Es una duda recurrente, ¿hacer un curso de protección de datos es obligatorio para empresas? ¿Debemos formar a nuestros empleados en protección de datos? ¿Lo exige la normativa? En las siguientes líneas responderemos a estas preguntas para aclarar cualquier duda sobre los cursos de protección de datos.
En este artículo hablamos de:
Cumplir la Ley de Protección de Datos es obligatorio para todas las empresas
Si sois lectores habituales del blog de Grupo Atico34, sabéis ya que toda empresa que trate con datos personales (de personas físicas), está obligada cumplir con la Ley de Protección de Datos y casi podemos afirmar que toda empresa trata en algún momento con datos personales; de sus clientes, de sus empleados, de los visitantes de la página web corporativa o de sus seguidores en redes sociales.
Además, en materia de protección de datos, las empresas deben cumplir con el principio de responsabilidad proactiva, que implica que deben tomar o implementar todas aquellas medidas técnicas y organizativas necesarias para garantizar la protección de los datos personales que manejan. Es decir, deben contar con los medios necesarios para garantizar no solo que manejan los datos personales de clientes, empleados o usuarios de acuerdo a la ley, sino también garantizar la privacidad y seguridad de los mismos.
Cumplir con ese principio de responsabilidad proactiva implica, a su vez, para la empresa cumplir con las obligaciones recogidas en el RGPD y la LOPD, pero ¿entre esas obligaciones, deben las empresas formar a sus empleados en protección de datos?
Entonces, ¿es obligatorio hacer un curso de protección de datos?
La respuesta es que no es obligatorio hacer un curso de protección de datos, puesto que ni el RGPD ni la LOPD recogen la formación en protección de datos como una obligación, aunque sí podemos entender de la lectura de algunos de sus artículos, que formar al personal en la materia puede ser necesario.
Por ejemplo, una de las funciones del Delegado de Protección de Datos (DPO) es, precisamente, la de formar en las obligaciones de la normativa al personal con acceso a datos personales en la empresa. Dado que, en mayor o menor medida, casi todos los empleados van a tratar o tener acceso a datos personales, parece evidente concluir que todos deberían recibir esa formación.
También entendemos que la formación de los empleados en materia de protección de datos, puede ser una medida organizativa de la empresa para ayudar a cumplir de manera efectiva la normativa de protección de datos y, por tanto, una obligación de responsables y encargados del tratamiento de cara a cumplir con el principio de responsabilidad proactiva.
Pero no podemos dejar de señalar que cualquier protección de datos para grandes y pequeñas empresas, consultoría o asesoría que te venda un curso de protección de datos para empresas o un curso de protección de datos para autónomos, o cualquier tipo de formación sobre la ley de protección de datos en autónomos o empresas, como algo obligatorio por ley, te estaría intentando engañar, porque, aunque deseable y muy recomendable (como veremos a continuación), los cursos de protección de datos no son una obligación recogida en la normativa vigente.
La cosa cambia si hablamos del DPO, puesto que entre los requisitos de este sí se cuenta el tener una formación específica y reconocida en la materia, con unas horas mínimas.
¿Por qué debería formar a mi personal en protección de datos?
Como hemos dicho, el curso de protección de datos no es obligatorio, pero formar a los empleados en protección de datos sí que es algo altamente recomendable, por varios motivos.
Por un lado, y como hemos señalado, como responsables o encargados del tratamiento estaríamos cumpliendo con el principio de responsabilidad proactiva, implementando con esta formación una medida organizativa destinada a mejorar la seguridad en los procesos en los que se manejan datos personales.
Esto además servirá, de cara a una posible inspección de la AEPD, como prueba de que la empresa ha realizado esfuerzos suficientes para garantizar la seguridad y privacidad de los datos personales y para formar de manera adecuada al personal que realiza alguna clase de tratamiento de datos.
Por otro lado, si los empleados no conocen mínimamente la normativa y los riesgos y amenazas que un tratamiento de datos puede entrañar para los interesados (los titulares de los datos, tus clientes, empleados, etc.), es imposible que cumplan adecuadamente el protocolo de protección de datos implementado en la empresa, por mucha cláusula de confidencialidad que firmen en el contrato.
Una plantilla formada en protección de datos tendrá menos probabilidades de cometer errores de seguridad o ser la causa de una brecha de seguridad, puesto que sabrán qué grado de responsabilidad tienen y qué normas y medidas de seguridad deben respetar y poner en práctica para evitar incidentes graves o muy graves de seguridad, que puedan afectar negativamente a los datos personales y sus titulares, lo que, además, derivaría en consecuencias económicas (sanciones y posibles indemnizaciones) y reputacionales para la empresa.
Finalmente, formar a los empleados en protección de datos ayudará a mantener un mejor nivel de cumplimiento de la normativa, puesto serán los propios empleados los que se aseguren de cumplir con los requisitos y obligaciones correspondientes a su puesto y nivel de acceso a los datos personales que maneje la empresa.
¿Qué curso de protección de datos escoger?
Para escoger un curso de protección de datos adecuado y suficiente, deberíamos fijarnos en que cumpla con las siguientes características:
- Que sea un curso de protección de datos homologado o certificable (especialmente en formación para DPO).
- Que se adapte a tu empresa y sector de actividad, porque no todas las empresas tratan los mismos datos ni en la misma cantidad y las necesidades y obligaciones pueden variar.
- Que ofrezca formación diferenciada por departamentos, porque no en todos se tratan los mismos tipos de datos.
- Que cubra aspectos relacionados con la ciberseguridad.
- Que ofrezca formación continuada o, al menos, periódica, porque la protección de datos no es algo estático, ya que la normativa cambia y se adapta con el desarrollo de las nuevas tecnologías de la información.
- Que ofrezca formación presencial y telemática, para poder garantizar la formación de todos los empleados, incluidos los teletrabajadores.
- Que cuente con tutores a los que se pueda recurrir en caso de dudas.
- Que esté impartido por expertos en la materia, con experiencia demostrable.
También recomendamos evitar ofertas de cursos de protección de datos gratuitos para autónomos o empresas, porque la formación probablemente será muy general y poco exhaustiva. Así como de supuestos cursos de protección «a coste cero» o bonificables por la Seguridad Social, porque se trata de algo ilegal.
En Grupo Atico34 te ofrecemos cursos de protección de datos impartidos por profesionales expertos en la normativa, adaptados a las necesidades y particularidades de tu empresa y actividad. Ponte en contacto con nosotros y solicita más información.