¿Cómo cumplir las normas de protección de datos?

Si trabajas por cuenta propia como autónomo/a o tienes una empresa o PYME, es posible que el tema de la protección de datos de carácter personal te preocupe y no sepas muy bien por dónde empezar, de cara a cumplir la legislación y trabajar con la tranquilidad de no estar infringiendo ninguna norma.

Lo habitual es que desde tu propia asesoría o también, si cuentas con un asesor jurídico, te ayuden con esta cuestión. No obstante, no está de más conocer algunos aspectos básicos, pues como titular de la empresa, tienes esa responsabilidad.

El Principio de Responsabilidad Activa es uno de los elementos clave del Reglamento.

¿QUÉ OBLIGACIONES TIENE MI EMPRESA EN MATERIA DE SEGURIDAD? LAS MEDIDAS DE RESPONSABILIDAD ACTIVA.

La regulación sobre protección de datos de carácter personal se basa, entre otros, en el “principio de responsabilidad proactiva” y también el enfoque del riesgo, siendo ambos aspectos clave del actual Reglamento General sobre Protección de Datos europeo.

La normativa sobre protección de datos exige a las empresas que tomen una serie de medidas en el momento en el que recojan datos personales. Si en tu actividad profesional recoges datos de carácter personal, te indicamos algunas de las medidas más importantes que tienes que tomar en tu empresa.

5 acciones clave  para proteger los datos personales en tu empresa.

1.Llevar un registro de actividades de tratamiento:

Como responsables de los datos personales que tratáis en vuestra empresa, o la persona que designéis para ello, debéis llevar a cabo un registro de las actividades de tratamiento de datos, que deberá contener determinada información (nombre y datos de contacto, fines del tratamiento de los datos, etc.)

El registro de actividades de tratamiento será un archivo en el cual analizaréis y localizaréis cuáles son las actividades de vuestra empresa en las cuáles recogéis datos de carácter personal (por ejemplo, si en vuestra web tenéis un formulario de contacto o si en vuestro local físico facilitáis a los clientes fichas físicas para dar de alta a un cliente)

2. Análisis de riesgos:

En vuestra empresa debéis aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (es decir, llevar a la práctica el “principio de responsabilidad proactiva”).

Tenéis que analizar: qué datos personales tratáis, con qué finalidades lo hacéis y qué tipo de actuaciones concretas de tratamiento de datos lleváis a cabo. Las medidas han de establecerse teniendo en cuenta: costes técnicos y de aplicación, naturaleza de los datos, alcance y fines del tratamiento, contexto y posibles riesgos para los derechos y libertades de las personas.

Debéis tener en cuenta que, como empresa, estáis obligados a tener una actitud diligente y proactiva, que deberéis analizar todas las actividades de tratamiento de datos personales que llevéis a cabo para saber qué medidas o qué aspectos aplicar del Reglamento.

Es imprescindible para valorar el riesgo del tratamiento que hacéis de los datos personales teniendo en cuenta, entre otras cuestiones, el tipo de tratamiento en concreto, la naturaleza de los datos, o el número de interesados afectados en caso de brecha de seguridad, a fin de poder establecer qué medidas debéis aplicar y cómo debéis hacerlo.

3. Evaluación de impacto:

En los casos en los que, por el tipo de actividad que desarrolléis, sea probable que el tratamiento de datos tenga un riesgo alto para los derechos y libertades de las personas, deberéis realizar una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Concretamente esta evaluación de impacto la realizará la persona designada como responsable del tratamiento de datos. En caso de no haber persona designada específicamente, la persona responsable será el propio titular de la empresa. Lo adecuado es realizar esta evaluación antes del tratamiento. El RGPD no contempla una metodología específica realizar esta evaluación de impacto, aunque sí indica un contenido mínimo.

Cuando el análisis de riesgo sobre los tratamientos iniciados con anterioridad a la fecha de aplicación del RGPD revelen un alto riesgo para los derechos o libertades de los interesados, los responsables deberán realizar una evaluación de impacto sobre esos tratamientos y adoptar las medidas necesarias para adaptar el tratamiento a las exigencias del RGPD.

Si una evaluación de impacto identifica un alto riesgo para los datos personales que no pueda solventarse utilizando medios factibles y razonables (por cuestiones de tecnología y costes) será preciso consultar a la Agencia Española de Protección de Datos que podrá indicarnos recomendaciones específicas al respecto.

4. Delegado de Protección de Datos:

Esta figura es ya bastante conocida, aunque todavía mucha gente se pregunta si necesita un delegado de protección de datos en su empresa.

Aunque es un puesto que no requiere obligatoriamente de una titulación específica, lo ideal es que sea nombrado atendiendo a su cualificación profesional y, concretamente, a su conocimiento del Derecho y la práctica de la protección de datos. Su designación y datos de contacto han de hacerse públicos y comunicarse a la Agencia Española de Protección de Datos.

El RGPD también indica unos requisitos respecto a la posición y a las funciones que debe asumir el delegado de protección de datos en las empresas u organizaciones, tales como total autonomía, que se ha de relacionar con el nivel superior de la dirección, que ha de ser el punto de contacto con los interesados respecto al tratamiento de sus datos personales, etc.

Entonces ¿Estoy obligado a tener delegado de protección de datos en mi empresa?

Lo más habitual es que no. Sólo las empresas que traten gran cantidad de datos personales, al realizar un tratamiento que requiera una observación habitual y sistemática de interesados a gran escala o un tratamiento a gran escala de datos sensible, deberán contar con un DPO obligatoriamente.

Las empresas que, bien sea porque deben designar DPO obligatoriamente por ley, o bien sea porque lo designen voluntariamente, deberán comunicar su identidad, así como sus datos de contacto a las autoridades de supervisión competentes.

Sólo están obligados los sujetos que indica el artículo 34 de la LOPD. Se trata de una extensa lista, entre los que figuran: los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas, los establecimientos financieros de crédito, las entidades aseguradoras y reaseguradora, los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural, los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes (excepto los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual), las empresas de seguridad privada, las federaciones deportivas cuando traten datos de menores de edad, etc.

5. Protección de datos desde el diseño y por defecto:

Esto significa que, antes de empezar a tratar datos personales, debéis adoptar políticas internas y aplicar medidas que cumplan los principios de protección de datos. Cuando ya se estén tratando con anterioridad, tendréis que tomar estas medidas a la mayor brevedad posible.

Dichas medidas pueden consistir en, por ejemplo: reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales, dar transparencia a las funciones y el tratamiento de datos personales, permitiendo a vuestros clientes o personas interesadas supervisar el tratamiento que hacéis de sus datos.

Si te dedicas al desarrollo de software, aplicaciones o productos tecnológicos, debéis tener en cuenta el derecho a la protección de datos al desarrollar y diseñar estos productos, servicios y aplicaciones, y que aseguraos de que los responsables y los encargados del tratamiento pueden cumplir sus obligaciones en materia de protección de datos.

Como responsables y encargados del tratamiento de datos en vuestra empresa debéis establecer las medidas técnicas y organizativas óptimas para garantizar un nivel de seguridad adecuado en función de los datos que tratéis y los riesgos que se puedan dar.

En definitiva, medidas que reflejan directamente el enfoque de responsabilidad proactiva.

La responsabilidad activa debe reflejarse en medidas reales.

¿Quién es el responsable del tratamiento de los datos en mi empresa?

En principio vais a ser vosotros mismos, los titulares de la empresa. Si dentro de la empresa, hay varias personas y se le asigna a una esta tarea, o se subcontrata a un tercero, debe estar indicado por acuerdo escrito. Lo más adecuando es establecer de manera clara y expresa la persona que se va a encargar del tratamiento de los datos personales, así como su compromiso con los deberes de confidencialidad, obligatoriedad por parte del encargado de adoptar todas las medidas de seguridad que sean necesarias para la protección de los datos.

Obligaciones del responsable del tratamiento

El RGPD impone a los responsables del tratamiento de datos personales dos obligaciones. Estas obligaciones suponen en sí mismas el tratamiento de datos de carácter personal y, por lo tanto, son dos actividades que debéis incluir en el Registro de Actividades de Tratamiento. Estas obligaciones son:

  1. Atender a los derechos de las personas: es necesario obtener los datos personales imprescindibles para poder atender los derechos de las personas que se dirijan a vuestra empresa.
  2. Notificar de una quiebra de seguridad de los datos personales a la autoridad de control y a los interesados.

Por últimos, queremos indicaros algunos de los aspectos más relevantes que conviene conocer para el cumplimiento de la normativa en protección de datos de carácter personal en tu empresa son:

  • Limitación de la finalidad: si recoges datos de carácter personal, estos serán obtenidos para unos fines determinados, explícitos y legítimos. No puedes usar estos datos para otros fines distintos.
  • Minimización de datos: debes recoger los datos personales mínimos y adecuados para el fin para el que hayan sido obtenidos.
  • Limitación en el tiempo: Debes conservar los datos el mínimo tiempo necesario para cumplir la finalidad para la que fueron recogidos.
  • Transparencia: El tratamiento que hagas de los datos personales deberá ser transparente. Tendrás que facilitar tus clientes o personas legítimamente interesadas el ejercicio de sus derechos (acceso, rectificación, supresión, oposición, portabilidad, olvido y limitación del tratamiento).

La AEPD y el Incibe ponen a tu disposición herramientas muy útiles de ayuda e información.

La Agencia Española de Protección de Datos tiene herramientas en su web como la herramienta ”Facilita” , que ayuda a empresas que realicen un tratamiento de datos personales de escaso riesgo para el cumplimiento del Reglamento General de Protección de Datos. Además, tienen guías para facilitar el cumplimiento de la normativa, así como también es de gran ayuda el Instituto Nacional de Ciberseguridad ( Incibe )

Ante cualquier duda, si te preocupa cumplir la normativa, siempre es recomendable consultar con un profesional. Así trabajarás con la tranquilidad de no infringir ninguna norma, hacer las cosas bien, y evitar cualquier riesgo innecesario o, en el peor de los casos, una reclamación o sanción.

Si necesitas asesoramiento legal sobre tu actividad profesional en materia de privacidad o protección de datos, puedes obtener más información contactando con Centinela Abogados Digitales, despacho de abogados especializado en Derecho Tecnológico en Murcia.

CRÉDITOS

AUTOR DEL ARTÍCULO: ARIADNA MANZANERA

IMÁGENES CEDIDAS POR:

<a href=’https://www.freepik.es/vectores/fondo’>Vector de Fondo creado por macrovector – www.freepik.es</a>

<a href=”https://www.freepik.es/fotos/icono”>Foto de Icono creado por 8photo – www.freepik.es</a>