Antes de empezar a hablar sobre las obligaciones de las empresas con respecto al tema de la protección de datos, cómo Asesoría Laboral nos gustaría explicar qué significa éste término para facilitar la comprensión completa de éste artículo.
Los datos de carácter personal o datos personales son: el nombre y el apellido, el DNI, dirección, edad y fecha de nacimiento, nacionalidad, sexo, número de teléfono, número de la seguridad social, fotos, firma, correo electrónico, datos bancarios, etc. Estos son datos con los cuales se puede identificar a una persona.
Nueva Normativa
La nueva normativa de Protección de Datos trae algo muy positivo, el usuario de servicios está más protegido, mientras que las empresas disfrutan de una mayor seguridad frente a cualquier ataque, ya que se ven obligadas a implementar medidas más estrictas para cumplir con esta normativa.
Ahora bien, existe la falsa creencia de que sólo las empresas cuyas actividades están relacionadas con las Nuevas Tecnologías tienen la obligación de respetar la Ley Organica de Protección de Datos (15/1999 de 13 de diciembre), pero esta ley es de obligado cumplimiento para todas las personas físicas o jurídicas que posean datos de carácter personal de personas físicas.
Esto quiere decir que afecta, tanto a personas jurídicas (empresas, fundaciones, asociaciones…), como a personas físicas (particulares, autónomos) y a las Administraciones Publicas, y aquellas que posean datos de carácter personal de personas físicas. No se aplica por tanto a aquellas que solo posean datos de personas jurídicas
¿Los particulares que no ejercen actividades económicas tienen la obligación de cumplir esta Ley?
La respuesta es sí. Incluso aquellos particulares que no estén involucrados en actividades económicas se ven obligados a cumplir estos requisitos. En cambio, la Ley excluye de esa obligación a los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o de uso doméstico.
¿Qué tiene que hacer una empresa?
A continuación enumeramos las principales funciones que una empresa tiene que realizar en la protección de datos:
- Registro de actividades.
Es un documento con fines de inventario y análisis que debe reflejar el procesamiento de datos personales y no es solo una obligación, sino una herramienta de control interno y la mejor forma de demostrar que se está cumpliendo con el RGPD. Permite documentar el procesamiento de datos e identificar y jerarquizar los riesgos de procesamiento a la luz del RGPD.
Este registro debe de contener: los datos de contacto del responsable, encargado, los representantes y el Delegado de Protección de Datos según el caso, las finalidades de ese tratamiento, los destinatarios de las cesiones de esos datos, los plazos de conservación de los datos, las finalidades del tratamiento de datos y las medidas técnicas y organizativas que se han de implementar.
- Información a los interesados
La información que tenemos que mandar a los interesados en el momento de recabar sus datos personales tiene que ver con: la identidad del responsable, los fines del tratamiento, los destinatarios de esos datos, los derechos, los interesados de acceso, rectificación, supresión o limitación de los interesados, la base jurídica del tratamiento, el plazo de conservación de los datos y por ultimo, confirmar si se van a realizar transferencias internacionales de esos datos.
- Consentimiento para el tratamiento
El RGPD y LOPDGDD establecen claramente que el consentimiento debe ser inequívoco y debe implicar una aceptación clara y se prohíben las casillas opcionales marcadas previamente.
El consentimiento debe estar separado de otros términos y condiciones y no debe ser una condición previa para suscribirse a un servicio. Los registros deben mantenerse de forma clara para demostrar el consentimiento de cada cliente.
- Contratos con encargados del tratamiento
Si nuestros datos personales se los cedemos a un tercero para la prestación de algún servicio, tenemos la obligación de firmar un contrato para regular el tratamiento de los datos.
El RGPD establece que los contratos escritos entre responsables y encargados de los datos son obligatorios y tienen que incluir unos términos mínimos específicos. Estos términos están diseñados para garantizar que el procesamiento de datos efectuado por el encargado cumpla con los requisitos del RGPD y no solo con los relacionados con la seguridad de los datos personales, y cada vez que un responsable utiliza un encargado para procesar los datos personales en su nombre, debe existir un contrato escrito entre las dos partes.
De forma similar, si un encargado utiliza los servicios de un subencargado, debe de existir un contrato escrito con ese subencargado.
En estos contratos se tienen que especificar las instrucciones del responsable del tratamiento al encargado: las medidas de seguridad que se tienen que aplicar, especificar si se hace subcontratación o no, cláusula de confidencialidad, obligación de notificar los incidentes de seguridad y destino de los datos.
- Análisis de riesgos
Estos análisis tanto informáticos como de seguridad deben realizarlas todas las empresas de forma periódica e implantar soluciones para evitar y bloquear esos ataques.
La mejor manera de realizar estos análisis es identificando las amenazas, evaluar los riesgos y finalmente tratarlos.
- Evaluación de impacto en Protección de Datos
Algunas organizaciones ya están realizando evaluaciones de impacto de privacidad pero estos tienen que cumplir con los requisitos de RGPD y ser incluidas e integradas en las políticas y procedimientos. Si en tu empresa consideras que alguna cosa puede ser de riesgo o alto riesgo, entonces necesitas hacer una Evaluación de Impacto en Protección de Datos.
El contenido de esas EIPD son: la descripción de los tratamientos realizados, evaluaciones de la necesidad del tratamiento, análisis de riesgos, establecimiento de medidas necesarias para afrontar los riesgos.
- Delegado de Protección de Datos
Este es en encargado de supervisar el cumplimiento de la normativa de Protección de Datos dentro de la empresa y tiene la obligación de comunicarse permanentemente con la AEPD.
La figura de ese delegado solo es obligatoria si se trata de entidades u organismos públicos o cuando el tratamiento consiste en realizar un seguimiento del interesado a gran escala o si de lo que se trata es una categoría especial de datos
- Notificaciones de incidentes de seguridad.
Es una de la más importantes novedades introducidas por el RGPD, y consisten en que si en caso de que se produzca una fuga de datos, el encargado del tratamiento de datos tiene la obligación de comunicar la brecha de seguridad a la autoridad de control competente y también a los afectados.
El contenido de esa comunicación debe incluir: el número de afectados y el tipo de datos en cada caso, las circunstancias, las posibles consecuencias y las medidas que se adoptan para reducir los efectos.
¿Qué es la política de privacidad?
Esta política supone que como encargado de esos datos, tendrás que dar explicaciones de lo que estás haciendo para observar a los visitantes y qué es lo que haces con su información.
Esta política cubre: los tipos de información que recopilas, el propósito de esa recopilación, el almacenamiento, seguridad y acceso, sitios web y organizaciones afiliadas y los medios para ejercer los derechos por los usuarios.
¿Qué es la política de cookies?
Esta es una sección de la política de privacidad dedicada a las cookies. Estas cookies pueden rastrear el comportamiento del usuario y representan un riesgo potencial de privacidad.
El aviso de cookies tiene que explicar de forma breve el propósito de la instalación de cookies que usa la página, ser lo suficientemente notable y poner a disposición detalles del propósito de las cookies, el uso y la actividad de terceros relacionada.