Últimamente diferentes medios de comunicación han hecho eco de diferentes noticias relacionadas con sanciones a grandes empresas por incumplir la normativa de protección de datos.
Pero la administración no solo sanciona a grandes empresas sino también a pymes, pero claro, estas no tienen tanta repercusión periodística.
¿Y por qué ahora?¿ Ahora es obligatorio cumplir con la protección de datos?
¡No! desde la publicación de la primera ley en el año 1999 ha sido obligatorio cumplir con la protección de datos.
Por ello te vamos a ayudar, y en los siguientes párrafos encontrarás un resumen de las principales obligaciones en materia de protección de datos.
En este artículo hablamos de:
- Normativas sobre protección de datos
- Obligaciones en materia de protección de datos
- Contratar la protección de datos
- Conclusiones
Normativas sobre protección de datos
En primer lugar debemos hacer referencia a las diferentes normativas relacionadas con esta materia.
Existen dos normativas que regulan el tratamiento de datos personales:
- RGPD (Europa)
- LOPD (España)
Obligaciones en materia de protección de datos
Toda aquella empresa, autónomo, comercio, que recoja datos de personas físicas se encuentra obligada a cumplir con las dos normativas mencionadas en el apartado anterior.
En este sentido, entre las obligaciones que los entidades deben realizar en su negocio para adaptar su actividad se encuentran:
Consentimiento
Procurar el consentimiento inequívoco, y no tácito, de los afectados para el uso de sus datos.
Es decir, el cliente deberá realizar un acción afirmativa que nos permita tratar los datos, como por ejemplo poniendo un tick en una casilla o firmado un documento.
Notificación brechas de seguridad
Estaremos obligados a notificar una brecha o violación de seguridad si la misma afecta a datos personales y cuando la misma constituya un riesgo para los derechos y las libertades de las personas físicas.
Nuevas cláusulas e información
Hay que dar mayor información al cliente.
Le debe quedar claro quién trata sus datos, como los trata y por qué los trata.
Información a los propietarios de los datos
Principalmente se deberá informar a los afectados por el tratamiento de, al menos:
- el nombre del responsable
- la legitimación para la recogida de los datos, es decir, el por qué podemos tratar sus datos
- para que se usan
- cómo ejercitar los derechos
Plazo de conservación de los datos
Una de las novedades que nos presenta el RGPD, mediante su principio de Accountabilty (responsabilidad proactiva), es la necesidad de informar del plazo de conservación de los datos.
Por desgracia no existe un plazo mínimo de conservación único, sino que dependiendo de la documentación que se trate sera un periodo determinado u otro.
No obstante, si deseas saber hasta cuando puedes guardar la documentación dependiendo de cuál se trate, te recomendamos que pinches en el siguiente enlace, en el cual hemos elaborado una lista con los plazos de conservación obligatoria de la documentación.
También habrá que incluir nuevas clausulas de elección del proveedor que nos realiza un servicio, como la empresa informática o la gestoría que nos elabora las cuentas.
Si nosotros cumplimos la normativa, ellos también deberán hacerlo.
DPO
Para ciertos tratamientos, que entrañen graves riesgos para los derechos y libertades de las personas, como los psicólogos, los detectives privados, los colegios, etc, será obligatoria la existencia de un Delegado de Protección de Datos.
EIPD
Cuando iniciemos un nuevo tratamiento, como por ejemplo la puesta en marcha de una página web con formulario de contacto, deberemos hacer un análisis previo de los riesgos que conlleva para las personas que dejan sus datos en él.
En ciertos casos, debido al riesgo, este análisis previo deberá tomar la forma de una Evaluación de Impacto en la Protección de Datos Personales (PIA).
Códigos de conducta y certificados
Ahora podremos sumarnos a códigos de conducta y certificados que promuevan desde nuestro sector de actividad y cumpliendo las directrices de los mismos, podremos demostrar que cumplimos la normativa.
¡Esto es muy importante! ya que muchas empresas te solicitarán que estés al día con la normativa para trabajar contigo.
Atención de derechos solicitados por los afectados
A los tradicionales derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), se le suman dos:
- derecho de limitación de los datos
- derecho a la portabilidad de los datos
Ficheros
Se deben identificar los tratamientos que contengan datos de carácter personal, cada tratamiento se consideraría un fichero.
Con total seguridad, serán datos o ficheros de:
- empleados
- clientes
- proveedores
- videovigilancia
- usuarios web
A continuación, se debe especificar la finalidad para que se usan esos datos.
Inscripción de los ficheros en el Registro de la AEPD
Al menos hasta el 25 de mayo de 2018 es obligatoria la inscripción de los ficheros que antes hemos mencionado ante la Autoridad de Control, la Agencia Española de Protección de Datos.
Registro de las Actividades de Tratamiento
Posteriormente solo ciertas actividades que traten datos específicos (datos especialmente protegidos como datos de salud, de menores, etc) deberán llevar a cabo un registro interno de estos ficheros.
Este registro interno será conocido como Registro de las Actividades de Tratamiento.
Elaboración del Documento de Seguridad
El Documento de Seguridad, es un documento en el cual se resume todo aquello relativo al tratamiento de datos personales dentro de la actividad profesional, como por ejemplo:
- ficheros inscritos
- contratos de encargo de tratamiento
- empleados que acceden a los datos
- sistemas de seguridad instalados
- inventario de sistemas que tratan los datos, como ordenadores
- registro de incidencias
Formación
El Responsable del Fichero, es decir, la persona encargada del tratamiento en la entidad, deberá tener una mínima formación en la materia que le permita tratar los datos conforme a la normativa.
Así mismo, en ciertos casos, dependiendo de la actividad que realice, se deberá contratar a un Delegado de Protección de Datos.
Auditorías periódicas
¡Hay que estar siempre al día! por lo que habrá que establecer unos procedimientos por los que, ya sea nosotros o un experto externo, analice periódicamente que cumplimos con la ley y si no es así para ponerle remedio lo más rápidamente posible.
Estos informes serán revisados por el Responsable de Seguridad, que elevará las conclusiones al Responsable de Fichero para que elija las medidas correctoras necesarias.
Normalmente, ya que somos autónomos, estas dos figuras anteriores seremos nosotros mismos a si que es recomendable que un experto en la materia analice el informe.
¡Cuidado! Estos informe son muy importantes, ya que las autoridades nos los podrán pedir y nos servirán como demostración de cumplimiento de la ley.
Contratar la protección de datos
Como has podido comprobar en el apartado anterior, son numerosas las acciones a realizar para adaptar nuestra empresa a la protección de datos.
Es muy probable que la mayoría de las veces se necesitarán conocimientos específicos en la materia para llevarlas a cabo.
Por tanto nuestra recomendación es que cuentes con asesoramiento experto para adaptar perfectamente tu empresa.
Conclusiones
Si cumples con estas sencillas obligaciones estarás totalmente protegido y tendrás todo en regla de cara a esta normativa.
No obstante en Grupo Ático34, estaremos encantados de ayudarte si te surge cualquier duda en particular en el tlfno. 91 489 64 19 o en el correo electrónico lopd@atico34.com
Artículos relacionados:
Excepciones para obtener autorización para la transferencia internacional de datos.
Protección de datos para abogados y procuradores. Guía para cumplir el RGPD
Protección de datos para club deportivo
¿Cómo evitar ataques en la red o fugas de información en la empresa?
Protección de datos para fisioterapeutas
Medidas de seguridad físicas para proteger los datos de mi negocio