Me consulta un lector que trabaja como abogado autónomo en qué puede afectarle la Ley de Protección de Datos.

De hecho, si preguntamos a gran parte de los profesionales autónomos sobre el cumplimiento de esta normativa, la mayoría no sabe ni qué es esto.

En estas líneas te explicaré los puntos más importantes de la normativa de Protección de Datos y cómo afectan a uno de los principales sectores de nuestro país, los autónomos.

Los autónomos, al igual que cualquier otra empresa, en cuanto recogen y tratan datos personales de sus clientes o proveedores, están sujetos a la normativa de Protección de Datos.

Regulación

LOPD

La Ley Orgánica de Protección de Datos de carácter personal y su Reglamento de desarrollo son aplicables a todas las empresas y profesionales (pymes y autónomos) que realizan tratamientos (tanto en papel como en soporte informático) de datos personales de personas físicas (clientes, empleados, proveedores, colaboradores, etc).

Con carácter general sabemos que la LOPD se aplica exclusivamente a datos de personas físicas, quedando las jurídicas (y algunos datos concretos de las físicas) excluidas.

Diferencias entre autónomo y empresario individual

A primera vista puede parecer muy claro, pero debemos recordar que los términos autónomo y empresario individual no son exactamente sinónimos.

Según la tesis de la Agencia de Protección de Datos (AEPD) los autónomos solo quedarían excluidos de la aplicación de la LOPD en caso de que organicen su actividad en forma de empresa.

Situaciones en que puede encontrarse un autónomo respecto a la LOPD

situacion-autonomo-lopd

A la hora de establecer la obligación de un profesional autónomo de cumplir la LOPD debemos diferencias varias situaciones:

RGPD

El  25 de mayo ha entrado en vigor el nuevo Reglamento europeo de Protección de Datos y con él nuevas obligaciones y exigencias en materia de Protección de Datos para profesionales autónomos.

Este Reglamento ha sido creado para regular la gestión y el tráfico de datos en el marco de la Unión Europea. Tanto grandes empresas como pymes y autónomos deberán revisar sus sistemas de Seguridad de la Información para cumplir con esta nueva normativa.

Obligaciones del autónomo en materia de Protección de Datos

El RGPD establece nuevas obligaciones que, como autónomo, debes también cumplir, entre las que están:

  1. Realizar un Registro de actividades de tratamiento
  2. Elaborar un análisis de riesgos
  3. Realizar una Evaluación de impacto
  4. Facilitar más información a los titulares de los datos
  5. Firmar contratos con Encargados de tratamiento
  6. Garantizar el cumplimiento normativo
  7. Solicitar el consentimiento a los clientes
  8. Nombrar un Delegado de Protección de Datos
  9. Notificar las brechas de seguridad

como cumplir la ley de proteccion de datos y el reglamento general de proteccion de datos si eres autonomo

1. Registro de actividades de tratamiento

Como primer paso para comenzar la adaptación debes analizar qué tipo de datos manejas y qué cantidad.

En ese registro debes incluir la siguiente información:

  • Tipo de datos almacenados
  • Finalidad
  • Legitimados para el tratamiento
  • Política de almacenamiento de esos datos
  • Si hay cesiones o transferencias internacionales
  • Formas a través de las que se realiza el tratamiento

Este registro de actividades de tratamiento tienes que tenerlo siempre actualizado.

2. Análisis de riesgos

Como profesional autónomo debes también realizar un análisis del riesgo. En él tendrás que valorar los riesgos que puedan surgir de los tratamientos realizados, teniendo en cuenta, entre otras cuestiones,

  • tipo de datos,
  • naturaleza de los datos,
  • medios de tratamiento,
  • cesiones,
  • transferencias internacionales y
  • número de interesados afectados;

Una vez hecho este análisis debes adoptar unas medidas de seguridad adecuadas para reducir o evitar esos riesgos.

3. Evaluación de Impacto en Protección de Datos

¡Agárrate! porque esto es más complicado.

Es necesario realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD), antes de comenzar aquellos tratamientos que puedan originar un alto riesgo para los derechos y libertades de los interesados.

El tipo de análisis dependerá de cuestiones tales como el tratamiento y naturaleza de los datos, el número de interesados afectados, etc.

En el caso de los autónomos, al tratarse de empresas pequeñas que efectúan normalmente tratamientos de datos de poca dificultad, la normativa europea indica que pueden realizar este análisis fundamentándose en una consideración, mínimamente documentada, sobre las consecuencias de esos tratamientos en los derechos y libertades de los interesados.

Resumiendo.

Con carácter general, no necesitas hacer esta Evaluación de impacto.

Salvo que trates datos sensibles como de salud, ideología, religión, condenas penales, financieros o de crédito, etc.

4. Deber de información

El RGPD aumenta la información que debes facilitar a los afectados al solicitar sus datos personales.

Con la LOPD, los datos sobre los que debías informar son los siguientes:

  • finalidad
  • destinatarios ficheros
  • obligación o no de facilitarlos y sus consecuencias
  • los derechos del interesado
  • la identidad del responsable

Con el RGPD se añaden los siguientes:

  • la legitimación para el tratamiento
  • el plazo máximo de conservación
  • la identificación, si procede, del Delegado de Protección de datos
  • si realizarás o no trasferencia internacional de datos
  • el derecho a reclamar
  • la existencia o no de decisiones automatizadas.

5. Contratos con Encargados del tratamiento

¿Tienes una gestoría que te lleva los temas fiscales o laborales?

¿Y una empresa informática para el mantenimiento de los equipos o la página web?

Entonces cedes datos de tus clientes o empleados a terceros.

Y ellos son los Encargados de tratamiento.

Por eso debes firmar un contrato de encargo de tratamiento con esos terceros en el que se indiquen las obligaciones de estos para proteger los datos personales a los que accedan.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Se actualizan también los contratos que el Responsable del tratamiento debe firmar con aquellos terceros a los que ceda datos personales para la prestación de algún servicio.

El contrato debe realizarse por escrito y se especificarán las instrucciones del Responsable al encargado en relación con:

  • medidas de seguridad,
  • régimen de subcontratación,
  • confidencialidad y
  • destino que dará a los datos una vez finalizada la prestación del servicio.

6. Auditoría de cumplimiento legal e informática

Debes examinar cómo está el cumplimiento de la normativa de Protección de Datos en la empresa.

Esta auditoría debes efectuarla antes de actualizar las políticas, los protocolos y los textos referidos al tratamiento de datos personales.

El RGPD establece qué tipo de medidas técnicas y organizativas se deben implantar, indicando la necesidad de que se establezcan de forma personalizada para cada empresa. Así pues, para dar cumplimiento a la norma, el equipo auditor debe estar formado por:

  • Profesionales con conocimientos jurídicos especializados en Protección de Datos.
  • Profesionales informáticos con conocimientos especializados en Seguridad Informática.

7. Consentimiento de clientes

Además de actualizar la política de privacidad, debes tener el consentimiento expreso de todos tus clientes para poder tratar sus datos.

En caso de que el cliente facilite sus datos personalmente en la oficina, debe firmar un documento en el que se le informe sobre:

  • responsable del tratamiento,
  • finalidad para la que se van a usar los datos,
  • si se van a ceder a terceros y
  • el medio por el que puede ejercer sus derechos ARCO.

Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

En la web

Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.

8. Delegado de Protección de Datos

Muchas empresas tendrán la obligación de nombrar un DPO. Una figura clave en el RGPD que se encargará del asesoramiento dentro de la entidad, garantizará el cumplimiento de la normativa y será el contacto inmediato con la autoridad de control.

¿Lo vas a necesitar?

La mayoría de los autónomos no necesitarán desigar un DPO, pero sí contar con un especialista que supervise la aplicación del Reglamento europeo.

Solo deberás designar a un DPO en el caso de que tu actividad principal sea el procesamiento de datos y presente riesgos específicas para los derechos y libertades de las personas (como el seguimiento de personas o el procesamiento de datos confidenciales o antecedentes penales), en particular porque se realice a gran escala.

Para ahorrar costes se puede nombrar un mismo Delegado de Protección de Datos para un grupo de trabajadores por cuenta propia.

9. Notificar brechas de seguridad

¡Ojo con esto!

Cualquier empresa o entidad puede sufrir pérdidas o filtraciones de sus datos personales, ya sea por negligencia, por un ataque externo o por la mezcla de ambos.

Es común que las pymes y autónomos piensen que los hackers no están interesados en su información. Este es un pensamiento erróneo ya que, muchas veces, los ciberdelincuentes atacan a este tipo de empresas ya que que sus bases de datos son fácilmente accesibles.

Por tanto, debes saber qué hacer en caso de sufrir una brecha de seguridad.

El RGPD establece que todas aquellas violaciones de datos que supongan un riesgo para la información personal, han de ser notificadas a la autoridad de control en un plazo máximo de 72 horas.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

La notificación debe incluir:

  • La naturaleza del ataque y la cantidad estimada de afectados.
  • El nombre y datos del DPO o persona responsable.
  • Explicar las consecuencias de esta violación de datos.
  • Informar de las medidas adoptadas.

Preguntas frecuentes

Modelos

Aquí te dejo todos los documentos que, como autónomo, necesitas para un correcto cumplimiento de la normativa de Protección de Datos en tu empresa.

Sanciones

Y llegamos a la parte más peliaguda.

¡Ojo! no es ninguna broma.

El incumplimiento del RGPD, bien porque se haya producido un incidente, un ciberataque o porque se haya cometido un error interno por parte algún empleado, podría dar lugar a una investigación regulatoria, lo que supone para las empresas una importante inversión de tiempo y recursos.

Las compañías se exponen, además, a una multa que en sus valores máximos podría llegar a suponer el 4% del volumen de negocio del último ejercicio, 20 millones de euros para las infracciones más graves, o hasta el 2% o 10 millones de euros para cuestiones de índole administrativo.

Y no hay excepciones para el caso de autónomos o pequeñas empresas.

Ya lo dice el refrán.

Más vale prevenir que curar.

¿Te ha quedado claro por qué debes cumplir la normativa de Protección de Datos aunque seas autónomo?

Sean cuales sean los datos personales que manejamos, una buena implementación de la normativa nos ayudará a protegerlos.

¿Necesitas cumplir la LOPD?

Protección de Datos para autónomos
4.6 (92%) 20 votos
  1. Muy interesante este artículo.
    Lo que no me queda claro es a qué se refiere la expresión “profesionales autónomos que no estén organizados como empresa”. ¿Un autónomo carpintero que facture bajo su propio DNI sería este caso? ¿Y un abogado autónomo que haga lo mismo? En ambos casos, si los datos de estos autónomos no se recogen de fuentes accesibles al público, habría que aplicar la LOPD?

  2. Pregunta de nota: Sobre los datos que requieren consentimientos para ser tratados. Si un señor ha declarado un domicilio falso y acumula diferentes impagos. ¿pueden las empresas de recobro y financieras utilizar datos de teléfono (fijo y móvil) de la persona domiciliada en la dirección del moroso?
    Me refiero que al reclamar, asocian datos de contratos telefónicos con el domicilio declarado por el deudor ¿es eso legal?
    Gracias Jesús!

    1. ¡Y tanto que para nota, Marina! 🙂
      Tal y como yo lo veo, en primera instancia y mientras ignoren la falsedad del dato, será legal, aunque podría matizarse que esas empresas deberían tener mecanismos de aseveración tratándose de datos sensibles (financieros). Pero desde el momento en que conozcan el engaño deberían eliminar esa información y abstenerse de volver a usarla.

  3. Pues ya son cinco años de llamadas y cartas de diferentes empresas, debería existir un mecanismo que permitiera desasociar legalmente esos datos demostrando que no hay relación entre estos, porque el acoso puede ser brutal y debe prevalecer el derecho de quien no originó la reclamación y se ve asediado.

    Siempre claro y contundente Jesús. Gracias por tu rápida respuesta.

  4. Buenas tardes, soy autónomo y una de mis actividades es el e-mail marketing. Mi pregunta es, Si adquiero una base de datos con correos electrónicos (solo correos, población y comunidad autónoma), ¿Debo especificar que la dirección la he sacado de una base de datos y que si quiere desuscribirse puede mandar un correo a la dirección desde donde se ha mandado? ¿O debo especificar todo el párrafo de la lopd, además de estas características?

    Gracias.

  5. Buenas tardes, a raíz de la lectura del post, se me aclara algo una duda que tengo: Estoy pensando en hacer un envío de correos electrónicos para promocionar mi negocio. Tengo una lista de empresas de la zona que me interesa, y en algunos casos, por ejemplo, la dirección de email es nombre.apellido@empresa.com y en otros info@empresa.com. He entendido que los datos de personas jurídicas no están sujetos a la LOPD. ¿Ni siquiera incluso cuando sea el nombre y apellido de la dirección de email de un trabajador de esa empresa? Muchas gracias, un saludo.

    1. Alfonso: en un envío por correo electrónico hay que considerar la LSSI, y en esa ley no hay distinción entre personas físicas y jurídicas, con lo que independientemente de la forma del email siempre puede ser considerado spam y denunciado, salvo que se cuente con el consentimiento previo del receptor.

  6. Hola Jesús, gracias por la respuesta y la rapidez.
    Si el envío se hace por correo postal, ¿se está sujeto a la LOPD, indicando que los datos están incorporados a un fichero para su tratamiento? ¿Se puede informar mediante el correo postal que, si no indican lo contrario en un plazo determinado, sus datos se podrían usar para el envío de correo electrónico, y así cumplir con la LSSI? Muchas gracias de nuevo, un saludo.

  7. Alfonso: si se hace un envío postal y es a una persona jurídica, la LOPD no interviene. Sin embargo no sirve para la segunda pregunta, puesto que el consentimiento ha de ser explícito, es decir, no vale que el afectado tenga que oponerse.

  8. Hola!!

    Mi duda es en una página web de un autónomo que tiene registrado su domicilio particular como dirección de autónomo, para cumplir la LSSI debe indicar nombre + DNI + Dirección + teléfono

    Pero si como autónomo considera que se vulnera su derecho por tener que publicar sus datos personales. Cómo se solventa esto?
    Gracias!

    1. Buenas tardes Maria,
      En este caso prevalece el derecho de los consumidores y usuarios a obtener información sobre los prestadores de servicios. La Ley de Servicios de la Sociedad de la Información y Comercio Electrónico establece la obligación de incluir en la página web nombre o razón social del titular de la web, DNI o CIF, domicilio completo, correo electrónico y teléfono de contacto y datos de inscripción en el Registro Mercantil o de autorización administrativa, en caso de que la empresa esté obligada a ello.
      Gracias por leernos y por tu consulta.

  9. Buen post, conciso. En mi caso la idea de negocio es a través de una web y se tratarían datos personales de clientes que contratarán los servicios. La duda es que datos personales del profesional deben figurar en el aviso legal de la web? Varían entre un autónomo y una SLU? Habría alguna forma de darse de alta de autónomo y evitar que figuren datos personales del mismo, como su nombre, dni, etc?

    1. Buenos dias Beatriz,

      En el aviso legal deben constar los datos que identifiquen al titular de la página web. Si es un autónomo debe aparecer su nombre, apellidos y dni. Gracias por leer el blog y por tu consulta

      1. Habría alguna forma de darse de alta de autónomo y evitar que figuren datos personales del mismo, como su nombre, dni, etc?

  10. Hola,

    Soy autonomo y tengo un negocio de agencia de viajes. Estoy registrado en la Agencia española de protección de datos y cumplo con lam LOPD.
    Ahora voy a abrir una tienda online que nada tiene que ver con la agencia de viajes. ¿En este caso, debo de dar una nueva alta o que debería hacer, una modificación de ficheros? No lo tengo claro, a ver si me podeis ayudar.

    Saludos y gracias

  11. Hola buenos días.
    Mi pregunta es la siguiente, como autónomo tengo una base de datos, en el que figura solo el nombre (sin apellido), número de teléfono y el dia y tratamiento que se le hace. Estaría sujeto a la LOPD?

    1. Buenos días Juan,
      Esos datos que me indicas se consideran datos personales y, por tanto, están sujetos a la LOPD. Gracias por leer el blog y por tu consulta


Comments are closed.