Conoce Atico34 - Solicita presupuesto
EmpresaLOPDGDD & RGPD

Protección de datos para empresas pequeñas, medianas y grandes (obligatoriedad y cumplimiento)

Cualquier empresa, con independencia de su tamaño, tiene la obligación de cumplir la ley de protección de datos en el momento en que trata con datos personales. En este artículo explicamos cómo adaptar y cumplir la normativa de protección de datos para empresas pequeñas, medianas y grandes.

En este artículo hablamos de:

¿Qué empresas deben cumplir la ley de protección de datos?

Deben cumplir la ley de protección de datos las empresas que traten datos de carácter personal en el desarrollo de su actividad habitual, ya que como establecen el RGPD y la LOPDGDD, las sociedades mercantiles (pymes y grandes empresas), están obligadas a cumplir con la normativa, en tanto en cuanto tratan datos personales de sus empleados y clientes, así como de aquellos socios y proveedores que son autónomos.

Cualquier entidad que realice un tratamiento de datos de clientes, proveedores, empleados, socios o cualquier otra figura para el desarrollo de sus actividades está obligada a cumplir con el RGPD y la LOPDGDD.

proteccion de datos para empresas

¿Está tu empresa obligada a cumplir con la protección de datos?

Los principios del RGPD y la LOPDGDD son de aplicación siempre que se produzca un «tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero».

Por lo tanto, siempre que en la empresa se realice un tratamiento de datos personales, está obligada a cumplir con la protección de datos. En ese sentido, la ley de protección de datos para empresas no distingue entre pymes y grandes empresas, ya que independientemente de su tamaño y volumen de facturación, cualquier empresa que trate datos de carácter personal, está obligada a cumplir con la ley.

Ahora bien, como ocurre con la protección de datos en las comunidades de propietarios, las obligaciones a cumplir por empresas pequeñas y medianas en materia de protección de datos pueden ser menos exhaustivas que las que tienen que cumplir las grandes empresas, porque se presupone que las primeras manejan volúmenes de datos personales muchos más pequeños.

Sin embargo, como puede ocurrir con la protección de datos para autónomos en determinados casos, tampoco podemos olvidarnos que hay pymes que, por la actividad que desarrollan, pueden realizar tratamientos de datos a gran a escala o tratar datos especialmente protegidos (art. 9 del RGPD), lo que implicaría que estas empresas también deben tener en cuenta obligaciones más exigentes.

Grupo Atico34 te garantiza cumplir con la ley de protección de datos desde solo 180 euros al año.

tarifas proteccion datos

¿Qué tipo de datos maneja tu empresa y cómo están siendo tratados?

Para aplicar y cumplir el RGPD y la LOPD para empresas de manera adecuada, es necesario saber qué datos se manejan en la empresa, puesto que no todos los tipos de datos personales exigen cumplir con las mismas obligaciones, tal y como indicamos más arriba respecto al tratamiento de datos especialmente protegidos.

Además, conocer los datos personales que maneja o prevé manejar la empresa, también es necesario para identificar y determinar a qué riesgos están expuestos y poder aplicar las medidas de seguridad necesarias para garantizar la integridad y privacidad de los datos.

Así mismo, saber cómo se están siendo tratados los datos es necesario para determinar el nivel de cumplimiento de la protección de datos en la empresa y si se deben o no adoptar nuevas medidas para solucionar carencias o problemas relativos al cumplimiento de la normativa, ya que esta obliga a responsables y encargados de tratamiento (las empresas) a ser proactivas en el cumplimiento, es decir, las medidas de protección de datos deben aplicarse por defecto y desde el diseño, por lo tanto, antes de realizar ningún tratamiento de datos, así como ser capaces de demostrar dicho cumplimiento.

Datos a los que se aplica la LOPD-GDD y el RGPD

Los datos a los que se aplica la LOPD-GDD y el RGPD son los datos personales, entendiéndose por dato personal cualquier tipo de dato que identifique o permita identificar a una persona y sean tratados por un tercero.

Así mismo, la LOPDGDD y el RGPD serán de aplicación:

  • A los datos de carácter personal registrados en soporte físico.
  • Que los haga susceptibles de tratamiento.
  • A toda modalidad de uso posterior de estos datos por los sectores público y privado en los siguientes supuestos:
    • Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.
    • Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.
    • Si el responsable del tratamiento no está establecido en territorio de la UE y utiliza en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

Datos excluidos de la LOPDGDD y RGPD

Hay determinados datos de carácter personal que, a pesar de referirse a una persona física determinada, se encuentran excluidos del ámbito de aplicación de esta normativa. Dichos datos son los siguientes:

protección de datos en empresas

  • Tratamiento de datos con fines domésticos: La normativa no se aplicaría, en el caso, por ejemplo del tratamiento sobre la agenda de mi móvil particular.
  • Datos referidos a personas jurídicas y las personas de contacto: Esta ley no se aplica a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquellas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.
  • Datos relativos a empresarios individuales: Ni la LOPDGDD ni el RGPD se aplica a los tratamientos de datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, etc.
  • Datos relativos a personas fallecidas: La normativa de protección de datos en empresas no se aplica a los tratamientos de datos referidos a personas fallecidas. No obstante, las personas vinculadas al fallecido, por razones familiares o análogas, podrán dirigirse a los responsables de los ficheros o tratamientos que contengan datos de este con la finalidad de notificar el fallecimiento, aportando acreditación suficiente del mismo, y solicitar, cuando hubiere lugar a ello, la rectificación o supresión de los datos.

tarifas proteccion datos autonomos

¿Qué obligaciones impone la ley a las empresas en materia de protección de datos?

Cumplir con la protección de datos de empresas pequeñas, medianas y grandes significa cumplir con los principios de protección de datos establecidos en el RGPD y la LOPDGDD, ya que de estos se derivan todas las obligaciones que impone la ley, en concreto:

  • Informar sobre todo lo relativo a los tratamientos de datos personales a los interesados (las personas titulares de los datos):
    • Quién es el responsable del tratamiento y, en su caso, el encargado del tratamiento y el delegado de protección de datos (DPO).
    • Qué datos se recaban.
    • Qué finalidad tiene el tratamiento.
    • El plazo de conservación de los datos.
    • Si los datos serán cedidos a terceros y con qué finalidad.
    • Cuáles son las vías para ejercer los derechos ARSULIPO (antiguos derechos ARCO).
  • Determinar la base jurídica que legitima el tratamiento (art. 6 y 9 del RGPD).
  • Recabar el consentimiento expreso de los interesados para el tratamiento de sus datos, cuando esta sea la base jurídica que legitima el tratamiento.
  • Adoptar las medidas de seguridad técnicas y organizativas para garantizar la confidencialidad, integridad y disponibilidad de los datos.
  • Elaborar la documentación necesaria para acreditar y demostrar el cumplimiento de la normativa ante las autoridades de control y los propios interesados.
  • Establecer los plazos de conservación de los datos.
  • Elaborar e implementar las políticas y el protocolo de protección de datos en la empresa.
  • Notificar las brechas de seguridad a la AEPD y los interesados afectados, si la brecha supone un peligro para los derechos y libertades de los interesados.

¿Cómo adaptar una empresa a las leyes de protección de datos?

Para adaptar una empresa a las leyes de protección de datos y cumplir con las obligaciones LOPD y RGPD del punto anterior, es necesario seguir una serie de pasos. Evidentemente, dependiendo de la actividad de la empresa y su volumen de negocio, estos pasos pueden variar (por ejemplo, en empresas que traten habitualmente con datos de categorías especiales, como pueden ser las clínicas médicas, deben realizar evaluaciones de impacto de aquellos tratamientos de datos relativos a la salud).

Así, con carácter general, los pasos para adaptar la empresa a la LOPD y el RGPD son los siguientes.

1. Identificar qué datos personales se van a tratar

El primer paso en la adaptación a la protección de datos de una empresa es, cómo ya adelantamos, conocer qué datos personales se van a tratar, puesto que determinarán el resto de obligaciones que como responsables y encargados de tratamiento debemos cumplir, además de facilitar una mejor gobernabilidad de los datos.

2. Determinar si se van a realizar cesiones de datos

Se producen cesiones de datos cuando contratamos a otra empresa para que nos preste un servicio que implique el acceso directo o indirecto a los datos que tratamos (es el caso, por ejemplo, de las gestorías que llevan las nóminas de la empresa). Estas cesiones pueden hacerse a empresas o profesionales dentro de la UE o fuera de esta; en este segundo caso, hablamos de transferencias internacionales de datos (ocurren, por ejemplo, cuando usamos Google Analytics para medir la audiencia de la página web de la empresa).

Puesto que debemos informar a los interesados sobre la cesión de datos y las transferencias internacionales, es necesario determinar si van a producirse o, como mínimo, preverlo, ya que conllevan sus propias obligaciones, como la comprobación de que cumplen el RGPD o la firma del documento LOPD (o contrato de encargo de tratamiento).

3. Determinar si se debe designar un DPO

La designación del delegado de protección de datos no es obligatoria para todas las empresas, por lo que otro paso imprescindible es determinar si, por la actividad de nuestra empresa, lo necesitamos. En concreto, la ley obliga a tener un DPO cuando:

  • La empresa tiene 250 o más empleados.
  • Se tratan datos a gran escala de manera sistemática.
  • Se tratan datos especialmente protegidos.
  • Se ha implantado un canal de denuncias interno en la empresa.
  • Nuestra actividad es una de las recogidas en el artículo 34 de la LOPDGDD.

El DPO podrá ser un empleado interno de la empresa (garantizando su independencia y autonomía y evitando posibles conflictos de intereses en el desempeño de sus funciones y responsabilidades) o ser contratado a través de un servicio externo, como puede ser una empresa de protección de datos.

4. Implantar medidas de seguridad técnicas y organizativas

Cómo ya dijimos, es obligación del responsable del tratamiento implantar las medidas de seguridad técnicas y organizativas necesarias para garantizar la confidencialidad, integridad y disponibilidad de los datos. Para saber cuáles son las medidas de seguridad más adecuadas y eficientes, es necesario practicar los correspondientes análisis de riesgos y, en su caso, evaluación de impacto en protección de datos (EIPD).

Para llevar a cabo el análisis de riesgos y la EIPD, es fundamental, por un lado, saber qué datos se van a tratar y, por otro lado, qué tratamientos se van a realizar, así como las tecnologías que se emplearán para ello.

Ambos deben realizarse con carácter previo a realizar el tratamiento, puesto que de sus conclusiones, especialmente en el caso de la EIPD, se puede determinar que el nivel de riesgo e impacto negativo en los derechos y libertades de los interesados es muy alto y que no hay medida de seguridad que lo reduzca a niveles aceptables, por lo que no habría que realizar dicho tratamiento.

5. Elaborar la documentación necesaria

Acreditar y demostrar el cumplimiento de la normativa de protección de datos en empresas, implica elaborar la documentación necesaria para ello, entre esa documentación encontramos:

  • Políticas y protocolo de protección de datos.
  • Registro de actividades de tratamiento (cuando sea necesario).
  • Contratos de encargo de tratamiento.
  • Formularios de recogida de datos (físicos y digitales).
  • Cláusulas de protección de datos en contratos, emails, etc.
  • Textos legales web (política de privacidad, política y aviso de cookies, aviso legal).
  • Acuerdos de confidencialidad para empleados.

6. Habilitar la vía para ejercer los derechos ARSULIPO

Habilitar una vía para que los interesados puedan enviar sus solicitudes de derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición). Esta vía, que puede ser una dirección de correo electrónico y debe figurar en todos los documentos relativos a protección de datos (como en formularios, cartel de videovigilancia, newsletters, etc.).

Las solicitudes de derechos ARSULIPO deben gestionarse siempre en tiempo y forma, es decir, hay que responderlas dentro del plazo dado por la ley, que es de un mes. Si se niegan, habrá que justificar la denegación debidamente.

7. Elaborar las políticas de protección de datos

Elaborar las políticas de protección de datos de la empresa significa incluir en un documento las medidas de seguridad y procedimientos que deben seguirse en la empresa en lo referente a cómo manejar y tratar los datos personales, así como implementarlas de manera efectiva, lo que implica la publicación de las mismas tanto a nivel interno como externo.

Cuando hablamos de políticas de protección de datos, nos estamos refiriendo a medidas de ciberseguridad, política de copias de seguridad, seudonimización y anonimización, políticas de cifrado, plan de recuperación ante desastres, prevención de fugas de datos, etc.

8. Elaborar un protocolo de respuesta ante brechas de seguridad

Para poder responder de manera eficaz ante las brechas de seguridad, es necesario elaborar un protocolo de actuación en estos eventos. El protocolo debe incluir todos los pasos o fases a seguir desde el momento en que se detecta la brecha, hasta que esta queda resuelta.

Contar con este protocolo, además, facilitará notificar las brechas de seguridad a la AEPD dentro del plazo de 72 horas que da la ley.

9. Programar auditorías periódicas

Si bien, las auditorías de protección de datos no son obligatorias, sí que es necesario hacerlas, porque gracias a ellas la empresa puede saber el nivel de cumplimiento de la normativa y si existen problemas de seguridad que subsanar, además de poder acreditar el cumplimiento ante las autoridades de control en caso de un proceso de inspección.

Estas auditorías deben realizarse con carácter periódico (siendo lo recomendable cada dos años) o cuando se planeen hacer nuevos tratamientos de datos personales.

10. Formación del personal

Formar al personal en materia de protección de datos no es una obligación per se contemplada en la normativa, pero se hace necesario llevarla a cabo, para asegurar que los empleados con acceso a datos personales cumplen adecuadamente con las medidas de seguridad implementadas en la empresa y están concienciados sobre la importancia de la protección de datos.

Un descuido o una negligencia por parte de un empleado en lo que respecta al tratamiento de datos personales, que pueda dejar estos expuestos, puede suponer una sanción para la empresa.

Sanciones en las que puede incurrir tu empresa por no cumplir correctamente con la Ley de Protección de Datos

Los artículos 71 al 74 de la LOPDGDD indican las conductas que son susceptibles de ser sancionadas. Por su parte, el artículo 83 del RGPD recoge los factores que se tendrán en cuenta a la hora de imponer las multas administrativas. Por ejemplo, la naturaleza, gravedad o duración de la infracción, la existencia de intencionalidad, o las medidas tomadas para paliar sus efectos negativos.

Ten en cuenta que las sanciones por no cumplir la ley de protección de datos en empresas pueden llegar a los 20 millones de euros o el 4% de la facturación del último ejercicio.

Contacta con Atico34, la empresa LOPD líder en España

Si necesitas profesionales que te guíen en el cumplimiento de la normativa, en Grupo Atico34 te podemos ayudar.

Somos la empresa líder en protección de datos. Prestamos servicios a todo tipo de organizaciones, desde protección de datos a pymes y autónomos, hasta empresas de gran envergadura.

No importa el tamaño de tu empresa ni su sector de actividad. Si buscas un servicio de protección de datos fiable, contacta con nosotros.

Estas son nuestras oficinas

Si necesitas garantizar el cumplimiento de la normativa de protección de datos en tu empresa, puedes contactar con la oficina de protección de datos del Grupo Atico34 más cercana.

Estamos para ayudar a tu empresa

Aunque según la normativa no es obligatorio contratar una empresa de protección de datos, ya has visto que cumplir con todas las obligaciones LOPD y RGPD puede resultar complejo (especialmente si no se tienen unos conocimientos mínimos sobre la normativa) y robarte un tiempo que preferirías dedicar a la gestión de tu empresa y sus clientes (o, peor, robarte parte de tu tiempo libre).

Por ello, contratar los servicios de una consultoría de protección de datos, como Atico34, es la mejor solución a la que puedes recurrir para cumplir la LOPD y RGPD. Pero además, contratar protección de datos con nosotros ofrece muchas otras ventajas:

  • Tendrás a tu disposición un equipo de profesionales especializados en protección de datos en empresas. Nada de abogados y asesores generalistas. Nuestro equipo tiene formación específica en la materia y cuenta con amplia experiencia y reputación probada.
  • Te ofrecemos una atención personalizada y aplicamos las medidas del RGPD y la LOPD según las necesidades particulares de tu empresa o negocio.
  • Brindamos un asesoramiento continuo, y te informamos sobre cualquier cambio o actualización de la normativa que pueda afectar a tu empresa.
  • Evitarás sanciones por incumplimiento que pueden llegar a ser muy cuantiosas.
  • Ahorrarás tiempo, esfuerzo y dinero, y tendrás la tranquilidad de saber qué estás cumpliendo con la ley.

tarifas proteccion datos

Preguntas de nuestros clientes

¿Qué es lo primero que deben hacer las empresas para adaptarse a LOPD-GDD/RGPD?

Todas las empresas obligadas a cumplir con la ley de protección de datos, una vez determinados los datos que van a tratar y los tratamientos que tienen previsto realizar, han de realizar un análisis de riesgos y, si procede, una evaluación de impacto sobre el tratamiento de datos personales. A partir de ahí, se decidirán las medidas que se deben aplicar.

Si no sabes cómo realizar un análisis de riesgos o una evaluación de impacto, contacta con nosotros y olvídate de preocupaciones.

¿Cuánto me va a costar contratar el servicio de protección de datos en Grupo Atico34?

Contratar el servicio de protección de datos para tu empresa no tiene por qué ser caro, pero cuidado con esas promociones de protección de datos gratis para empresas, porque o son fraudes o son servicios deficientes, que podrían dejar tu empresa expuesta a sanciones.

El precio de la protección de datos en Grupo Atico34 es variable, puesto que tenemos en cuenta el tamaño y actividad de tu empresa, el tipo y volumen de datos personales que tratas, por lo que siempre te ofreceremos el presupuesto más ajustado a las necesidades reales de tu empresa.

¿Debo cumplir la LOPD aunque no tengo contratado a nadie?

Por supuesto.

En el primer momento que se recojan datos de terceros se deberá cumplir la ley y si tienes clientes particulares (personas físicas) o una página web a través de la que promociones tu negocio y/o realices ventas o contactes con potenciales clientes, ya estarás recabando datos personales.

Hay que distinguir dentro de los obligados al cumplimiento de la normativa dos figuras:

  • Responsable del tratamiento, que es el titular del fichero que contenga datos personales.
  • Encargado del tratamiento, que es la persona o entidad que tiene acceso al fichero de datos personales para prestar algún servicio al responsable del fichero.

Si tienes una empresa unipersonal, serás el responsable del tratamiento, independientemente de que contrates como encargado del tratamiento a un tercero.

¿Es posible aplicar la LOPD a una empresa extranjera que utiliza datos en España?

SÍ. La protección de datos para empresas es extensible a toda empresa extranjera que realice actividades en España.

Esperamos haberte ayudado a clarificar qué sociedades están obligadas a cumplir con la normativa de protección de datos.

No obstante, en Grupo Atico34 estaremos encantados de ayudarte, tanto si finalmente decides contratar protección de datos, o simplemente necesitas que te resolvamos cualquier duda, no dudes en ponerte en contacto con nosotros.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.