¿Cómo deben cumplir la normativa de protección de datos las empresas de transporte y logística o los transportistas autónomos? En esta guía te daremos las claves principales para adaptar tu empresa de transporte al RGPD y la LOPDGDD.
En este artículo hablamos de:
- ¿Las empresas de transporte y logística deben cumplir la Ley de Protección de Datos?
- Normativa de protección de datos aplicable a empresas de transporte 2022
- ¿Cómo cumplir con el RGPD y la LOPDGDD en empresas de transporte y logística?
- Llevar un registro de actividades de tratamiento
- Recabar el consentimiento expreso de los titulares de los datos
- Realizar análisis de riesgos
- Firmar acuerdos de encargo de tratamiento
- Acuerdos de confidencialidad de los empleados
- Formación
- Informar a los titulares de los datos
- En caso de que la empresa de transporte tenga página web
- Notificar brechas de seguridad
- ¿Es obligatorio hacer auditorías periódicas de protección de datos?
- Sanciones por no cumplir con la normativa de protección de datos
- ¿Necesitas cumplir con la LOPDGDD y el RGPD? Contacta con un especialista
- Preguntas frecuentes
- Resumen para cumplir la normativa de protección de datos en una empresa de transporte
¿Las empresas de transporte y logística deben cumplir la Ley de Protección de Datos?
Puesto que en el desarrollo diario de sus actividades mercantiles o comerciales las empresas de transporte y logística tratan con datos de carácter personal (sean de clientes, empleados o ciertos proveedores), estas empresas están obligadas a cumplir con las obligaciones de la normativa de protección de datos.
Normativa de protección de datos aplicable a empresas de transporte 2022
La normativa de protección de datos para empresas de transporte y logística la encontramos en:
- El RGPD (Reglamento General de Protección de Datos)
- La LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales)
- La LSSI-CE (Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico), en caso de que la empresa oferte servicios a través de Internet.
RGPD
El RGPD es el marco normativo común para la protección de datos para los Estados miembros de la UE y el EEE (Espacio Económico Europeo), así se establecen regulaciones homogéneas en estos países, como son los principios que rigen la protección de datos, la legitimación para tratar datos personales, las medidas técnicas y organizativas que se deben aplicar para garantizar la seguridad y confidencialidad de la información personal, las infracciones y sanciones y los derechos de los titulares de los datos.
LOPDGDD
La LOPDGDD es la ley Española de protección de datos, sustituyó a la LOPD en 2018 para introducir el RGPD en el ordenamiento jurídico español, por lo que cumplir esta ley implica cumplir el RGPD. Si bien es cierto que la LOPDGDD regula algunos aspectos del RGPD de forma más concreta, puesto que la norma europea deja abiertos algunos aspectos a la regulación de los Estados miembros.
¿Cómo cumplir con el RGPD y la LOPDGDD en empresas de transporte y logística?
En los siguientes puntos explicaremos los puntos clave que debes conocer para cumplir con la normativa de protección de datos en tu empresa de transporte o logística.
Llevar un registro de actividades de tratamiento
Todos los tratamientos de datos personales que realice la empresa de transporte y logística deben quedar documentados en el registro de actividades de tratamiento. Se trata de un documento que debe quedar por escrito y recoger toda la información relativa a cada actividad de tratamiento, conteniendo como mínimo:
- Datos identificativos del responsable del tratamiento y, si procede, del encargado o encargados del tratamiento y del Delegado de Protección de Datos (DPO).
- Finalidad del tratamiento y legitimación jurídica
- Descripción de interesados afectados
- Categorías de datos que se tratan
- Categorías de destinatarios a quienes se les pueden comunicar los datos personales (existen o previstos)
- Transferencias internacionales de datos (si procede)
- Plazos para la supresión de los datos
- Descripción de las medidas de seguridad implantadas
El registro de actividades de tratamiento de la empresa de transporte es un documento de carácter interno, por lo que no es necesario inscribirlo en la AEPD (Agencia Española de Protección de Datos), pero sí facilitárselo si nos lo solicita.
Recabar el consentimiento expreso de los titulares de los datos
Desde la entrada en vigor del RGPD, es obligatorio recabar el consentimiento expreso para el tratamiento de datos personales y por cada tratamiento que se vaya a hacer o finalidad a la que se vaya a destinar. Este consentimiento debe quedar registrado y debe suponer una acción positiva de los interesados (como puede ser la firma de las cláusulas de consentimiento para el tratamiento de datos de un formulario o contrato).
Realizar análisis de riesgos
Para cumplir con el principio de proactividad en la protección de datos, las empresas de transporte o logística deberán, con carácter previo a realizar ningún tratamiento de datos personales, un análisis de riesgos que sirva para determinar la posibilidad de que esos riesgos se materialicen y el nivel de impacto en los derechos y libertades de los titulares de los datos.
El análisis de riesgos también servirá para diseñar e implantar las medidas de seguridad necesarias para garantizar la confidencialidad de los datos personales.
¿Tienen las empresas de transporte que hacer una evaluación de impacto de protección de datos (EIPD)?
Si la empresa de transporte o logística trata datos personales a gran escala o del análisis de riesgos se determina un nivel alto de riesgo para los derechos y libertades de los titulares de los datos, se deberá realizar una EIPD.
Firmar acuerdos de encargo de tratamiento
Si se producen cesiones de datos personales a terceros para que estos realicen un tratamiento de datos (como la gestoría para el pago de nóminas), la empresa de transporte o logística deberá firmar con ellos un encargo de tratamiento de datos, donde la empresa, como responsable del tratamiento, acordará las condiciones y finalidad del tratamiento de datos por parte del encargado del tratamiento, y se establecerán las medidas de seguridad pertinentes.
Acuerdos de confidencialidad de los empleados
Los empleados de la empresa de transporte que puedan tener acceso a los datos personales de los clientes u otros empleados, deberán mantener la debida confidencialidad y respetar la política de seguridad implantada por la empresa al respecto.
Lo habitual es que en el contrato de trabajo se incluyan cláusulas sobre la confidencialidad y las consecuencias por no cumplir con ellas.
Formación
No es obligatorio realizar cursos de formación en materia de protección de datos, pero se recomienda que quien se ocupe de esta tarea, que recae sobre el responsable del tratamiento en la empresa de transporte o logística, sí cuente con conocimientos sobre la materia y sobre la normativa vigente.
Informar a los titulares de los datos
A la hora de recabar el consentimiento, se debe informar a los titulares de los datos personales de que se va a realizar un tratamiento de sus datos. Esta información como mínimo contendrá:
- Nombre y datos de contacto del responsable del tratamiento
- Legitimación para el tratamiento
- Finalidad del tratamiento
- Dónde y cómo ejercer los derechos ARSULIPO (acceso, supresión, rectificación, limitación, portabilidad y oposición).
En caso de que la empresa de transporte tenga página web
Si tu empresa de transportes y logística tiene una página web para promocionarse o vender servicios, debe incluir los siguientes textos legales en ella (siempre claros y comprensibles y accesibles desde cualquier página o subpágina):
- Aviso legal:
- Nombre o razón social
- NIF
- Dirección
- N.º de inscripción en el Registro Mercantil
- Política de privacidad:
- Datos identificativos del responsable del tratamiento
- Finalidad del tratamiento
- Legitimación
- Gestión de los datos personales
- Plazos de conservación de los datos
- Si se producen cesiones a tercero y la identificación de los mismos
- Si se usan cookies en la web
- Vía para ejercer los derechos ARSULIPO
- Política de cookies y aviso de cookies
- Condiciones de contratación (si estás pueden contratarse a través de la página web).
Notificar brechas de seguridad
Si en algún momento se produce una brecha de seguridad que pueda exponer los datos personales de los clientes (como puede ser un ataque informático) y suponer esto un riesgo para sus derechos y libertades, la empresa de transporte y logística deberá informar de ello en un plazo máximo de 72 horas tanto a la AEPD como a los titulares de los datos afectados.
¿Es obligatorio hacer auditorías periódicas de protección de datos?
Ni el RGPD ni la LOPDGDD establecen la obligatoriedad de llevar a cabo auditorías de protección de datos, pero sí que exigen poder demostrar que una organización cumple con la normativa y que tiene implantadas las medidas de técnicas y organizativas de seguridad necesarias para garantizar la protección de los datos personales. Una herramienta para poder demostrar esto es, precisamente la auditoría de protección de datos, que comprobará no solo la fiabilidad de nuestras medidas de seguridad, sino el nivel de cumplimiento de la normativa.
Es recomendable que esta auditoría se realice cada dos años como mínimo y que la lleve a cabo un servicio externo.
Sanciones por no cumplir con la normativa de protección de datos
El RGPD contempla dos rangos de sanciones en materia de protección de datos:
- Hasta 10 millones de euros o el 2% de la facturación anual (la cuantía que sea superior) para infracciones graves
- Hasta 20 millones de euros o el 4% de la facturación anual para infracciones muy graves.
Por su parte, la LOPDGDD concreta más la graduación de las infracciones y sanciones, aunque las primeras son las mismas que recoge el RGPD:
- Hasta 40.000 euros para las infracciones leves (artículo 74)
- De 40.001 a 300.000 euros para las infracciones graves (artículo 73)
- De 300.001 a 20 millones de euros o el 4% de la facturación anual para las infracciones muy graves (artículo 72)
¿Necesitas cumplir con la LOPDGDD y el RGPD? Contacta con un especialista
Si tu empresa de transporte y logística aún no cumple con la ley de protección de datos, está expuesta a sufrir sanciones de la AEPD, por lo que no esperes más y ponte en contacto con un especialista en la materia para que te ayude a cumplir con la normativa y mantener tu empresa actualizada en ella.
Preguntas frecuentes
¿Cuándo sé que trato datos de carácter personal?
Siempre que trates datos que permitan identificar a una persona física, estarás tratando con datos personales y necesitarás cumplir con la normativa de protección de datos.
Quedan, por tanto, excluidos los datos correspondientes a personas jurídicas (empresas, asociaciones, cooperativas, etc.).
¿Debe la empresa de transporte o logística designar un DPO?
Se deberá designar a un DPO, solo si la empresa de transporte o logística trata datos personales a gran escala o datos sensibles.
¿Es legal instalar un geolocalizador en un vehículo?
El acceso a los datos de geolocalización se considera un tratamiento de datos de carácter personal por lo que es necesario cumplir la normativa de Protección de Datos.
Se considera dato de geolocalización «cualquier dato tratado en una red de comunicaciones electrónicas que indique la posición geográfica del equipo terminal del usuario de un servicio de comunicaciones electrónicas disponible para el público».
Hay que informar a los afectados, pero no pedir su consentimiento por estar justificada la recogida de los datos por ser para la gestión de la relación laboral.
Puedes encontrar más información al respecto en nuestra entrada sobre geolocalización de trabajadores.
¿Y si tengo cámaras de videovigilancia en la empresa?
Si has instalado cámaras de videovigilancia en la empresa, deberás colocar los carteles informativos que requiere la ley en todos los puntos de acceso al recinto. Tienes más información al respecto en nuestra entrada sobre cámaras de videovigilancia y RGPD.
¿Y dentro de los vehículos?
Si quieres instalar cámaras en los vehículos de tu empresa de transporte o logística, sería necesario comprobar si se cumplen los principios de idoneidad, necesidad y proporcionalidad y cumplir con los requisitos establecidos por la normativa respecto a cámaras de videovigilancia.
En cualquier caso, estas cámaras nunca podrían estar continuamente grabando la vía pública.
¿Cuánto tiempo puedo conservar los datos personales?
Los plazos de conservación de los datos personales siempre deben ser los mínimos necesarios para cumplir con la finalidad del tratamiento. Sin embargo, hay algunas leyes que exigen que determinados documentos, que contienen datos personales, se guarden por períodos de tiempo determinado. Para más información sobre este tema, visita nuestra entrada sobre plazos de conservación de los datos, donde detallamos toda la información al respecto.
Resumen para cumplir la normativa de protección de datos en una empresa de transporte
Resumimos los puntos clave que las empresas de transporte y logística deben contemplar para cumplir con la normativa de protección de datos:
- Documentación relativa a protección de datos firmada y actualizada
- Registrar el consentimiento expreso recabado para los tratamientos de datos personales
- Realización de análisis de riesgos (e EIPD cuando corresponda)
- Establecer medidas de seguridad para garantizar la protección de datos
- Elaborar y mantener actualizado el registro de actividades de tratamiento
- Informar a los titulares de los datos de sus derechos
- Si procede, designar un DPO
- Notificar las brechas de seguridad cuando se produzcan
Esperamos haberte ayudado para adaptar tu empresa de transporte y logística a la normativa de protección de datos. Si necesitas ayuda o asesoramiento personalizado, no dudes en ponerte en contacto con Grupo Atico34, nuestro equipo de profesionales podrán ayudarte en lo que necesites.