabe señalar que, como ocurre con cualquier ley, su ignorancia o desconocimiento no te eximen de cumplirla, por ello es fundamental saber cómo cumplir con la Ley de Protección de Datos y todas las obligaciones legales que se derivan de ella para cualquier responsable o encargado del tratamiento de datos.
¿No tienes claro cómo cumplir la Ley de Protección de Datos? Grupo Atico34 te puede ayudar
Si no has sabido responder a las preguntas del cuestionario que hemos planteado más arriba o no cumples con algunos de los elementos de la lista de comprobación, así como si tienes dudas sobre alguno de ellos y las obligaciones que implican, es muy posible que necesites ayuda para cumplir con la LOPD.
Da igual el tamaño de tu empresa o tu volumen de facturación, adaptar tu empresa o negocio a la LOPD correctamente es fundamental para evitar sanciones, que pueden ser mucho más cuantiosas que pagar por cumplir con la Ley de Protección de Datos. (recuerda que el desconocimiento no te exime de cumplir la ley y de sus consecuencias, si no lo haces). Y también para ganar y mantener la confianza de tus clientes.
Grupo Atico34 te ofrece servicios completamente personalizados y adaptados a las necesidades reales de tu empresa o negocio o entidad (o de tu comunidad de propietarios), además, tendrás acceso a nuestro software de gestión de protección de datos, con el que podrás saber siempre el nivel de cumplimiento de tu organización, qué empleados tienen acceso a qué datos, redactar y descargar todos los documentos que necesites (completamente personalizados) o tener un asesor 24/7 que te ayudará a resolver todas tus dudas sobre la LOPD y los tratamientos de datos que llevas a cabo, entre otras características.
También podrás contratar nuestros servicios de DPO externo si por la actividad de tu empresa, necesitas designar uno.