Nos consulta un lector que proyecta un sitio web directorio de empresas en qué puede afectarle la Ley Orgánica de Protección de Datos (LOPD). De hecho, si preguntamos a gran parte de los profesionales autónomos sobre el cumplimiento de esta normativa, la mayoría no sabe ni qué es esto.

En estas líneas te explicaré los puntos más importantes de la normativa de Protección de Datos y cómo afectan a uno de los principales sectores de nuestro país, los autónomos.

Los autónomos, al igual que cualquier otra empresa, entidad u organismo, en cuanto recogen y tratan datos personales de sus clientes o proveedores, están sujetos a la normativa de Protección de Datos.

Regulación

LOPD

La Ley Orgánica de Protección de Datos de carácter personal y su Reglamento de desarrollo son aplicables a todas las empresas y profesionales (pymes y autónomos) que almacenan ficheros (tanto en papel como en soporte informático) con datos personales de personas físicas (clientes, empleados, proveedores, colaboradores, etc). La LOPD establece que “será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado”.

Con carácter general sabemos que la LOPD se aplica exclusivamente a datos de personas físicas, quedando las jurídicas (y algunos datos concretos de las físicas) excluidas por el artículo 2 del Reglamento LOPD: “Este reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.”

Diferencias entre autónomo y empresario individual

A primera vista puede parecer muy claro, pero debemos recordar que los términos autónomo y empresario individual no son exactamente sinónimos. Según la tesis de la Agencia de Protección de Datos (AEPD) los autónomos solo quedarían excluidos de la aplicación de la LOPD en caso de que organicen su actividad en forma de empresa.

Este criterio coincide con el de la Audiencia Nacional que en sentencia de 21 de noviembre de 2002 considera aplicable la normativa de protección de datos vigente en el momento a profesionales liberales.

Situaciones en que puede encontrarse un autónomo respecto a la LOPD

situacion-autonomo-lopd

A la hora de establecer la obligación de un profesional autónomo de cumplir la LOPD debemos diferencias varias situaciones:

  • Autónomo que sea socio-administrador de una Sociedad Anónima o Sociedad Limitada: en este caso, a nivel personal no tiene ninguna obligación de cumplir la Ley de Protección de Datos. Es su empresa la que debe cumplirla. Él tendrá en todo caso la responsabilidad como administrador de asegurar que su empresa cumpla la LOPD.
  • Autónomo que ejerce una actividad empresarial y tiene empleados: en ese caso está obligado a cumplir la Ley de Protección de Datos, ya que es el Responsable de los datos que posee de sus empleados que son datos de carácter personal. Además es probable que recoja en su negocio otros datos personales, por ejemplo, los de sus clientes, proveedores, etc. Pero sólo por el hecho de tener empleados ya está obligado a cumplir la LODP.
  • Autónomo que ejerce una actividad empresarial pero no tiene empleados: aquí, al no tener empleados, habría que examinar si, por la naturaleza de su negocio, trata datos personales de clientes o proveedores, qué tipo de datos trata y si esos datos que maneja están organizados en ficheros o no, ya que si no tiene ficheros no estaría sometido a la Ley de Protección de Datos. En caso de que sus clientes sean personas particulares y no empresas es muy probable que tenga la obligación de cumplir la LOPD.

RGPD

El próximo 25 de mayo entrará en vigor el nuevo Reglamento europeo de Protección de Datos y con él nuevas obligaciones y exigencias en materia de Protección de Datos para profesionales autónomos.

Este Reglamento ha sido creado para regular la gestión y el tráfico de datos en el marco de la Unión Europea. Tanto grandes empresas como pymes y autónomos deberán revisar sus sistemas de Seguridad de la Información para cumplir con esta nueva normativa.

Obligaciones del autónomo en materia de Protección de Datos

Las obligaciones que tienen los autónomos para adaptarse a la LOPD son las mismas que el resto de empresas y que son:

  • Inscribir debidamente los ficheros en la Agencia Española de Protección de Datos.
  • Regular los tratamientos de datos que se realicen por terceros, así como las posibles cesiones de datos.
  • Elaborar el documento de seguridad con sus anexos obligatorios.
  • Imponer las medidas técnicas y organizativas que aseguren la protección de los datos personales: deben observarse de las medidas de seguridad en función del tipo de ficheros y datos que maneje.
  • Implantar las medidas técnicas y organizativas que aseguren los derechos de los afectados: adaptarse a los principios de la LOPD; facilitar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
  • Todos los datos de carácter personal recogidos por la empresa, deben contar con el consentimiento del afectado, además de cumplir una serie de principios básicos como son: principio del consentimiento del afectado, principio de información y principio de calidad de los datos.
ejemplos proteccion de datos

Autónomos y pymes suponen el 99% del tejido empresarial español. La Agencia Española de Protección de Datos (AEPD) ha publicado nuevos materiales y recursos con los que facilitarles la adaptación al Reglamento General de Protección de Datos (RGPD), que entró en vigor el 25 de mayo de 2016 y comenzará a aplicarse el 25 de mayo de 2018.

Nuevas obligaciones del RGPD

El RGPD establece nuevas obligaciones que los autónomos deben también cumplir, entre las que están:

Evaluación de Impacto en Protección de Datos

Es necesario realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD), previamente al inicio de aquellos tratamientos que puedan conllevar un alto riesgo para los derechos y libertades de los interesados.

El tipo de análisis dependerá de cuestiones tales como el tratamiento y naturaleza de los datos, el número de interesados afectados, etc.

En el caso de los autónomos, al tratarse de empresas pequeñas que efectúan normalmente tratamientos de datos de poca dificultad, la normativa europea indica que pueden realizar este análisis fundamentándose en una consideración, mínimamente documentada, sobre las consecuencias de esos tratamientos en los derechos y libertades de los interesados.

Deber de información

El RGPD aumenta la información que debe comunicarse a los afectados al solicitar sus datos personales.

Con la LOPD, los datos sobre los que debe informarse son los siguientes:

  • finalidad
  • destinatarios ficheros
  • obligación o no de facilitarlos y sus consecuencias
  • los derechos del interesado
  • la identidad del responsable

Con el RGPD se añaden los siguientes:

  • la legitimación para el tratamiento
  • el plazo máximo de conservación
  • la identificación, si procede, del Delegado de Protección de datos
  • si se realizará o no trasferencia internacional de datos
  • el derecho a reclamar
  • la existencia o no de decisiones automatizadas.

Contratos con Encargados del tratamiento

Se actualizan también los contratos que el Responsable del tratamiento debe firmar con aquellos terceros a los que ceda datos personales para la prestación de algún servicio.

El contrato debe realizarse por escrito y se especificarán las instrucciones del Responsable al encargado en relación con las medidas de seguridad, el régimen de subcontratación, la confidencialidad y el destino que dará a los datos una vez finalizada la prestación del servicio.

Auditoría de cumplimiento legal e informática

Debe auditarse cómo se encuentra el cumplimiento de la normativa de Protección de Datos en la empresa. Esta auditoría ha de efectuarse previamente a actualizar las políticas, los protocolos y los textos referidos al tratamiento de datos personales.

El RGPD establece qué clase de medidas técnicas y organizativas se deben imponer, eliminando la tradicional lista de la LOPD e indicando la necesidad de que se establezcan de forma personalizada para cada empresa. Así pues, para dar cumplimiento a la norma, el equipo auditor debe estar formado por:

  • Profesionales con conocimientos jurídicos especializados en Protección de Datos.
  • Profesionales informáticos con conocimientos especializados en Seguridad Informática.

Consentimiento para la recogida de datos personales de autónomos

De esta forma nos encontramos con que la recogida de datos personales de profesionales autónomos que no ejerzan su actividad en forma de empresa será una actividad sometida a la LOPD. Esto genera la obligación para el responsable del fichero de obtener el consentimiento del interesado, informar sobre los derechos que le asisten, así como sobre la identidad y dirección del responsable y sobre el uso que se va a dar a esos datos. 

El RGPD introduce una importante novedad en el ámbito del consentimiento. Actualmente si el visitante de tu web sigue navegando en tu página, sin haber aceptado la política de cookies, puedes seguir tratando sus datos de navegación. Esto es porque la LOPD permite la navegación por omisión. Bien, pues esto no está permitido con la nueva normativa.

A partir de mayo de 2018, el visitante de tu página debe darte su consentimiento de manera explícita, para que tú puedas tratar sus datos de navegación. Así que ya puedes empezar a adaptar técnicamente este proceso.

Delegado de Protección de Datos

Muchas empresas tendrán la obligación de nombrar un DPO. Una figura clave en el RGPD que se encargará del asesoramiento dentro de la entidad, garantizará el cumplimiento de la normativa y será el contacto inmediato con la autoridad de control.

Sin embargo, la mayoría de los autónomos no necesitarán desigar un DPO, pero sí contar con un especialista que supervise la aplicación del Reglamento europeo. Solo deberán designar a un DPO en el caso de que su actividad principal sea el procesamiento de datos y presente riesgos específicas para los derechos y libertades de las personas (como el seguimiento de personas o el procesamiento de datos confidenciales o antecedentes penales), en particular porque se realice a gran escala.

Para ahorrar costes se puede nombrar un mismo Delegado de Protección de Datos para un grupo de trabajadores por cuenta propia.

Notificar brechas de seguridad

Cualquier empresa o entidad puede sufrir pérdidas o filtraciones de sus datos personales, ya sea por negligencia, por un ataque externo o por la mezcla de ambos.

Es común que las pymes y autónomos piensen que los hackers no están interesados en su información. Este es un pensamiento erróneo ya que, muchas veces, los ciberdelincuentes atacan a este tipo de empresas ya que que sus bases de datos son fácilmente accesibles.

Por tanto, debemos saber qué hacer en caso de sufrir una brecha de seguridad. El RGPD establece que todas aquellas violaciones de datos que supongan un riesgo para la información personal, han de ser notificadas a la autoridad de control en un plazo máximo de 72 horas. La notificación debe incluir:

  • La naturaleza del ataque y la cantidad estimada de afectados.
  • El nombre y datos del DPO o persona responsable.
  • Explicar las consecuencias de esta violación de datos.
  • Informar de las medidas adoptadas.

Preguntas frecuentes

¿Debo revisar la política de privacidad de mi página web?

. El nuevo Reglamento dispone que se incluyan nuevas informaciones como por ejemplo la base legal para el tratamiento de datos, períodos de retención de los datos, Autoridades disponibles para las reclamaciones de los interesados, etc. Y todo ello de forma que resulte fácil de entender, con un lenguaje claro y preciso.

También surgen nuevos instrumentos como el principio de transparencia, el derecho al olvido y el derecho a la portabilidad que el Responsable de los ficheros deberá facilitar a los afectados o interesados.

¿Por qué debo cumplir la normativa de Protección de Datos como autónomo?

Los principales motivos por los que, aunque seas autónomo, debes adaptarte a la normativa son:

  • Proporcionar confianza a tus clientes sobre el negocio
  • Evitar denuncias y sanciones que repercutirán negativamente en nuestro negocio.
  • Garantizar un correcto tratamiento de los datos personales
  • Prevenir costes económicos y reputacionales en caso de sufrir pérdidas de datos por ataques informáticos.

¿Debo pedir de nuevo el consentimiento a mis clientes?

No será necesario obtener de nuevo el consentimiento de cada uno de los titulares de los datos tratados en el caso de que ese consentimiento hubiera sido otorgado en su momento de acuerdo con los  términos establecidos en el nuevo Reglamento y siempre que todo ello esté adecuadamente registrado.

No olvidemos que los consentimientos obtenidos tácitamente, a partir de mayo, serán ilícitos.

¿Durante cuánto tiempo puedo conservar los datos de mis clientes?

Los datos personales deben guardarse el menor tiempo posible teniendo en cuenta las finalidades de su tratamiento y las obligaciones legales de conservación.

Excepcionalmente, los datos personales pueden almacenarse durante un período más largo para fines de archivo de interés público o por razones de investigación científica o histórica, siempre que se adopten las medidas técnicas y organizativas adecuadas (como la anonimización, el cifrado, etc. .).

¿Cuál es la tarifa por contratar el servicio de adaptación a la normativa de Protección de Datos?

No existen tarifas estándar para adaptación a la LOPD. Estas varían mucho en función de factores como el tamaño de las empresas o el tipo de datos que manejan.

No obstante, mi recomendación es contratar un profesional que te realice los trámites necesarios y te ofrezca la confianza de estar correctamente adaptado a esta normativa. Aunque en principio pueda parecerte un coste elevado, ¿te arriesgarías a recibir una sanción por importe mucho mayor?

Aquí te dejo un enlace donde puedes pedir varios presupuestos de adaptación.

¿Te ha quedado claro por qué debes cumplir la normativa de Protección de Datos aunque seas autónomo?

Sean cuales sean los datos personales que manejamos, una buena implementación de la normativa nos ayudará a protegerlos.

¿Necesitas cumplir la LOPD?

Manual de Protección de Datos para autónomos
4.6 (92%) 20 votos
  1. Muy interesante este artículo.
    Lo que no me queda claro es a qué se refiere la expresión “profesionales autónomos que no estén organizados como empresa”. ¿Un autónomo carpintero que facture bajo su propio DNI sería este caso? ¿Y un abogado autónomo que haga lo mismo? En ambos casos, si los datos de estos autónomos no se recogen de fuentes accesibles al público, habría que aplicar la LOPD?

  2. Pregunta de nota: Sobre los datos que requieren consentimientos para ser tratados. Si un señor ha declarado un domicilio falso y acumula diferentes impagos. ¿pueden las empresas de recobro y financieras utilizar datos de teléfono (fijo y móvil) de la persona domiciliada en la dirección del moroso?
    Me refiero que al reclamar, asocian datos de contratos telefónicos con el domicilio declarado por el deudor ¿es eso legal?
    Gracias Jesús!

    1. ¡Y tanto que para nota, Marina! 🙂
      Tal y como yo lo veo, en primera instancia y mientras ignoren la falsedad del dato, será legal, aunque podría matizarse que esas empresas deberían tener mecanismos de aseveración tratándose de datos sensibles (financieros). Pero desde el momento en que conozcan el engaño deberían eliminar esa información y abstenerse de volver a usarla.

  3. Pues ya son cinco años de llamadas y cartas de diferentes empresas, debería existir un mecanismo que permitiera desasociar legalmente esos datos demostrando que no hay relación entre estos, porque el acoso puede ser brutal y debe prevalecer el derecho de quien no originó la reclamación y se ve asediado.

    Siempre claro y contundente Jesús. Gracias por tu rápida respuesta.

  4. Buenas tardes, soy autónomo y una de mis actividades es el e-mail marketing. Mi pregunta es, Si adquiero una base de datos con correos electrónicos (solo correos, población y comunidad autónoma), ¿Debo especificar que la dirección la he sacado de una base de datos y que si quiere desuscribirse puede mandar un correo a la dirección desde donde se ha mandado? ¿O debo especificar todo el párrafo de la lopd, además de estas características?

    Gracias.

  5. Buenas tardes, a raíz de la lectura del post, se me aclara algo una duda que tengo: Estoy pensando en hacer un envío de correos electrónicos para promocionar mi negocio. Tengo una lista de empresas de la zona que me interesa, y en algunos casos, por ejemplo, la dirección de email es nombre.apellido@empresa.com y en otros info@empresa.com. He entendido que los datos de personas jurídicas no están sujetos a la LOPD. ¿Ni siquiera incluso cuando sea el nombre y apellido de la dirección de email de un trabajador de esa empresa? Muchas gracias, un saludo.

    1. Alfonso: en un envío por correo electrónico hay que considerar la LSSI, y en esa ley no hay distinción entre personas físicas y jurídicas, con lo que independientemente de la forma del email siempre puede ser considerado spam y denunciado, salvo que se cuente con el consentimiento previo del receptor.

  6. Hola Jesús, gracias por la respuesta y la rapidez.
    Si el envío se hace por correo postal, ¿se está sujeto a la LOPD, indicando que los datos están incorporados a un fichero para su tratamiento? ¿Se puede informar mediante el correo postal que, si no indican lo contrario en un plazo determinado, sus datos se podrían usar para el envío de correo electrónico, y así cumplir con la LSSI? Muchas gracias de nuevo, un saludo.

  7. Alfonso: si se hace un envío postal y es a una persona jurídica, la LOPD no interviene. Sin embargo no sirve para la segunda pregunta, puesto que el consentimiento ha de ser explícito, es decir, no vale que el afectado tenga que oponerse.

  8. Hola!!

    Mi duda es en una página web de un autónomo que tiene registrado su domicilio particular como dirección de autónomo, para cumplir la LSSI debe indicar nombre + DNI + Dirección + teléfono

    Pero si como autónomo considera que se vulnera su derecho por tener que publicar sus datos personales. Cómo se solventa esto?
    Gracias!

    1. Buenas tardes Maria,
      En este caso prevalece el derecho de los consumidores y usuarios a obtener información sobre los prestadores de servicios. La Ley de Servicios de la Sociedad de la Información y Comercio Electrónico establece la obligación de incluir en la página web nombre o razón social del titular de la web, DNI o CIF, domicilio completo, correo electrónico y teléfono de contacto y datos de inscripción en el Registro Mercantil o de autorización administrativa, en caso de que la empresa esté obligada a ello.
      Gracias por leernos y por tu consulta.

  9. Buen post, conciso. En mi caso la idea de negocio es a través de una web y se tratarían datos personales de clientes que contratarán los servicios. La duda es que datos personales del profesional deben figurar en el aviso legal de la web? Varían entre un autónomo y una SLU? Habría alguna forma de darse de alta de autónomo y evitar que figuren datos personales del mismo, como su nombre, dni, etc?

    1. Buenos dias Beatriz,

      En el aviso legal deben constar los datos que identifiquen al titular de la página web. Si es un autónomo debe aparecer su nombre, apellidos y dni. Gracias por leer el blog y por tu consulta

      1. Habría alguna forma de darse de alta de autónomo y evitar que figuren datos personales del mismo, como su nombre, dni, etc?

  10. Hola,

    Soy autonomo y tengo un negocio de agencia de viajes. Estoy registrado en la Agencia española de protección de datos y cumplo con lam LOPD.
    Ahora voy a abrir una tienda online que nada tiene que ver con la agencia de viajes. ¿En este caso, debo de dar una nueva alta o que debería hacer, una modificación de ficheros? No lo tengo claro, a ver si me podeis ayudar.

    Saludos y gracias

  11. Hola buenos días.
    Mi pregunta es la siguiente, como autónomo tengo una base de datos, en el que figura solo el nombre (sin apellido), número de teléfono y el dia y tratamiento que se le hace. Estaría sujeto a la LOPD?

    1. Buenos días Juan,
      Esos datos que me indicas se consideran datos personales y, por tanto, están sujetos a la LOPD. Gracias por leer el blog y por tu consulta


Comments are closed.