Todas las empresas, con independencia de su tamaño, deben cumplir con la legislación en materia de protección de datos, dado que recopilan información de carácter personal, por lo tanto, tienen la responsabilidad de hacer un uso correcto de la misma. Por ello, es importante conocer cuáles son las obligaciones que en dicha legislación se establece para que esta información sea tratada, archivada y protegida adecuadamente.
En esta entrada resumimos cuales son las obligaciones que todo empresario debe cumplir para ser legal en materia de protección de datos, si no sabes cuáles son tus obligaciones como empresario o tus derechos como interesado sigue leyendo:
¿Qué se considera «dato personal»?
Se consideran datos personales todos aquellos datos que puedan identificar o hacer identificable a una persona física. Tales como: Nombre, domicilio, una fotografía, dirección IP, etc.
¿Estoy obligado/a a cumplir la Ley?
Todas las empresas que traten datos personales de terceros tienen la obligación de cumplir con esta ley, la Ley es de aplicación a cualquier tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. Concretamente están obligados:
- Autónomos
- Comunidades de bienes
- Administraciones públicas
- Organismos públicos
- Sociedades mercantiles
- Asociaciones
- Comunidades de propietarios
- Entidades sin ánimo de lucro
En resumen, la legislación en materia de protección de datos es de obligado cumplimiento para todas empresas o entidades, ya que todas tratan datos personales.
¿Cómo aplico la Ley?
El primer paso para aplicar la normativa en materia de protección de datos es conocer los datos personales que se manejan, si son datos especialmente protegidos, cómo se han recabado, cómo se almacenan, cómo se usan y si son objeto o no de transferencia.
Todas las empresas, independientemente del tipo de datos que traten, deben cumplir una serie de obligaciones relativas a:
- Garantizar la privacidad de los usuarios:
- informándoles de forma clara, sencilla, visible y transparente sobre el tratamiento de sus datos;
- Recabar su consentimiento expreso e inequívoco, y llevar un registro del mismo;
- Permitir a los interesados ejercitar sus derechos de forma sencilla, trasparente, y
- Notificarles en caso de violaciones de seguridad
- Realizar una evaluación de riesgos para establecer las medidas técnicas y organizativas necesarias con el objetivo de garantizar el nivel de seguridad adecuado al riesgo existente.
- Revisar los contratos con los encargados de tratamiento de información, en el caso de contratar servicios externos que utilicen los datos personales de tus tratamientos.
- Establecer un proceso de verificación, evaluación y valoración de la eficacia de las medidas técnicas y organizativas que hayas aplicado.
Para empresas que realizan tratamientos de datos personales considerados de bajo riesgo, como tratamientos de datos de contacto y facturación de clientes o proveedores de una pequeña empresa, o el tratamiento de los datos de sus empleados relativos a la relación laboral; la AEPD ha creado la herramienta FACILITA, esta herramienta permite llevar el registro básico que exige la normativa, y cumplir con todas las obligaciones mencionadas y, en su caso, llevar a cabo las obligaciones relativas a las zonas de videovigilancia .
Tratamiento de datos de alto riesgo
En el caso de llevar cabo un tratamiento de datos de alto riesgo, de datos especialmente protegidos o a gran escala, además de cumplir con los deberes anteriores, se deben aplicar una serie de medidas orientadas a reforzar la protección de dichos datos, así como los derechos y libertades fundamentales de sus titulares:
- Crear un Registro Interno de Actividades del Tratamiento. Obligatorio también para empresas con más de 250 empleados
- Designar un delegado de protección de datos
- Efectuar una evaluación del impacto del tratamiento de protección de datos
- Garantizar la privacidad de los usuarios implementado medidas de seguridad adecuadas para la protección de datos sensibles
¿Cuándo es lícito el tratamiento?
Para que el tratamiento de los datos personales sea lícito debe sustentarse en una base que lo legitime, es decir, se debe dar una de las siguientes situaciones o supuestos que justifique el tratamiento de los datos. La Ley establece seis:
- Consentimiento del interesado.
- Contrato o medidas precontractuales en el que el interesado sea parte.
- Obligación legal. Existe una norma que obligue al responsable del tratamiento a llevar a cabo una actividad concreta que implique el tratamiento de datos.
- Protección de intereses vitales del interesado o de otra persona física;
- Interés público. En el contexto de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
- Intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
Validez del consentimiento
Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que el interesado consintió el tratamiento de sus datos personales.
Si el consentimiento del interesado se da por medio de un documento en el que también se haga referencia a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo.
En resumen, el consentimiento del interesado ha de ser libre, explícito, específico, inequívoco e informado.
¿Qué pasa si no cumplo?
Cualquier ciudadano puede presentar una raclamación ante la autoridad competente, si considera que en el tratamiento de sus datos se han vulnerado sus derechos. La privacidad es un derecho fundamental, por lo que el ciudadano, tendrá derecho a la tutela judicial efectiva y a la indemnización por los daños y perjuicios sufridos a consecuencia de una infracción de la normativa.
Además, la Legislación establece que en caso de incumplimiento, las sanciones podrían ir desde apercibimientos y limitaciones temporales, como prohibir el tratamiento de datos personales u ordenar su supresión, hasta la imposición de multas
¿Y si se produce una brecha de seguridad?
Una brecha de seguridad es un incidente de seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de los datos personales tratados por un responsable, o bien la comunicación o acceso no autorizados a los mismos.
Se debe actuar con diligencia para evitar estas brechas, pero si se producen es necesario gestionarlas adecuadamente, es obligatorio comunicar a la autoridad competente, en un plazo de 72 horas desde que se tenga constancia de este incidente, las brechas de datos personales cuando sea probable que constituyan un riesgo para los derechos y libertades de las personas.
Cuando el riesgo sea alto, también se deberá, en el mismo plazo, comunicar el incidente de seguridad a las personas afectadas.
Para ayudar a valorar el nivel de riesgo de la brecha y la obligación de comunicación a la autoridad y/o a los afectados, la AEPD ha creado la herramienta Comunica-Brecha RGPD.
Estos consejos te ayudaran a ser legal en materia de protección de datos sin morir en el intento, para cualquier duda sobre la aplicación de la normativa contacta con nosotros.