LOPD profesionales autónomos

Me consulta un lector que trabaja como abogado autónomo en qué puede afectarle la Ley de Protección de Datos.

De hecho, si preguntamos a gran parte de los profesionales autónomos sobre el cumplimiento de esta normativa, la mayoría no sabe ni qué es esto.

En estas líneas te explicaré los puntos más importantes de la normativa de Protección de Datos y cómo afectan a uno de los principales sectores de nuestro país, los autónomos.

Los autónomos, al igual que cualquier otra empresa, en cuanto recogen y tratan datos personales de sus clientes o proveedores, están sujetos a la normativa de Protección de Datos.

Regulación

LOPD

La Ley Orgánica de Protección de Datos de carácter personal y su Reglamento de desarrollo son aplicables a todas las empresas y profesionales (pymes y autónomos) que realizan tratamientos (tanto en papel como en soporte informático) de datos personales de personas físicas (clientes, empleados, proveedores, colaboradores, etc).

Con carácter general sabemos que la LOPD se aplica exclusivamente a datos de personas físicas, quedando las jurídicas (y algunos datos concretos de las físicas) excluidas.

Diferencias entre autónomo y empresario individual

A primera vista puede parecer muy claro, pero debemos recordar que los términos autónomo y empresario individual no son exactamente sinónimos.

Según la tesis de la Agencia de Protección de Datos (AEPD) los autónomos solo quedarían excluidos de la aplicación de la LOPD en caso de que organicen su actividad en forma de empresa.

Situaciones en que puede encontrarse un autónomo respecto a la LOPD

A la hora de establecer la obligación de un profesional autónomo de cumplir la LOPD debemos diferencias varias situaciones:

RGPD

El  25 de mayo ha entrado en vigor el nuevo Reglamento europeo de Protección de Datos y con él nuevas obligaciones y exigencias en materia de Protección de Datos para profesionales autónomos.

Este Reglamento ha sido creado para regular la gestión y el tráfico de datos en el marco de la Unión Europea. Tanto grandes empresas como pymes y autónomos deberán revisar sus sistemas de Seguridad de la Información para cumplir con esta nueva normativa.

Obligaciones del autónomo en materia de Protección de Datos

El RGPD establece nuevas obligaciones que, como autónomo, debes también cumplir, entre las que están:

1. Realizar un Registro de actividades de tratamiento
2. Elaborar un análisis de riesgos
3. Realizar una Evaluación de impacto
4. Facilitar más información a los titulares de los datos
5. Firmar contratos con Encargados de tratamiento
6. Garantizar el cumplimiento normativo
7. Solicitar el consentimiento a los clientes
8. Nombrar un Delegado de Protección de Datos
9. Notificar las brechas de seguridad

1. Registro de actividades de tratamiento

Como primer paso para comenzar la adaptación debes analizar qué tipo de datos manejas y qué cantidad.

En ese registro debes incluir la siguiente información:

• Tipo de datos almacenados
• Finalidad
• Legitimados para el tratamiento
• Política de almacenamiento de esos datos
• Si hay cesiones o transferencias internacionales
• Formas a través de las que se realiza el tratamiento

Este registro de actividades de tratamiento tienes que tenerlo siempre actualizado.

2. Análisis de riesgos

Como profesional autónomo debes también realizar un análisis del riesgo. En él tendrás que valorar los riesgos que puedan surgir de los tratamientos realizados, teniendo en cuenta, entre otras cuestiones,

• tipo de datos,
• naturaleza de los datos,
• medios de tratamiento,
• cesiones,
• transferencias internacionales y
• número de interesados afectados;

Una vez hecho este análisis debes adoptar unas medidas de seguridad adecuadas para reducir o evitar esos riesgos.

3. Evaluación de Impacto en Protección de Datos

¡Agárrate! porque esto es más complicado.

Es necesario realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD), antes de comenzar aquellos tratamientos que puedan originar un alto riesgo para los derechos y libertades de los interesados.

El tipo de análisis dependerá de cuestiones tales como el tratamiento y naturaleza de los datos, el número de interesados afectados, etc.

En el caso de los autónomos, al tratarse de empresas pequeñas que efectúan normalmente tratamientos de datos de poca dificultad, la normativa europea indica que pueden realizar este análisis fundamentándose en una consideración, mínimamente documentada, sobre las consecuencias de esos tratamientos en los derechos y libertades de los interesados.

Resumiendo.

Con carácter general, no necesitas hacer esta Evaluación de impacto.

Salvo que trates datos sensibles como de salud, ideología, religión, condenas penales, financieros o de crédito, etc.

4. Deber de información

El RGPD aumenta la información que debes facilitar a los afectados al solicitar sus datos personales.

Con la LOPD, los datos sobre los que debías informar son los siguientes:

• finalidad
• destinatarios ficheros
• obligación o no de facilitarlos y sus consecuencias
• los derechos del interesado
• la identidad del responsable

Con el RGPD se añaden los siguientes:

• la legitimación para el tratamiento
• el plazo máximo de conservación
• la identificación, si procede, del Delegado de Protección de datos
• si realizarás o no trasferencia internacional de datos
• el derecho a reclamar
• la existencia o no de decisiones automatizadas.

5. Contratos con Encargados del tratamiento

¿Tienes una gestoría que te lleva los temas fiscales o laborales?

¿Y una empresa informática para el mantenimiento de los equipos o la página web?

Entonces cedes datos de tus clientes o empleados a terceros.

Y ellos son los Encargados de tratamiento.

Por eso debes firmar un contrato de encargo de tratamiento con esos terceros en el que se indiquen las obligaciones de estos para proteger los datos personales a los que accedan.

Se actualizan también los contratos que el Responsable del tratamiento debe firmar con aquellos terceros a los que ceda datos personales para la prestación de algún servicio.

El contrato debe realizarse por escrito y se especificarán las instrucciones del Responsable al encargado en relación con:

• medidas de seguridad,
• régimen de subcontratación,
• confidencialidad y
• destino que dará a los datos una vez finalizada la prestación del servicio.

6. Auditoría de cumplimiento legal e informática

Debes examinar cómo está el cumplimiento de la normativa de Protección de Datos en la empresa.

Esta auditoría debes efectuarla antes de actualizar las políticas, los protocolos y los textos referidos al tratamiento de datos personales.

El RGPD establece qué tipo de medidas técnicas y organizativas se deben implantar, indicando la necesidad de que se establezcan de forma personalizada para cada empresa. Así pues, para dar cumplimiento a la norma, el equipo auditor debe estar formado por:

• Profesionales con conocimientos jurídicos especializados en Protección de Datos.
• Profesionales informáticos con conocimientos especializados en Seguridad Informática.

7. Consentimiento de clientes

Además de actualizar la política de privacidad, debes tener el consentimiento expreso de todos tus clientes para poder tratar sus datos.

En caso de que el cliente facilite sus datos personalmente en la oficina, debe firmar un documento en el que se le informe sobre:

• responsable del tratamiento,
• finalidad para la que se van a usar los datos,
• si se van a ceder a terceros y
• el medio por el que puede ejercer sus derechos ARCO.

Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

En la web

Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.

8. Delegado de Protección de Datos

Muchas empresas tendrán la obligación de nombrar un DPO. Una figura clave en el RGPD que se encargará del asesoramiento dentro de la entidad, garantizará el cumplimiento de la normativa y será el contacto inmediato con la autoridad de control.

¿Lo vas a necesitar?

La mayoría de los autónomos no necesitarán desigar un DPO, pero sí contar con un especialista que supervise la aplicación del Reglamento europeo.

Solo deberás designar a un DPO en el caso de que tu actividad principal sea el procesamiento de datos y presente riesgos específicas para los derechos y libertades de las personas (como el seguimiento de personas o el procesamiento de datos confidenciales o antecedentes penales), en particular porque se realice a gran escala.

Para ahorrar costes se puede nombrar un mismo Delegado de Protección de Datos para un grupo de trabajadores por cuenta propia.

9. Notificar brechas de seguridad

¡Ojo con esto!

Cualquier empresa o entidad puede sufrir pérdidas o filtraciones de sus datos personales, ya sea por negligencia, por un ataque externo o por la mezcla de ambos.

Es común que las pymes y autónomos piensen que los hackers no están interesados en su información. Este es un pensamiento erróneo ya que, muchas veces, los ciberdelincuentes atacan a este tipo de empresas ya que que sus bases de datos son fácilmente accesibles.

Por tanto, debes saber qué hacer en caso de sufrir una brecha de seguridad.

El RGPD establece que todas aquellas violaciones de datos que supongan un riesgo para la información personal, han de ser notificadas a la autoridad de control en un plazo máximo de 72 horas.

La notificación debe incluir:

• La naturaleza del ataque y la cantidad estimada de afectados.
• El nombre y datos del DPO o persona responsable.
• Explicar las consecuencias de esta violación de datos.
• Informar de las medidas adoptadas.

Preguntas frecuentes

Modelos

Aquí te dejo todos los documentos que, como autónomo, necesitas para un correcto cumplimiento de la normativa de Protección de Datos en tu empresa.

• Contrato con terceros
• Página web
  • Aviso legal
  • Política de cookies
  • Política de privacidad
• Compromiso confidencialidad empleados
• Consentimientos
  • Consentimiento clientes
  • Consentimiento CV
• Videovigilancia
  • Carteles Videovigilancia
  • Información a trabajadores de instalación de Videovigilancia
• Comunicaciones
  • Correos electrónicos
  • Facturas

Sanciones

Y llegamos a la parte más peliaguda.

¡Ojo! no es ninguna broma.

El incumplimiento del RGPD, bien porque se haya producido un incidente, un ciberataque o porque se haya cometido un error interno por parte algún empleado, podría dar lugar a una investigación regulatoria, lo que supone para las empresas una importante inversión de tiempo y recursos.

Las compañías se exponen, además, a una multa que en sus valores máximos podría llegar a suponer el 4% del volumen de negocio del último ejercicio, 20 millones de euros para las infracciones más graves, o hasta el 2% o 10 millones de euros para cuestiones de índole administrativo.

Y no hay excepciones para el caso de autónomos o pequeñas empresas.

Ya lo dice el refrán.

Más vale prevenir que curar.

¿Te ha quedado claro por qué debes cumplir la normativa de Protección de Datos aunque seas autónomo?

Sean cuales sean los datos personales que manejamos, una buena implementación de la normativa nos ayudará a protegerlos.

Aquí van algunos contenidos relacionados con esta entrada:

• Protección de datos empresas gratis
• Modelo consentimiento protección de datos para clientes