¿No sabes que obligaciones tienes para cumplir la ley de protección de datos para empresas? De lo contrario hay importantes sanciones en el caso que no cumplamos esta normativa.

Si estás perdido en este tema no te preocupes, en unos sencillos pasos te explicaré todo lo que debes hacer para adaptar tu empresa al RGPD.

¿Cuáles son las obligaciones concretas para cumplir la ley de protección de datos para empresas?

Esta nueva normativa de Protección de Datos será muy positiva.

Por un lado, el usuario de servicios estará más protegido, mientras que las empresas, obligadas a implementar medidas para cumplir con esta normativa, gozarán de una mayor seguridad frente a cualquier ataque. Sin embargo, encuestas recientes proporcionan unos resultados preocupantes sobre el conocimiento y la preparación de las empresas ante esta ley.

Te resumo las principales obligaciones que se imponen a cualquier empresa o negocio que trate datos personales.

obligaciones de las empresas que tienen que cumplir ley de proteccion de datos

Registro de actividades de tratamiento

Este registro de actividades de tratamiento no deben realizarlo todas las empresas sino aquellas que

  • Tengan más de 250 trabajadores
  • Traten datos sensibles
  • Traten datos relativos a infracciones y condenas penales

Contenido

El registro de actividades de tratamiento debe realizarlo tanto el responsable como el encargado del tratamiento y debe contener la siguiente información

  • Datos de contacto del responsable, encargado, sus representantes y del Delegado de Protección de Datos, en su caso.
  • Finalidades de ese tratamiento
  • Tipos de interesados y de datos personales
  • Destinatarios de las cesiones de esos datos
  • Si van a realizarse transferencias internacionales
  • Plazos de conservación de los datos
  • Medidas técnicas y organizativas que se van a implantar

¿Necesitas ayuda? Cumple el RGPD


¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos.


Información a los interesados

El RGPD incrementa la información que debemos facilitar a los interesados en el momento de recabar sus datos personales. Es obligatorio informar sobre:

  • Identidad del responsable
  • Fines del tratamiento
  • Destinatarios de los datos
  • Consecuencias de no facilitar la información
  • Derechos de los interesados: acceso, rectificación, supresión, limitación, portabilidad, y oposición
  • Base jurídica del tratamiento
  • Plazo de conservación de los datos
  • Identidad del DPO, en caso de que exista
  • Si van a realizarse transferencias internacionales

Consentimiento para el tratamiento

Con el RGPD el consentimiento del interesado para poder tratar sus datos personales debe ser expreso. La manifestación del consentimiento debe ser inequívoca, a través de una declaración o un acto afirmativo claro.

Los consentimientos obtenidos con anterioridad a la fecha de aplicación del RGPD solo seguirán siendo válidos si se obtuvieron respetando los criterios fijados por el propio Reglamento.

Contratos con encargados del tratamiento

Con cualquier tercero al que cedamos datos personales para la prestación de algún servicio es necesario firmar un contrato para regular el tratamiento de los datos. En el contrato se especificarán las instrucciones del responsable del tratamiento al encargado en relación con:

  • Medidas de seguridad a aplicar
  • Si va a realizarse o no subcontratación
  • Cláusula de confidencialidad
  • Obligación de notificar los incidentes de seguridad
  • Destino de los datos una vez finalizada la prestación del servicio

Análisis de riesgos

analisis de riesgos reglamento general de proteccion de datos

Todas las empresas deberán realizar un análisis de riesgos tanto informáticos como de seguridad lógica e implantar las soluciones para evitar, bloquear o neutralizar esos ataques. Estos análisis deben ser periódicos y siempre que se produzcan modificaciones tecnológicas en la empresa.

Estas revisiones se basan en:

  • Identificar amenazas
  • Evaluar los riesgos
  • Tratar los riesgos

Evaluación de impacto en Protección de Datos

Cuando el tratamiento que realiza una empresa, por su naturaleza, alcance o fines, entrañe un alto riesgo para los derechos y libertades de las personas debe realizarse una Evaluación de Impacto. Las empresas obligadas a hacer esta EIPD son:

  • Empresas que realicen un tratamiento automatizado como elaboración de perfiles
  • Aquellas cuyas actividades consisten en un tratamiento a gran escala de datos sensibles o relativos a condenas o infracciones penales
  • Si realizan un tratamiento sistemático a gran escala de zonas de acceso público

Contenido

  • Descripción de los tratamientos realizados
  • Evaluar la necesidad y proporcionalidad del tratamiento
  • Analizar los riesgos
  • Establecer las medidas necesarias para afrontar esos riesgos

Delegado de Protección de Datos

Esta normativa europea introduce una figura de la que todo el mundo habla y es el Delegado de Protección de Datos. Será el encargado de supervisar en la empresa el cumplimiento de la normativa de Protección de Datos y de comunicarse con la AEPD.

No todas las empresas necesitan un DPO. Sólo será obligatorio en los siguientes casos:

  • Si se trata de Entidades u organismos públicos
  • Cuando el tratamiento consista en realizar un seguimiento regular y sistemático del interesado a gran escala
  • Empresas que realicen tratamientos a gran escala de categorías especiales de datos

Las empresas no incluidas en esa clasificación pueden también nombrar un DPO si lo desean.

Notificación de incidentes de seguridad

Se trata de una de las principales novedades introducidas por el RGPD. Significa que, en caso de producirse una fuga de datos, el responsable del tratamiento tiene la obligación de comunicar la brecha de seguridad a la autoridad de control competente y a los afectados.

Se deben notificar las incidencias de seguridad que impliquen una violación de datos personales sin demora injustificada y en un plazo máximo de 72 horas después de que haya tenido constancia de ella.

Contenido

El contenido de esa comunicación debe incluir:

  • Número de afectados y tipo de datos
  • Circunstancias en las que se ha producido
  • Posibles consecuencias de esa violación
  • Medidas adoptadas para reducir los posibles efectos

Preguntas frecuentes sobre el RGPD

¿Cómo afecta el RGPD a tus bases de datos?

Una de las acciones más importantes a realizar es validar toda la información existente. Una tarea complicada pero que es la base para el cumplimiento del nuevo reglamento. Debes renovar el consentimiento de todos esos contactos de tus bases de datos para poder seguir tratando esos datos.

¿Cuál es la legitimación para el tratamiento de datos?

Las bases jurídicas que legitiman el tratamiento de datos personales son:

  • Consentimiento.
  • Relación contractual.
  • Intereses vitales del interesado o de otras personas.
  • Cumplimiento de una obligación legal para el responsable.
  • Interés público o ejercicio de poderes públicos.
  • Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.

¿Qué es una brecha de seguridad de los datos?

El RGPD lo define como todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Por ejemplo, la pérdida de un ordenador portátil, el acceso no autorizado a las bases de datos de una organización o el borrado accidental de algunos registros.

¿Puedo realizar envíos masivos de mail sin autorización expresa?

No puedes realizar mailing masivo sin tener el consentimiento expreso de los afectados. En nuevo Reglamento hace hincapié en que deberás obtener el consentimiento de forma libre, específica, informada y que no presente ambigüedad.

¿Se pueden instalar cámaras de videovigilancia con la finalidad de control empresarial?

es posible instalar esas cámaras pero solo cuando exista una relación de proporcionalidad entre la finalidad perseguida y el modo en que se traten las imágenes y no haya otra medida más idónea. Asimismo, se deberá informar personalmente a los trabajadores, o en su caso, a través de la representación sindical, por cualquier medio que garantice la recepción de la información.

Las tarjetas identificativas de los trabajadores ¿Pueden incluir nombre, apellidos y DNI?

Sólo podrán incluirse estos datos cuando la finalidad que justifica esa inclusión es precisamente garantizar su identificabilidad en el desempeño de sus funciones. Aquí el tratamiento de los datos puede considerarse amparado en el marco de la ejecución de un contrato.

Y ahora que ya conoces lo que debes hacer para adaptar tu empresa al nuevo Reglamento, ¿te parece complicado?

Sólo debemos concienciarnos en garantizar la privacidad de los datos personales que manejamos. ¿Tú ya estás concienciado? Espero que me comentes tus impresiones.

¿Necesitas cumplir el RGPD?

Ley de protección de datos para empresas y sus obligaciones actuales
4.5 (90.48%) 21 voto[s]

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.

  1. Buenas,
    Como trabajador por cuenta ajena llevo contratado hace más de cuatro años. Recién este mes mi empresa pretende obligarme a firmar una cláusula adicional al contrato de consentimiento expreso para el tratamiento de mis datos. Puedo negarme?, pueden amenazarme con el fin de la relación laboral? hay algún tipo de riesgo adicional?. Gracias.

    1. Buenas tardes Lorenzo, la empresa está obligada por ley a solicitarte el consentimiento para poder tratar tus datos. Tú puedes negarte si quieres pero entonces no podrá tratar esos datos y puede tomar medidas. Para ti también resulta beneficioso puesto que puedes saber cómo trata tus datos la empresa y a quién se los cede.