¿No sabes que obligaciones tienes para cumplir la ley de protección de datos para empresas? De lo contrario hay importantes sanciones en el caso que no cumplamos esta normativa.

Si estás perdido en este tema no te preocupes, en unos sencillos pasos te explicaré todo lo que debes hacer para adaptar tu empresa al RGPD.

¿Cuáles son las obligaciones concretas para cumplir la ley de protección de datos para empresas?

Esta nueva normativa de Protección de Datos es muy positiva.

Por un lado, el usuario de servicios está más protegido, mientras que las empresas, obligadas a implementar medidas para cumplir con esta normativa, gozan de una mayor seguridad frente a cualquier ataque. Sin embargo, encuestas recientes proporcionan unos resultados preocupantes sobre el conocimiento y la preparación de las empresas ante esta ley.

Te resumo las principales obligaciones que se imponen a cualquier empresa o negocio que trate datos personales.

obligaciones de las empresas que tienen que cumplir ley de proteccion de datos

Registro de actividades de tratamiento

Este registro de actividades de tratamiento se regula en el artículo 30 del RGPD y en el artículo 31 de la LOPDGDD.

El registro es un documento con fines de inventario y análisis, que debe reflejar la realidad de tu procesamiento de datos personales.

Además de ser una obligación, el registro es una herramienta de control interno y una forma de demostrar tu cumplimiento con el RGPD. Te permite documentar tu procesamiento de datos y saber qué preguntas debes hacerte antes y mientras procesas los datos: ¿realmente necesito ciertos datos para este procesamiento específico? ¿Es relevante retener todos estos datos durante tanto tiempo? ¿Están los datos suficientemente protegidos?

La creación y actualización del registro son ocasiones para identificar y jerarquizar los riesgos de procesamiento a la luz del RGPD. Este paso esencial te permitirá delinear un plan de acción de su procesamiento que cumpla con las reglas de protección de datos.

Contenido

El registro de actividades de tratamiento debe realizarlo tanto el responsable como el encargado del tratamiento y debe contener la siguiente información

  • Datos de contacto del responsable, encargado, sus representantes y del Delegado de Protección de Datos, en su caso.
  • Finalidades de ese tratamiento
  • Tipos de interesados y de datos personales
  • Destinatarios de las cesiones de esos datos
  • Si van a realizarse transferencias internacionales
  • Plazos de conservación de los datos
  • Medidas técnicas y organizativas que se van a implantar

¿Necesitas ayuda? Cumple el RGPD


¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos.


Información a los interesados

El RGPD incrementa la información que debemos facilitar a los interesados en el momento de recabar sus datos personales. Es obligatorio informar sobre:

  • Identidad del responsable
  • Fines del tratamiento
  • Destinatarios de los datos
  • Consecuencias de no facilitar la información
  • Derechos de los interesados: acceso, rectificación, supresión, limitación, portabilidad, y oposición
  • Base jurídica del tratamiento
  • Plazo de conservación de los datos
  • Identidad del DPO, en caso de que exista
  • Si van a realizarse transferencias internacionales

Consentimiento para el tratamiento

Con el RGPD el consentimiento del interesado para poder tratar sus datos personales debe ser expreso. La manifestación del consentimiento debe ser inequívoca, a través de una declaración o un acto afirmativo claro.

Los consentimientos obtenidos con anterioridad a la fecha de aplicación del RGPD solo seguirán siendo válidos si se obtuvieron respetando los criterios fijados por el propio Reglamento.

El RGPD  y la LOPDGDD establecen claramente que el consentimiento debe ser inequívoco e implicar una acción afirmativa clara (una aceptación). Se prohíben específicamente las casillas opcionales marcadas previamente.

También requiere opciones de consentimiento distintas (‘granulares’) para distintas operaciones de procesamiento. El consentimiento debe estar separado de otros términos y condiciones y, en general, no debe ser una condición previa para suscribirse a un servicio.

Debes mantener registros claros para demostrar el consentimiento.

El RGPD otorga un derecho específico a retirar el consentimiento. Debes informar a las personas sobre su derecho a retirar su consentimiento y ofrecerles formas fáciles de hacerlo en cualquier momento.

Las autoridades públicas, los empleadores y otras organizaciones en una posición de poder pueden encontrar más difícil mostrar un consentimiento válido otorgado libremente.

Debes revisar los consentimientos existentes y sus mecanismos de consentimiento para verificar que cumplan con el estándar del RGPD. Si lo hacen, no hay necesidad de obtener un nuevo consentimiento.

Contratos con encargados del tratamiento

Con cualquier tercero al que cedamos datos personales para la prestación de algún servicio es necesario firmar un contrato para regular el tratamiento de los datos.

El RGPD establece que los contratos escritos entre responsables y encargados del tratamiento son un requisito, en lugar de una simple forma de demostrar el cumplimiento de las medidas de seguridad apropiadas por los encargados.

Estos contratos ahora deben incluir términos mínimos específicos. Estos términos están diseñados para garantizar que el procesamiento realizado por un encargado cumpla con todos los requisitos del RGPD, no solo los relacionados con la seguridad de los datos personales.

Cada vez que un responsable utiliza un encargado para procesar datos personales en su nombre, debe existir un contrato escrito entre las partes.

De manera similar, si un encargado utiliza otra organización (es decir, un subencargado) para ayudarlo a procesar datos personales para un responsable, debe tener un contrato escrito con ese subencargado.

Los contratos entre responsables y encargados del tratamiento aseguran que ambos entienden sus obligaciones, responsabilidades y obligaciones. Los contratos también les ayudan a cumplir con el RGPD y ayudan a los responsables a demostrar a las personas y a los reguladores su cumplimiento según lo exige el principio de responsabilidad.

En el contrato se especificarán las instrucciones del responsable del tratamiento al encargado en relación con:

  • Medidas de seguridad a aplicar
  • Si va a realizarse o no subcontratación
  • Cláusula de confidencialidad
  • Obligación de notificar los incidentes de seguridad
  • Destino de los datos una vez finalizada la prestación del servicio

Análisis de riesgos

analisis de riesgos reglamento general de proteccion de datos

Todas las empresas deberán realizar un análisis de riesgos tanto informáticos como de seguridad lógica e implantar las soluciones para evitar, bloquear o neutralizar esos ataques. Estos análisis deben ser periódicos y siempre que se produzcan modificaciones tecnológicas en la empresa.

Estas revisiones se basan en:

  • Identificar amenazas
  • Evaluar los riesgos
  • Tratar los riesgos

Evaluación de impacto en Protección de Datos

Esta es una parte clave del nuevo enfoque en la responsabilidad y la protección de datos por diseño.

Algunas organizaciones ya realizan evaluaciones de impacto de privacidad como una buena práctica. Si es así, el concepto te resultará familiar, pero aún debes revisar tus procesos para asegurarse de que cumplan con los requisitos del RGPD. Las EIPD ahora son obligatorias en algunos casos, y existen requisitos legales específicos para el contenido y el proceso.

Si aún no tienes un proceso de evaluación de impacto en protección de datos, debes diseñarlo e integrarlo en tus políticas y procedimientos.

También debes revisar tus operaciones de procesamiento existentes y decidir si necesitas hacer una EIPD para cualquier cosa que pueda ser de alto riesgo.

Cuando el tratamiento que realiza una empresa, por su naturaleza, alcance o fines, entrañe un alto riesgo para los derechos y libertades de las personas debe realizarse una Evaluación de Impacto.

Las empresas obligadas a hacer esta EIPD son:

  • Empresas que realicen un tratamiento automatizado como elaboración de perfiles
  • Aquellas cuyas actividades consisten en un tratamiento a gran escala de datos sensibles o relativos a condenas o infracciones penales
  • Si realizan un tratamiento sistemático a gran escala de zonas de acceso público

Contenido

  • Descripción de los tratamientos realizados
  • Evaluar la necesidad y proporcionalidad del tratamiento
  • Analizar los riesgos
  • Establecer las medidas necesarias para afrontar esos riesgos

Delegado de Protección de Datos

Esta normativa europea introduce una figura de la que todo el mundo habla y es el Delegado de Protección de Datos. Será el encargado de supervisar en la empresa el cumplimiento de la normativa de Protección de Datos y de comunicarse con la AEPD.

No todas las empresas necesitan un DPO. Sólo será obligatorio en los siguientes casos:

  • Si se trata de Entidades u organismos públicos
  • Cuando el tratamiento consista en realizar un seguimiento regular y sistemático del interesado a gran escala
  • Empresas que realicen tratamientos a gran escala de categorías especiales de datos

Las empresas no incluidas en esa clasificación pueden también nombrar un DPO si lo desean.

Notificación de incidentes de seguridad

Se trata de una de las principales novedades introducidas por el RGPD. Significa que, en caso de producirse una fuga de datos, el responsable del tratamiento tiene la obligación de comunicar la brecha de seguridad a la autoridad de control competente y a los afectados.

Se deben notificar las incidencias de seguridad que impliquen una violación de datos personales sin demora injustificada y en un plazo máximo de 72 horas después de que haya tenido constancia de ella.

Contenido

El contenido de esa comunicación debe incluir:

  • Número de afectados y tipo de datos
  • Circunstancias en las que se ha producido
  • Posibles consecuencias de esa violación
  • Medidas adoptadas para reducir los posibles efectos

Textos legales para la web

Si tienes una página web o comercio online, debes incluir unos textos legales exigidos por la normativa de protección de datos y por la LSSI. Estos textos son:

Política de privacidad

Una política de privacidad es un documento que informa a los visitantes de tu sitio qué información recopilas y qué haces con esa información.

Muy simple: es una breve explicación de lo que estás haciendo para observar a los visitantes de tu sitio web.

Una política de privacidad generalmente cubre:

  • Los tipos de información recopilada por el sitio web o la aplicación.
  • El propósito de recopilar los datos.
  • Almacenamiento de datos, seguridad y acceso.
  • Detalles de transferencias de datos
  • Sitios web u organizaciones afiliadas (terceros incluidos)
  • Medios para ejercer sus derechos por los usuarios.

Aviso legal

El aviso legal es el texto en el cuál se establece quién es el propietario de la página web y sus datos de contacto.

Política de cookies

La política de cookies es una sección de la política de privacidad dedicada a las cookies.

Las cookies pueden rastrear el comportamiento del usuario y, por lo tanto, representan un riesgo potencial de privacidad. En la política de cookies se detalla el propósito de la instalación de las cookies, se nombra a los terceros que instalan o pueden instalar cookies a través del sitio web y se proporcionan enlaces a la política de privacidad respectiva de dichos terceros y a los posibles formularios de consentimiento.

El aviso de cookies debe:

  • explicar brevemente el propósito de la instalación de cookies que usa el sitio;
  • indicar claramente qué acción significará consentimiento;
  • ser lo suficientemente notable;
  • poner a disposición detalles del propósito de las cookies, el uso y la actividad de terceros relacionada.

Términos y condiciones

Si tienes una tienda de comercio electrónico, es importante que tengas un acuerdo de Términos y condiciones bien redactado vinculado en toda tu tienda.

Los acuerdos de términos y condiciones pueden protegerte legalmente, y a establecer las reglas que tú y tus clientes seguiréis, limitar tu responsabilidad en caso de que tu producto falle y cubrir qué hacer si surge algún conflicto legal.

Algunas secciones muy importantes para que una tienda de comercio electrónico incluya en su acuerdo de Términos y Condiciones son:

  • Una cláusula de limitación de responsabilidad relacionada con sus productos.
  • Términos de propiedad intelectual relacionados con la marca de tu tienda
  • Una cláusula de limitación de responsabilidad relacionada con tus productos.
  • Condiciones de pago
  • Formas de entrega
  • Devoluciones y reembolsos

Videovigilancia

En caso de que en tu empresa tengas instaladas o pienses instalar cámaras de videovigilancia, debes cumplir una serie de requisitos:

  • Informar a los clientes y empleados de esas grabaciones a través del correspondiente cartel.
  • No grabar espacios íntimos, como baños o vestuarios, ni la vía pública.
  • Guardar esas imágenes como máximo durante 30 días.

Tienes más información sobre videovigilancia en este post.

Preguntas frecuentes sobre el RGPD

¿Cómo afecta el RGPD a tus bases de datos?

Una de las acciones más importantes a realizar es validar toda la información existente. Una tarea complicada pero que es la base para el cumplimiento del nuevo reglamento. Debes renovar el consentimiento de todos esos contactos de tus bases de datos para poder seguir tratando esos datos.

¿Cuál es la legitimación para el tratamiento de datos?

Las bases jurídicas que legitiman el tratamiento de datos personales son:

  • Consentimiento.
  • Relación contractual.
  • Intereses vitales del interesado o de otras personas.
  • Cumplimiento de una obligación legal para el responsable.
  • Interés público o ejercicio de poderes públicos.
  • Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.

¿Qué es una brecha de seguridad de los datos?

El RGPD lo define como todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Por ejemplo, la pérdida de un ordenador portátil, el acceso no autorizado a las bases de datos de una organización o el borrado accidental de algunos registros.

¿Puedo realizar envíos masivos de mail sin autorización expresa?

No puedes realizar mailing masivo sin tener el consentimiento expreso de los afectados. En nuevo Reglamento hace hincapié en que deberás obtener el consentimiento de forma libre, específica, informada y que no presente ambigüedad.

¿Se pueden instalar cámaras de videovigilancia con la finalidad de control empresarial?

es posible instalar esas cámaras pero solo cuando exista una relación de proporcionalidad entre la finalidad perseguida y el modo en que se traten las imágenes y no haya otra medida más idónea. Asimismo, se deberá informar personalmente a los trabajadores, o en su caso, a través de la representación sindical, por cualquier medio que garantice la recepción de la información.

Las tarjetas identificativas de los trabajadores ¿Pueden incluir nombre, apellidos y DNI?

Sólo podrán incluirse estos datos cuando la finalidad que justifica esa inclusión es precisamente garantizar su identificabilidad en el desempeño de sus funciones. Aquí el tratamiento de los datos puede considerarse amparado en el marco de la ejecución de un contrato.

Sectores

A continuación tienes información específica para adaptarte a la ley de protección de datos según el sector de actividad al que te dediques.

Abogados

Asesorías

Agencias de viajes

Transportes y logística

Comercio

Centros educativos

Hoteles

Inmobiliarias

Empresas informáticas

Telecomunicaciones

Talleres

Construcción e ingeniería

Asociaciones

Ocio y tiempo libre

Fisioterapeutas

Clínica dental

Óptica

Farmacia

Psicólogos

Aseguradoras

Sector energético

Centros de estética y peluquería

Residencia de ancianos

Administradores de fincas

Detectives privados

Fotógrafos

Gimnasios y centros deportivos

Clínicas veterinarias

Entidades financieras y de crédito

Márketing y publicidad

Sindicatos

Y ahora que ya conoces lo que debes hacer para adaptar tu empresa al nuevo Reglamento, ¿te parece complicado?

Sólo debemos concienciarnos en garantizar la privacidad de los datos personales que manejamos. ¿Tú ya estás concienciado? Espero que me comentes tus impresiones.

¿Necesitas cumplir el RGPD?

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.

  1. Buenas,
    Como trabajador por cuenta ajena llevo contratado hace más de cuatro años. Recién este mes mi empresa pretende obligarme a firmar una cláusula adicional al contrato de consentimiento expreso para el tratamiento de mis datos. Puedo negarme?, pueden amenazarme con el fin de la relación laboral? hay algún tipo de riesgo adicional?. Gracias.

    1. Buenas tardes Lorenzo, la empresa está obligada por ley a solicitarte el consentimiento para poder tratar tus datos. Tú puedes negarte si quieres pero entonces no podrá tratar esos datos y puede tomar medidas. Para ti también resulta beneficioso puesto que puedes saber cómo trata tus datos la empresa y a quién se los cede.