Conoce Atico34 - Solicita presupuesto
LOPDGDD & RGPD

Política de protección de datos en una empresa

Aunque raras veces se menciona cuando hablamos de cómo cumplir con la normativa de protección de datos, la política de protección de datos es un elemento esencial que no podemos pasar por alto. En este artículo explicaremos qué es y cómo hacer una política de protección de datos para una empresa.

¿Qué es la política de protección de datos?

La política de protección de datos personales es un documento interno de la empresa, en el que se recogen las directrices que se seguirán para cumplir con la normativa de protección de datos, y el modo en que la empresa llevará a cabo los tratamientos de datos personales durante todo el ciclo de vida de los mismos.

Ahora bien, en el documento de la política de protección de datos personales no se detalla cómo se llevará a cabo la protección de datos, es decir, qué medidas técnicas y organizativas implementará la empresa para garantizar la confidencialidad, integridad y disponibilidad de los datos (información que debe especificarse en los procedimientos de protección de datos), sino que se describirá el compromiso de la empresa para cumplir con los requisitos del Reglamento General de Protección de Datos (RGPD) y de la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de Derechos Digitales (LOPDGDD).

Por ejemplo, en la política de protección de datos se indicará que los datos personales se tratarán de acuerdo al principio de integridad y confidencialidad, pero no se tendrá que explicar que para ello se aplicarán técnicas de cifrado.

Una política de protección de datos de una empresa es el documento interno que establece las bases para el cumplimiento del RGPD en una organización a través de dos prácticas: explicar el RGPD a los empleados y fortalecer el compromiso de la empresa con su cumplimiento.

¿Para qué sirve la política de protección de datos?

La política de protección de datos de una empresa sirve para dar cumplimiento al principio de responsabilidad proactiva, es decir, a través de este documento la empresa establece su compromiso con la protección de datos y con el cumplimiento de la normativa. En un proceso de inspección, es uno de los documentos que la empresa debe aportar para demostrar su cumplimiento de la Ley.

Además de plasmar «sobre el papel» este compromiso con la normativa, la política de protección de datos también sirve para establecer la base sobre la que se crearán los procedimientos que adoptará la empresa para cumplir con sus obligaciones en materia de protección de datos y trasladarlo al personal de la empresa en términos más comprensibles que los que recogen el Reglamento y la Ley.

tarifas proteccion datos

¿Es obligatorio hacer la política de protección de datos?

Aunque no se menciona explícitamente la obligación de hacer la política de protección de datos ni en el RGPD ni en la LOPDGDD, sí que podemos decir que elaborar la política de protección de datos en España y resto de Estados miembros es obligatorio, ya que a través de ella, la empresa cumple en parte, y como decíamos, con el principio de responsabilidad proactiva, al quedar recogido en el documento el compromiso con el cumplimiento de todas las obligaciones de la normativa de protección de datos.

¿Cómo hacer una política de protección de datos para una empresa?

La política de protección de datos para una empresa se hace redactando el documento correspondiente, en el que se deben recoger las directrices en materia de protección de datos que la empresa se compromete a seguir. Para ello, se recomienda recurrir a los principios de protección de datos que recoge el artículo 5 del RGPD y describir cómo abordará la empresa y su personal su cumplimiento.

Puesto que se trata, en esencia, de una declaración de intenciones por parte de la empresa y, por extensión, de su personal, para la redacción de esta política no es necesario tener ya decididas las medidas técnicas y organizativas que adoptará e implementará la empresa para cumplir con sus obligaciones en materia de protección de datos, puesto que, como hemos dicho, no se incluyen en el documento.

Lo que sí debe ser el texto es claro y conciso, especificar sus objetivos, su alcance y ámbito de aplicación, así como el respeto a los derechos de los interesados (los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición).

La política de protección de datos debe estar por escrito, admitiendo el soporte digital, comunicarse a todo el personal de la empresa y difundirse de forma pública, por ejemplo, a través de la web corporativa.

Así mismo, la política de protección de datos debe ser aprobada por el Consejo de Administración de la empresa.

política de protección de datos en la empresa

Contenido de la política de protección de datos

La política de protección de datos puede contener tanta información como la empresa desee incluir, pero habitualmente recogen este contenido:

  • La finalidad de la política de protección de datos, que es garantizar el cumplimiento de la normativa y el derecho a la protección de datos de las personas físicas.
  • El ámbito de aplicación (especialmente cuando hablamos de grupos de empresas).
  • Los principios básicos relativos al tratamiento de datos personales sobre los que se apoya la política, definiendo y detallando dichos principios y cómo los afrontará la empresa:
  • Elaboración e implementación de las medidas de protección de datos en la empresa (compromiso para hacerlo, quién se encargará, a quién afectará) y su obligado cumplimiento.
  • Control y evaluación de lo dispuesto en la política, es decir, control y evaluación de las medidas adoptadas e implementadas en materia de protección de datos a través de auditorías periódicas e informes de su eficacia.

Ejemplo de política de protección de datos

A continuación os dejamos un par de ejemplos de política de protección de datos de empresas, para ilustrar los puntos anteriores:

Política de privacidad y política de protección de datos ¿son lo mismo?

Dada la similitud de los términos y que en ocasiones se utilizan de forma indistinta o aparecen juntos como «políticas de privacidad y protección de datos», es fácil confundirlos. Pero la política de privacidad y la política de protección de datos no son lo mismo, de hecho cumplen una finalidad muy distinta.

Ya hemos visto que la política de protección de datos para una empresa es un documento en el que se pone de manifiesto el compromiso con el cumplimiento de la normativa y, por tanto, una de sus finalidades es cumplir con el principio de responsabilidad proactiva.

Por su parte, la política de privacidad comprende la información sobre el tratamiento de datos personales que hace una empresa (o profesional) a través de su página web (es uno de los textos legales que obligatoriamente deben incluir las páginas web en las que se tratan datos personales). Por tanto, la finalidad de la política de privacidad es informar a los interesados sobre todo lo relacionado con el tratamiento de sus datos.

Así, la política de privacidad es uno de los procedimientos con los que la empresa cumplirá con el principio de transparencia e información en el tratamiento de datos.

En definitiva, la política de protección de datos es un documento que toda empresa debe redactar, comunicar y mantener actualizado cuando sea necesario.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.