¿Tienen las empresas de limpieza que cumplir la normativa de protección de datos? En esta guía sobre protección de datos para empresas de limpieza revisamos los requisitos y obligaciones que deben contemplar.
En este artículo hablamos de:
- ¿Deben las empresas de limpieza cumplir la Ley de Protección de Datos?
- Normativa de protección de datos para empresas de limpieza
- Cómo adaptar la normativa de protección de datos en empresas de limpieza
- Registro de actividades de tratamiento
- Análisis de riesgos
- Cesión de datos a terceros
- Acuerdo de confidencialidad para los trabajadores
- Cláusula de confidencialidad para prestadores de servicio
- Consentimiento expreso de los interesados
- Informar a los interesados
- Notificación de brechas de seguridad
- Si la empresa de limpieza tiene una página web
- Auditorías periódicas
- Sanciones por no cumplir la Ley de Protección de Datos
- ¿Necesitas cumplir con el RGPD y la LOPD? Contacta con un especialista
- Preguntas frecuentes
- Si mis clientes son otras empresas, ¿debe mi empresa de limpieza cumplir con la protección de datos?
- ¿Necesitan las empresas de limpieza designar un Delegado de Protección de Datos?
- ¿Deben mis empleados firmar un acuerdo de confidencialidad?
- ¿Cuánto tiempo puedo conservar los datos de mis clientes?
- ¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419
¿Deben las empresas de limpieza cumplir la Ley de Protección de Datos?
Puede parecer que las empresas de limpieza, dada su actividad, no traten con datos personales, sin embargo, esto no es del todo cierto, ya que sí lo hacen respecto a los datos personales de sus trabajadores y cuando sus clientes son personas físicas.
Por lo tanto, sí, las empresas de limpieza deben cumplir con las obligaciones de la Ley de Protección de Datos.
Normativa de protección de datos para empresas de limpieza
La normativa de protección de datos para empresas de limpieza está comprendida por:
- El RGPD (Reglamento General de Protección de Datos)
- La LOPDGDD (o LOPD, Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales)
- LSSI-CE (Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico, en caso de que oferten sus servicios a través de Internet)
RGPD para empresas de limpieza
El RGPD es el marco regulatorio europeo para la protección de datos, de obligado cumplimiento para todos los países que traten datos de ciudadanos de la UE desde 2016. Con su entrada en vigor se armonizaron las obligaciones en materia de protección de carácter personal para toda la UE y el EEE (Espacio Económico Europeo).
El RGPD para empresas introdujo nuevas varias novedades en cuanto a la protección de datos, como el registro de actividades de tratamiento, el consentimiento expreso de los interesados para el tratamiento de sus datos, la obligación de notificar las brechas de seguridad o la obligación para designar un Delegado de Protección de Datos (DPO) en determinadas circunstancias, entre otras.
El cumplimiento del RGPD en empresas de limpieza, como veremos a lo largo de esta guía, no exige cumplir con todas las obligaciones recogidas en él, ya que, salvo para que se trate de una empresa grande que emplee 250 o más empleados, el tratamiento de datos personales que llevan a cabo no es muy voluminoso.
LOPD para empresas de limpieza
La LOPDGDD entró en vigor en España en 2018 e introdujo en el ordenamiento jurídico español los principios y obligaciones del RGPD. En la práctica, cumplir con la LOPDGDD es cumplir con el RGPD, puesto que ambas normativas comparten un articulado similar, con la ley española siendo más detallada en algunos aspectos, como por ejemplo, las infracciones y sanciones o las empresas que tienen obligación de designar a un DPO o la parte sobre los derechos digitales.
Por lo tanto, al cumplir la LOPD en empresas de limpieza se está cumpliendo el RGPD. Y como con este, las obligaciones son menores, puesto que hablamos de protección de datos para empresas pequeñas.
Cómo adaptar la normativa de protección de datos en empresas de limpieza
A lo largo de los siguientes puntos revisaremos y explicaremos cuáles son las principales obligaciones en materia de protección de datos para las empresas de limpieza.
Registro de actividades de tratamiento
Si bien el registro de actividades de tratamiento es una obligación que solo deben cumplir aquellas empresas de limpieza con 250 o más empleados, llevar este registro de actividades puede ayudar a las empresas de limpieza más pequeñas a llevar un mejor control de los datos personales que tratan, ya que documenta por escrito todos los tratamientos de datos que se realizan en la empresa.
Cada registro de actividades de tratamiento deberá incluir la siguiente información:
- Identificación del responsable del tratamiento y, en su caso, de su representante, del encargado el tratamiento y del DPO
- Finalidad del tratamiento
- Legitimación del tratamiento
- Descripción de categorías de datos e interesados
- Descripción de categorías de destinatarios de datos (existentes y previstos)
- En su caso, transferencias internacionales de datos y sus garantías
- Plazo de conservación de los datos (previsto)
- Descripción de las medidas de seguridad implementadas
Como decíamos, los registros de actividades de tratamiento deben estar por escrito y siempre lo más actualizados posible. No es necesario inscribirlos en ningún registro, pero si la Agencia Española de Protección de Datos (AEPD) lo solicita, debe facilitársele (en aquellas empresas que estén obligadas a tenerlo).
Análisis de riesgos
Siempre que se tenga previsto realizar un tratamiento de datos, es necesario realizar con carácter previo un análisis de riesgos por parte del responsable del tratamiento (la empresa de limpieza).
El análisis de riesgos servirá para identificar los riesgos y amenazas que pueden derivarse del tratamiento de datos personales y cómo estos pueden impactar en la vida de los interesados, en concreto en sus derechos y libertades. Además, permitirá a la empresa de limpieza a implementar las medidas de seguridad necesarias para garantizar la seguridad de los datos (por ejemplo, si tenemos fichas con datos personales de los empleados en un archivo informático, podría existir el riesgo de que terceros no autorizados accedan a ellas, por lo que como medida de seguridad habría o que cifrar la información o limitar el acceso mediante usuario y contraseña o ambos).
En principio, las empresas de limpieza no tendrían obligación de llevar a cabo una evaluación de impacto en protección de datos, salvo que del análisis de riesgos se desprendiera un riesgo alto para los derechos y libertades de los interesados (los titulares de los datos).
Cesión de datos a terceros
En el caso de que se produzca una cesión de datos personales a terceros para su tratamiento, es necesario que la empresa de limpieza, como responsable del tratamiento, firme con esos terceros un contrato de encargo del tratamiento (esto ocurre, por ejemplo, con la gestoría que lleve las nóminas de los trabajadores o con el servicio de prevención de riesgos laborales).
En este contrato, la empresa de limpieza establecerá las obligaciones del encargado del tratamiento en cuanto a protección de datos, los datos que serán tratados por el encargado, la finalidad y duración y las categorías de datos e interesados. También se establecerá qué debe hacer el encargado con los datos una vez finalizada la relación contractual con el responsable.
Es importante señalar que la empresa de limpieza deberá comprobar y asegurarse que las empresas con las que firma contratos de encargo del tratamiento, cumplen también la normativa de protección de datos.
Acuerdo de confidencialidad para los trabajadores
El acuerdo de confidencialidad o cláusula de confidencialidad para los trabajadores (puesto que puede ser un documento aparte o una cláusula dentro del contrato de trabajo) tiene dos vertientes en las empresas de limpieza.
Por un lado, es necesario que los empleados cumplan con el deber de secreto y respeten la confidencialidad de los datos personales a los que puedan tener acceso en el desempeño de sus labores dentro de la empresa de limpieza. Sería el caso, por ejemplo, de los empleados de Recursos Humanos (si la empresa tiene este departamento).
Y, por otro lado, como una gran parte los empleados de la empresa de limpieza tendrán acceso a lugares en los que se guardan datos personales (como despachos u oficinas cuya limpieza tengan encargada), estos empleados deben comprometerse a no acceder a estos datos, difundirlos o usarlos de cualquier otra manera.
El acuerdo o cláusula de confidencialidad, en cualquier caso, debe recoger el compromiso de los empleados de respetar el protocolo de protección de datos de la empresa de limpieza y de seguir las normas de seguridad implementadas. Además, también debería especificar las consecuencias de no cumplirlo.
Cláusula de confidencialidad para prestadores de servicio
La empresa de limpieza, como prestadora de servicios que, en principio, no debe tener acceso a datos personales custodiados o tratados por el responsable del tratamiento, deberá firmar con este una cláusula de confidencialidad, en la que se establezca que los empleados de la empresa de limpieza no estarán autorizados a ver, divulgar, copiar, extraer, etc. los datos personales que pudieran «encontrar» (como dijimos en punto anterior, al limpiar oficinas o despachos) y que si lo hacen, será bajo su propia responsabilidad, teniendo que responder por ello personalmente.
Esta cláusula de confidencialidad se puede incluir como un anexo al contrato de prestación de servicios.
Consentimiento expreso de los interesados
Para tratar datos personales es necesario recabar el consentimiento expreso de los interesados, salvo que la base legitimadora se encuentre en los otros supuestos contemplados en el artículo 6 del RGPD.
En el caso de las empresas de limpieza, necesitarán el consentimiento expreso de sus clientes para el tratamiento de sus datos, cuando estos sean personas físicas, y de sus empleados.
El consentimiento no será necesario cuando la licitud del tratamiento se base en las letras b, c o f del artículo 6 del RGPD (cumplimiento de la relación contractual, cumplimiento de una obligación legal del responsable del tratamiento y por interés legítimo del responsable, respectivamente).
Informar a los interesados
Tanto si los tratamientos de datos personales se basan en el consentimiento o cualquiera de los otros supuestos de licitud, las empresas de limpieza están siempre obligadas a informar a los interesados sobre el tratamiento de datos que se va a realizar.
Esta información, que puede facilitarse de diferentes formas (como un documento anexo al contrato de prestación de servicios, a través un enlace a una web donde esté recogida, etc.), como mínimo contendrá:
- Nombre y datos de contacto del responsable del tratamiento y, si procede, del DPO
- Base legitimadora para el tratamiento de datos
- Finalidad del tratamiento
- Vía para ejercer los derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición al tratamiento), así como cómo interponer una reclamación ante la AEPD
Notificación de brechas de seguridad
En el caso de que se produzca un incidente de seguridad que pueda suponer un riesgo para los derechos y libertades de los interesados, la empresa de limpieza deberá notificar la brecha de seguridad tanto a la AEPD como los propios interesados, en un plazo no superior a 72 de horas desde que tuvo conocimiento del incidente.
Si la empresa de limpieza tiene una página web
Para las empresas de limpieza que usen Internet para promover, ofrecer e incluso contratar sus servicios, hay una serie de obligaciones que también deben cumplir, tanto contempladas en el RGPD y la LOPD como en la LSSI-CE.
En concreto:
- Incluir un aviso legal mediante el que identificará al titular de la web (en este caso la empresa de limpieza):
- Nombre o denominación social
- N.º del registro mercantil (si está inscrita en este)
- NIF o CIF
- Otra información relativa a responsabilidad, condiciones de uso de la web, etc.
- La política de privacidad, puesto que se recaban datos personales de los visitantes y usuarios de la web:
- Datos del responsable del tratamiento
- Finalidad del tratamiento
- Licitud del tratamiento
- Cómo se gestionan los datos personales
- Plazo de conservación de los datos
- Cesiones a terceros
- Uso de cookies
- Vía para ejercer los derechos ARSULIPO
- La política de cookies para informar de todas las cookies que se usan en la web (finalidad, titularidad, tipo de cookies, duración…). También se configurará un aviso o banner de cookies para que los usuarios puedan aceptar o rechazar su uso la primera vez que visiten la web.
- Condiciones generales de contratación si se pueden realizar contratos de prestación de servicios a través de la página web:
- Información sobre precios (indicando si incluyen impuestos)
- Explicación del proceso de contratación
- Obligaciones del prestador de servicios y del contratante
- Requisitos para la contratación
- Soluciones en caso en caso de desacuerdos o conflicto
- Idioma en el que se gestionará el contrato
Toda esta información debe ofrecerse en páginas independientes, fácilmente accesibles desde cualquier sección de la página web y en un lenguaje comprensible.
Auditorías periódicas
Aunque la auditoría en protección de datos obligatoria ya no es un requisito, es aconsejable para las empresas de limpieza (como en el caso de otras empresas), llevar a cabo auditorías periódicas para comprobar el nivel de cumplimiento de la normativa de protección de datos y la eficacia de las medidas de seguridad implementadas.
Los informes de estas auditorías periódicas no solo servirán a la empresa de limpieza para mejorar y reforzar su seguridad o subsanar problemas, sino también como prueba de que cuenta con las medidas técnicas y organizativas adecuadas para garantizar la protección de datos y que cumple con la normativa de forma proactiva.
La auditoría de protección de datos deberá realizar una consultoría especializada en protección de datos externa, para asegurar que se mantiene un grado de objetividad adecuado. Y lo recomendable es hacerla cada dos años.
Sanciones por no cumplir la Ley de Protección de Datos
No cumplir con la normativa puede acarrear sanciones en protección de datos para empresas de limpieza. La cuantía de estas sanciones dependerá de la gravedad de la infracción cometida, el número de interesados afectados, el grado de colaboración con la AEPD y la duración en el tiempo de dicha infracción.
De acuerdo a la LOPDGDD, las sanciones pueden ser de:
- Hasta 40.000 euros para infracciones leves (art. 74)
- Entre 40.001 a 300.000 euros para infracciones graves (art. 73)
- Entre 300.001 a 20 millones de euros o el 4% del volumen de facturación anual para infracciones muy graves (art. 72)
¿Necesitas cumplir con el RGPD y la LOPD? Contacta con un especialista
Cumplir y adaptar la empresa de limpieza al RGPD y la LOPD puede resultar una tarea compleja, puesto que requiere tener cierto grado de conocimientos de la normativa, que además te quitará tiempo para dedicar a otras tareas de gestión de la empresa.
Por ese motivo, lo más recomendable es contratar la protección de datos con una empresa especializada, como Grupo Atico34, cuyo equipo de expertos ayuda y asesora a sus clientes en todo lo relacionado con el cumplimiento de la normativa, novedades y nuevas obligaciones.
Recuerda que cumplir de manera inadecuada o insuficiente el RGPD y la LOPD es motivo de sanción.
Preguntas frecuentes
Si mis clientes son otras empresas, ¿debe mi empresa de limpieza cumplir con la protección de datos?
Si tu empresa de limpieza tiene empleados (sean por cuenta ajena o autónomos), debes cumplir con la Ley de Protección de Datos, puesto que tratas datos personales de estos.
¿Necesitan las empresas de limpieza designar un Delegado de Protección de Datos?
No, las empresas de limpieza no están obligadas a designar un DPO (salvo que tratasen datos a gran escala de manera sistemática).
¿Deben mis empleados firmar un acuerdo de confidencialidad?
Como vimos más arriba, sí, los empleados de la empresa de limpieza deben firmar un acuerdo o cláusula de confidencialidad, mediante el que se comprometen a no acceder, copiar, difundir, etc., los datos personales a los que puedan tener acceso en el desempeño de sus tareas (tanto de la propia empresa de limpieza como de aquellas donde llevan a cabo sus servicios).
¿Cuánto tiempo puedo conservar los datos de mis clientes?
El plazo de conservación de los datos personales de los clientes (cuando estos son personas físicas) debe ser el mínimo necesario para cumplir la finalidad para la que fueron recabados.
Una vez finalice la relación contractual, esos datos deberán ser, como mínimo, bloqueados.
Además, habrá que tener en cuenta aquellas normativas que exijan conservar determinada documentación que puede contener datos personales durante un período de tiempo concreto (como, por ejemplo, la normativa tributaria).