Me consulta un lector que trabaja como abogado autónomo en qué puede afectarle la Ley de Protección de Datos.
De hecho, si preguntamos a gran parte de los profesionales autónomos sobre el cumplimiento de esta normativa, la mayoría no sabe ni qué es esto.
En estas líneas te explicaré los puntos más importantes de la normativa de Protección de Datos y cómo afectan a uno de los principales sectores de nuestro país, los autónomos.
Los autónomos, al igual que cualquier otra empresa, en cuanto recogen y tratan datos personales de sus clientes o proveedores, están sujetos a la normativa de Protección de Datos.
Regulación
LOPD
La Ley Orgánica de Protección de Datos de carácter personal y su Reglamento de desarrollo son aplicables a todas las empresas y profesionales (pymes y autónomos) que realizan tratamientos (tanto en papel como en soporte informático) de datos personales de personas físicas (clientes, empleados, proveedores, colaboradores, etc).
Con carácter general sabemos que la LOPD se aplica exclusivamente a datos de personas físicas, quedando las jurídicas (y algunos datos concretos de las físicas) excluidas.
Diferencias entre autónomo y empresario individual
A primera vista puede parecer muy claro, pero debemos recordar que los términos autónomo y empresario individual no son exactamente sinónimos.
Según la tesis de la Agencia de Protección de Datos (AEPD) los autónomos solo quedarían excluidos de la aplicación de la LOPD en caso de que organicen su actividad en forma de empresa.
Situaciones en que puede encontrarse un autónomo respecto a la LOPD
A la hora de establecer la obligación de un profesional autónomo de cumplir la LOPD debemos diferencias varias situaciones:
Socio-administrador de una Sociedad Anónima o Sociedad Limitada
En este caso, a nivel personal no tiene ninguna obligación de cumplir la Ley de Protección de Datos. Es su empresa la que debe cumplirla. Él tendrá en todo caso la responsabilidad como administrador de asegurar que su empresa cumpla la LOPD.
Actividad empresarial con empleados
En ese caso está obligado a cumplir la Ley de Protección de Datos, ya que es el Responsable de los datos que posee de sus empleados que son datos de carácter personal. Además es probable que recoja en su negocio otros datos personales, por ejemplo, los de sus clientes, proveedores, etc. Pero sólo por el hecho de tener empleados ya está obligado a cumplir la LODP.
Actividad empresarial sin empleados
Aquí, al no tener empleados, habría que examinar si, por la naturaleza de su negocio, trata datos personales de clientes o proveedores, qué tipo de datos trata y si esos datos que maneja están organizados en ficheros o no, ya que si no tiene ficheros no estaría sometido a la Ley de Protección de Datos. En caso de que sus clientes sean personas particulares y no empresas es muy probable que tenga la obligación de cumplir la LOPD.
RGPD
El 25 de mayo ha entrado en vigor el nuevo Reglamento europeo de Protección de Datos y con él nuevas obligaciones y exigencias en materia de Protección de Datos para profesionales autónomos.
Este Reglamento ha sido creado para regular la gestión y el tráfico de datos en el marco de la Unión Europea. Tanto grandes empresas como pymes y autónomos deberán revisar sus sistemas de Seguridad de la Información para cumplir con esta nueva normativa.
Obligaciones del autónomo en materia de Protección de Datos
El RGPD establece nuevas obligaciones que, como autónomo, debes también cumplir, entre las que están:
- Realizar un Registro de actividades de tratamiento
- Elaborar un análisis de riesgos
- Realizar una Evaluación de impacto
- Facilitar más información a los titulares de los datos
- Firmar contratos con Encargados de tratamiento
- Garantizar el cumplimiento normativo
- Solicitar el consentimiento a los clientes
- Nombrar un Delegado de Protección de Datos
- Notificar las brechas de seguridad
1. Registro de actividades de tratamiento
Como primer paso para comenzar la adaptación debes analizar qué tipo de datos manejas y qué cantidad.
En ese registro debes incluir la siguiente información:
- Tipo de datos almacenados
- Finalidad
- Legitimados para el tratamiento
- Política de almacenamiento de esos datos
- Si hay cesiones o transferencias internacionales
- Formas a través de las que se realiza el tratamiento
Este registro de actividades de tratamiento tienes que tenerlo siempre actualizado.
2. Análisis de riesgos
Como profesional autónomo debes también realizar un análisis del riesgo. En él tendrás que valorar los riesgos que puedan surgir de los tratamientos realizados, teniendo en cuenta, entre otras cuestiones,
- tipo de datos,
- naturaleza de los datos,
- medios de tratamiento,
- cesiones,
- transferencias internacionales y
- número de interesados afectados;
Una vez hecho este análisis debes adoptar unas medidas de seguridad adecuadas para reducir o evitar esos riesgos.
3. Evaluación de Impacto en Protección de Datos
¡Agárrate! porque esto es más complicado.
Es necesario realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD), antes de comenzar aquellos tratamientos que puedan originar un alto riesgo para los derechos y libertades de los interesados.
El tipo de análisis dependerá de cuestiones tales como el tratamiento y naturaleza de los datos, el número de interesados afectados, etc.
En el caso de los autónomos, al tratarse de empresas pequeñas que efectúan normalmente tratamientos de datos de poca dificultad, la normativa europea indica que pueden realizar este análisis fundamentándose en una consideración, mínimamente documentada, sobre las consecuencias de esos tratamientos en los derechos y libertades de los interesados.
Resumiendo.
Con carácter general, no necesitas hacer esta Evaluación de impacto.
Salvo que trates datos sensibles como de salud, ideología, religión, condenas penales, financieros o de crédito, etc.
4. Deber de información
El RGPD aumenta la información que debes facilitar a los afectados al solicitar sus datos personales.
Con la LOPD, los datos sobre los que debías informar son los siguientes:
- finalidad
- destinatarios ficheros
- obligación o no de facilitarlos y sus consecuencias
- los derechos del interesado
- la identidad del responsable
Con el RGPD se añaden los siguientes:
- la legitimación para el tratamiento
- el plazo máximo de conservación
- la identificación, si procede, del Delegado de Protección de datos
- si realizarás o no trasferencia internacional de datos
- el derecho a reclamar
- la existencia o no de decisiones automatizadas.
5. Contratos con Encargados del tratamiento
¿Tienes una gestoría que te lleva los temas fiscales o laborales?
¿Y una empresa informática para el mantenimiento de los equipos o la página web?
Entonces cedes datos de tus clientes o empleados a terceros.
Y ellos son los Encargados de tratamiento.
Por eso debes firmar un contrato de encargo de tratamiento con esos terceros en el que se indiquen las obligaciones de estos para proteger los datos personales a los que accedan.
Recuerda firmar el contrato de encargo de tratamiento con los terceros
Se actualizan también los contratos que el Responsable del tratamiento debe firmar con aquellos terceros a los que ceda datos personales para la prestación de algún servicio.
El contrato debe realizarse por escrito y se especificarán las instrucciones del Responsable al encargado en relación con:
- medidas de seguridad,
- régimen de subcontratación,
- confidencialidad y
- destino que dará a los datos una vez finalizada la prestación del servicio.
6. Auditoría de cumplimiento legal e informática
Debes examinar cómo está el cumplimiento de la normativa de Protección de Datos en la empresa.
Esta auditoría debes efectuarla antes de actualizar las políticas, los protocolos y los textos referidos al tratamiento de datos personales.
El RGPD establece qué tipo de medidas técnicas y organizativas se deben implantar, indicando la necesidad de que se establezcan de forma personalizada para cada empresa. Así pues, para dar cumplimiento a la norma, el equipo auditor debe estar formado por:
- Profesionales con conocimientos jurídicos especializados en Protección de Datos.
- Profesionales informáticos con conocimientos especializados en Seguridad Informática.
7. Consentimiento de clientes
Además de actualizar la política de privacidad, debes tener el consentimiento expreso de todos tus clientes para poder tratar sus datos.
En caso de que el cliente facilite sus datos personalmente en la oficina, debe firmar un documento en el que se le informe sobre:
- responsable del tratamiento,
- finalidad para la que se van a usar los datos,
- si se van a ceder a terceros y
- el medio por el que puede ejercer sus derechos ARCO.
Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.
En la web
Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
8. Delegado de Protección de Datos
Muchas empresas tendrán la obligación de nombrar un DPO. Una figura clave en el RGPD que se encargará del asesoramiento dentro de la entidad, garantizará el cumplimiento de la normativa y será el contacto inmediato con la autoridad de control.
¿Lo vas a necesitar?
La mayoría de los autónomos no necesitarán desigar un DPO, pero sí contar con un especialista que supervise la aplicación del Reglamento europeo.
Solo deberás designar a un DPO en el caso de que tu actividad principal sea el procesamiento de datos y presente riesgos específicas para los derechos y libertades de las personas (como el seguimiento de personas o el procesamiento de datos confidenciales o antecedentes penales), en particular porque se realice a gran escala.
Para ahorrar costes se puede nombrar un mismo Delegado de Protección de Datos para un grupo de trabajadores por cuenta propia.
9. Notificar brechas de seguridad
¡Ojo con esto!
Cualquier empresa o entidad puede sufrir pérdidas o filtraciones de sus datos personales, ya sea por negligencia, por un ataque externo o por la mezcla de ambos.
Es común que las pymes y autónomos piensen que los hackers no están interesados en su información. Este es un pensamiento erróneo ya que, muchas veces, los ciberdelincuentes atacan a este tipo de empresas ya que que sus bases de datos son fácilmente accesibles.
Por tanto, debes saber qué hacer en caso de sufrir una brecha de seguridad.
El RGPD establece que todas aquellas violaciones de datos que supongan un riesgo para la información personal, han de ser notificadas a la autoridad de control en un plazo máximo de 72 horas.
¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas
La notificación debe incluir:
- La naturaleza del ataque y la cantidad estimada de afectados.
- El nombre y datos del DPO o persona responsable.
- Explicar las consecuencias de esta violación de datos.
- Informar de las medidas adoptadas.
Preguntas frecuentes
¿Debo revisar la política de privacidad de mi página web?
Sí. El nuevo Reglamento dispone que se incluyan nuevas informaciones como por ejemplo la base legal para el tratamiento de datos, períodos de retención de los datos, Autoridades disponibles para las reclamaciones de los interesados, etc. Y todo ello de forma que resulte fácil de entender, con un lenguaje claro y preciso.
También surgen nuevos instrumentos como el principio de transparencia, el derecho al olvido y el derecho a la portabilidad que el Responsable de los ficheros deberá facilitar a los afectados o interesados.
¿Por qué debo cumplir la normativa de Protección de Datos como autónomo?
Los principales motivos por los que, aunque seas autónomo, debes adaptarte a la normativa son:
- Proporcionar confianza a tus clientes sobre el negocio
- Evitar denuncias y sanciones que repercutirán negativamente en nuestro negocio.
- Garantizar un correcto tratamiento de los datos personales
- Prevenir costes económicos y reputacionales en caso de sufrir pérdidas de datos por ataques informáticos.
¿Debo pedir de nuevo el consentimiento a mis clientes?
No será necesario obtener de nuevo el consentimiento de cada uno de los titulares de los datos tratados en el caso de que ese consentimiento hubiera sido otorgado en su momento de acuerdo con los términos establecidos en el nuevo Reglamento y siempre que todo ello esté adecuadamente registrado.
No olvidemos que los consentimientos obtenidos tácitamente, a partir de mayo, serán ilícitos.
¿Durante cuánto tiempo puedo conservar los datos de mis clientes?
Los datos personales deben guardarse el menor tiempo posible teniendo en cuenta las finalidades de su tratamiento y las obligaciones legales de conservación.
Excepcionalmente, los datos personales pueden almacenarse durante un período más largo para fines de archivo de interés público o por razones de investigación científica o histórica, siempre que se adopten las medidas técnicas y organizativas adecuadas (como la anonimización, el cifrado, etc.).
¿Cuál es la tarifa por contratar el servicio de adaptación a la normativa de Protección de Datos?
No existen tarifas estándar para adaptación a la LOPD. Estas varían mucho en función de factores como el tamaño de las empresas o el tipo de datos que manejan.
No obstante, mi recomendación es contratar un profesional que te realice los trámites necesarios y te ofrezca la confianza de estar correctamente adaptado a esta normativa. Aunque en principio pueda parecerte un coste elevado, ¿te arriesgarías a recibir una sanción por importe mucho mayor?
Aquí tienes un enlace donde puedes pedir varios presupuestos de adaptación.
Modelos
Aquí te dejo todos los documentos que, como autónomo, necesitas para un correcto cumplimiento de la normativa de Protección de Datos en tu empresa.
- Contrato con terceros
- Página web
- Compromiso confidencialidad empleados
- Consentimientos
- Videovigilancia
- Comunicaciones
Sanciones
Y llegamos a la parte más peliaguda.
¡Ojo! no es ninguna broma.
El incumplimiento del RGPD, bien porque se haya producido un incidente, un ciberataque o porque se haya cometido un error interno por parte algún empleado, podría dar lugar a una investigación regulatoria, lo que supone para las empresas una importante inversión de tiempo y recursos.
Las compañías se exponen, además, a una multa que en sus valores máximos podría llegar a suponer el 4% del volumen de negocio del último ejercicio, 20 millones de euros para las infracciones más graves, o hasta el 2% o 10 millones de euros para cuestiones de índole administrativo.
Y no hay excepciones para el caso de autónomos o pequeñas empresas.
Ya lo dice el refrán.
Más vale prevenir que curar.
¿Te ha quedado claro por qué debes cumplir la normativa de Protección de Datos aunque seas autónomo?
Sean cuales sean los datos personales que manejamos, una buena implementación de la normativa nos ayudará a protegerlos.
¿Necesitas cumplir la LOPD?
Artículo breve, claro y conciso.
Muy interesante este artículo.
Lo que no me queda claro es a qué se refiere la expresión «profesionales autónomos que no estén organizados como empresa». ¿Un autónomo carpintero que facture bajo su propio DNI sería este caso? ¿Y un abogado autónomo que haga lo mismo? En ambos casos, si los datos de estos autónomos no se recogen de fuentes accesibles al público, habría que aplicar la LOPD?
Ana; exacto, los ejemplos son tal y como dices.
[…] El artículo 2.2 del Reglamento LOPD exime de cumplir la ley cuando se trata de datos relativos a empresarios individuales, ¿significa eso que podemos recopilar […]
Pregunta de nota: Sobre los datos que requieren consentimientos para ser tratados. Si un señor ha declarado un domicilio falso y acumula diferentes impagos. ¿pueden las empresas de recobro y financieras utilizar datos de teléfono (fijo y móvil) de la persona domiciliada en la dirección del moroso?
Me refiero que al reclamar, asocian datos de contratos telefónicos con el domicilio declarado por el deudor ¿es eso legal?
Gracias Jesús!
¡Y tanto que para nota, Marina! 🙂
Tal y como yo lo veo, en primera instancia y mientras ignoren la falsedad del dato, será legal, aunque podría matizarse que esas empresas deberían tener mecanismos de aseveración tratándose de datos sensibles (financieros). Pero desde el momento en que conozcan el engaño deberían eliminar esa información y abstenerse de volver a usarla.
Pues ya son cinco años de llamadas y cartas de diferentes empresas, debería existir un mecanismo que permitiera desasociar legalmente esos datos demostrando que no hay relación entre estos, porque el acoso puede ser brutal y debe prevalecer el derecho de quien no originó la reclamación y se ve asediado.
Siempre claro y contundente Jesús. Gracias por tu rápida respuesta.
Buenas tardes, soy autónomo y una de mis actividades es el e-mail marketing. Mi pregunta es, Si adquiero una base de datos con correos electrónicos (solo correos, población y comunidad autónoma), ¿Debo especificar que la dirección la he sacado de una base de datos y que si quiere desuscribirse puede mandar un correo a la dirección desde donde se ha mandado? ¿O debo especificar todo el párrafo de la lopd, además de estas características?
Gracias.
Paco: yo no compraría nunca una base de datos para email marketing. Mira estos posts: https://ayudaleyprotecciondatos.es/?s=bases+de+datos
Buenas tardes, a raíz de la lectura del post, se me aclara algo una duda que tengo: Estoy pensando en hacer un envío de correos electrónicos para promocionar mi negocio. Tengo una lista de empresas de la zona que me interesa, y en algunos casos, por ejemplo, la dirección de email es nombre.apellido@empresa.com y en otros info@empresa.com. He entendido que los datos de personas jurídicas no están sujetos a la LOPD. ¿Ni siquiera incluso cuando sea el nombre y apellido de la dirección de email de un trabajador de esa empresa? Muchas gracias, un saludo.
Alfonso: en un envío por correo electrónico hay que considerar la LSSI, y en esa ley no hay distinción entre personas físicas y jurídicas, con lo que independientemente de la forma del email siempre puede ser considerado spam y denunciado, salvo que se cuente con el consentimiento previo del receptor.
Hola Jesús, gracias por la respuesta y la rapidez.
Si el envío se hace por correo postal, ¿se está sujeto a la LOPD, indicando que los datos están incorporados a un fichero para su tratamiento? ¿Se puede informar mediante el correo postal que, si no indican lo contrario en un plazo determinado, sus datos se podrían usar para el envío de correo electrónico, y así cumplir con la LSSI? Muchas gracias de nuevo, un saludo.
Alfonso: si se hace un envío postal y es a una persona jurídica, la LOPD no interviene. Sin embargo no sirve para la segunda pregunta, puesto que el consentimiento ha de ser explícito, es decir, no vale que el afectado tenga que oponerse.
[…] que… Si eres autónomo, también debes cumplir con la Ley de Protección de […]
Hola!!
Mi duda es en una página web de un autónomo que tiene registrado su domicilio particular como dirección de autónomo, para cumplir la LSSI debe indicar nombre + DNI + Dirección + teléfono
Pero si como autónomo considera que se vulnera su derecho por tener que publicar sus datos personales. Cómo se solventa esto?
Gracias!
Buenas tardes Maria,
En este caso prevalece el derecho de los consumidores y usuarios a obtener información sobre los prestadores de servicios. La Ley de Servicios de la Sociedad de la Información y Comercio Electrónico establece la obligación de incluir en la página web nombre o razón social del titular de la web, DNI o CIF, domicilio completo, correo electrónico y teléfono de contacto y datos de inscripción en el Registro Mercantil o de autorización administrativa, en caso de que la empresa esté obligada a ello.
Gracias por leernos y por tu consulta.
Buen post, conciso. En mi caso la idea de negocio es a través de una web y se tratarían datos personales de clientes que contratarán los servicios. La duda es que datos personales del profesional deben figurar en el aviso legal de la web? Varían entre un autónomo y una SLU? Habría alguna forma de darse de alta de autónomo y evitar que figuren datos personales del mismo, como su nombre, dni, etc?
Buenos dias Beatriz,
En el aviso legal deben constar los datos que identifiquen al titular de la página web. Si es un autónomo debe aparecer su nombre, apellidos y dni. Gracias por leer el blog y por tu consulta
Habría alguna forma de darse de alta de autónomo y evitar que figuren datos personales del mismo, como su nombre, dni, etc?
No hay ninguna forma, esos datos deben aparecer
Hola,
Soy autonomo y tengo un negocio de agencia de viajes. Estoy registrado en la Agencia española de protección de datos y cumplo con lam LOPD.
Ahora voy a abrir una tienda online que nada tiene que ver con la agencia de viajes. ¿En este caso, debo de dar una nueva alta o que debería hacer, una modificación de ficheros? No lo tengo claro, a ver si me podeis ayudar.
Saludos y gracias
Buenos días Miguel,
No es necesaria una nueva alta pero sí tendría que cumplir los requisitos exigidos por la LOPD y LSSI en la tienda online, es decir, incluir los textos legales y condiciones de contratación. Te dejo este enlace para más información https://ayudaleyprotecciondatos.es/2016/04/12/textos-legales-web-tienda-online-gratis/ Gracias por leer el blog y por tu consulta
Hola buenos días.
Mi pregunta es la siguiente, como autónomo tengo una base de datos, en el que figura solo el nombre (sin apellido), número de teléfono y el dia y tratamiento que se le hace. Estaría sujeto a la LOPD?
Buenos días Juan,
Esos datos que me indicas se consideran datos personales y, por tanto, están sujetos a la LOPD. Gracias por leer el blog y por tu consulta
Yo lo que no entiendo es, mucha obligación por parte del autónomo para proteger datos, pero ahora que yo me voy a hacer empresario individual y autónomo y voy a ejercer desde mi casa, mi dirección de casa va a ser pública simplemente con realizar una búsqueda en google con mi nombre y apellido ¿hay alguna forma legal de evitar esto? ¿por qué los datos de nadie deben estar tan expuestos? ¿y si quiero pasar desapercibido y que nadie me localice?
Buenos días Manuel, la normativa de protección de datos se refiere a datos personales de personas físicas, no afecta a empresas o a profesionales autónomos que faciliten esos datos en el ejercicio de su profesión. Sin embargo no estás obligado a poner tu dirección postal, puedes indicar un email de contacto. Y quienes usen esos datos personales tuyos solo pueden hacerlo para fines relacionados con tu actividad profesional.