¿No sabes qué obligaciones tienes para cumplir la ley de protección de datos para empresas? De lo contrario hay importantes sanciones en el caso que no cumplamos esta normativa.

Si estás perdido en este tema no te preocupes, en unos sencillos pasos te explicaré todo lo que debes hacer para adaptar tu empresa al RGPD y cumplir con las obligaciones de la LOPD.

Obligaciones de una empresa para cumplir con la ley de protección de datos

La Ley de Protección de datos para empresas señala el cumplimiento de una serie de obligaciones a la hora de llevar a cabo actividades de tratamiento de datos personales. A continuación resumimos las principales obligaciones que deben contemplar las empresas de acuerdo a la LOPD.

obligaciones de las empresas que tienen que cumplir ley de proteccion de datos

Registro de actividades de tratamiento

Este registro de actividades de tratamiento se regula en el artículo 30 del RGPD y en el artículo 31 de la LOPDGDD.

El registro es un documento con fines de inventario y análisis, que debe reflejar la realidad del procesamiento de datos personales de la empresa.

Además de ser una obligación, el registro es una herramienta de control interno y una forma de demostrar el cumplimiento con el RGPD y con la ley de protección de datos de las empresas. Te permite documentar tu procesamiento de datos y saber qué preguntas debes hacerte antes y mientras procesas los datos: ¿realmente necesito ciertos datos para este procesamiento específico? ¿Es relevante retener todos estos datos durante tanto tiempo? ¿Están los datos suficientemente protegidos?

La creación y actualización del registro son ocasiones para identificar y jerarquizar los riesgos de procesamiento a la luz del RGPD. Este paso esencial te permitirá delinear un plan de acción de su procesamiento que cumpla con las reglas de protección de datos.

Contenido:

El registro de actividades de tratamiento debe realizarlo tanto el responsable como el encargado del tratamiento y debe contener la siguiente información:

  • Datos de contacto del responsable, encargado, sus representantes y del Delegado de Protección de Datos, en su caso.
  • Finalidades de ese tratamiento.
  • Tipos de interesados y de datos personales.
  • Destinatarios de las cesiones de esos datos.
  • Si van a realizarse transferencias internacionales.
  • Plazos de conservación de los datos.
  • Medidas de protección de datos personales técnicas y organizativas que se van a implantar.

¿Necesitas ayuda? Cumple el RGPD


¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos.


Información a los interesados

El RGPD incrementa la información que debemos facilitar a los interesados en el momento de recabar sus datos personales. De acuerdo a la ley de protección de datos es obligatorio para las empresas informar sobre:

  • Identidad del responsable
  • Fines del tratamiento
  • Destinatarios de los datos
  • Consecuencias de no facilitar la información
  • Derechos de los interesados: acceso, rectificación, supresión, limitación, portabilidad, y oposición
  • Base jurídica del tratamiento
  • Plazo de conservación de los datos
  • Identidad del DPO, en caso de que exista
  • Si van a realizarse transferencias internacionales

Consentimiento para el tratamiento

“Con el RGPD el consentimiento del interesado para poder tratar sus datos personales debe ser expreso. La manifestación del consentimiento debe ser inequívoca, a través de una declaración o un acto afirmativo claro”.

Los consentimientos obtenidos con anterioridad a la fecha de aplicación del RGPD solo seguirán siendo válidos si se obtuvieron respetando los criterios fijados por el propio Reglamento.

El RGPD  y la LOPDGDD establecen claramente que el consentimiento debe ser inequívoco e implicar una acción afirmativa clara (una aceptación). Se prohíben específicamente las casillas opcionales marcadas previamente.

También requiere opciones de consentimiento distintas (‘granulares’) para distintas operaciones de procesamiento. El consentimiento debe estar separado de otros términos y condiciones y, en general, no debe ser una condición previa para suscribirse a un servicio.

De cara a cumplir con la ley de protección de datos, las empresas deben mantener registros claros para demostrar el consentimiento de sus clientes o usuarios.

El RGPD otorga un derecho específico a retirar el consentimiento. Se debe informar a las personas sobre su derecho a retirar su consentimiento y ofrecerles formas fáciles de hacerlo en cualquier momento.

Las autoridades públicas, los empleadores y otras organizaciones en una posición de poder pueden encontrar más difícil mostrar un consentimiento válido otorgado libremente.

Se deben revisar los consentimientos existentes y sus mecanismos de consentimiento para verificar que cumplan con el estándar del RGPD. Si lo hacen, no hay necesidad de obtener un nuevo consentimiento.

Imagen conceptual de protección de datos empresas

Contratos con encargados del tratamiento

Con cualquier tercero al que cedamos datos personales para la prestación de algún servicio es necesario firmar un contrato para regular el tratamiento de los datos. Esto incluye a las empresas de protección de datos que podamos contratar para que lleven a cabo el tratamiento de los datos personales de nuestros clientes y proveedores.

El RGPD establece que los contratos escritos entre responsables y encargados del tratamiento son un requisito, en lugar de una simple forma de demostrar el cumplimiento de las medidas de seguridad apropiadas por los encargados.

Estos contratos ahora deben incluir términos mínimos específicos. Estos términos están diseñados para garantizar que el procesamiento realizado por un encargado cumpla con todos los requisitos del RGPD, no solo los relacionados con la seguridad de los datos personales.

Cada vez que un responsable utiliza un encargado para procesar datos personales en su nombre, debe existir un contrato escrito entre las partes.

De manera similar, si un encargado utiliza otra organización o empresa de protección de datos (es decir, un subencargado) para ayudarlo a procesar datos personales para un responsable, debe tener un contrato escrito con ese subencargado.

Los contratos entre responsables y encargados del tratamiento aseguran que ambos entienden sus obligaciones, responsabilidades y obligaciones. Los contratos también les ayudan a cumplir con el RGPD y ayudan a los responsables a demostrar a las personas y a los reguladores su cumplimiento según lo exige el principio de responsabilidad.

En el contrato se especificarán las instrucciones del responsable del tratamiento al encargado en relación con:

  • Medidas de seguridad a aplicar
  • Si va a realizarse o no subcontratación
  • Cláusula de confidencialidad de datos en las empresas
  • Obligación de notificar los incidentes de seguridad
  • Destino de los datos una vez finalizada la prestación del servicio

Análisis de riesgos

Todas las empresas deberán realizar un análisis de riesgos tanto informáticos como de seguridad lógica e implantar las soluciones para evitar, bloquear o neutralizar esos ataques. Estos análisis deben ser periódicos y siempre que se produzcan modificaciones tecnológicas en la empresa.

Estas revisiones se basan en:

  • Identificar amenazas
  • Evaluar los riesgos
  • Tratar los riesgos

Es importante estar al día de las amenazas digitales, no estarlo no exime a las empresas de su responsabilidad en la protección de datos.

analisis de riesgos reglamento general de proteccion de datos

Evaluación de impacto en Protección de Datos

Esta es una parte clave del enfoque en la responsabilidad y la protección de datos por diseño de las empresas.

Algunas organizaciones ya realizan evaluaciones de impacto de privacidad como una buena práctica. Si es así, el concepto te resultará familiar, pero aún debes revisar tus procesos para asegurarte de que cumplan con los requisitos del RGPD. Las EIPD ahora son obligatorias en algunos casos, y existen requisitos legales específicos para el contenido y el proceso.

Si aún no tienes un proceso de evaluación de impacto en protección de datos, debes diseñarlo e integrarlo en tus políticas y procedimientos.

También debes revisar tus operaciones de procesamiento existentes y decidir si necesitas hacer una EIPD para cualquier cosa que pueda ser de alto riesgo.

Cuando el tratamiento que realiza una empresa, por su naturaleza, alcance o fines, entrañe un alto riesgo para los derechos y libertades de las personas debe realizarse una Evaluación de Impacto.

Las empresas obligadas a hacer esta EIPD son:

  • Empresas que realicen un tratamiento automatizado como elaboración de perfiles.
  • Aquellas cuyas actividades consisten en un tratamiento a gran escala de datos sensibles o relativos a condenas o infracciones penales.
  • Si realizan un tratamiento sistemático a gran escala de zonas de acceso público.

Contenido

  • Descripción de los tratamientos realizados.
  • Evaluar la necesidad y proporcionalidad del tratamiento.
  • Analizar los riesgos.
  • Establecer las medidas necesarias para afrontar esos riesgos.

Delegado de Protección de Datos

Esta normativa europea introduce una figura de la que todo el mundo habla y es el Delegado de Protección de Datos. Será el encargado de supervisar en las empresas el cumplimiento de la Ley de Protección de Datos y de comunicarse con la AEPD.

No todas las empresas necesitan un DPO. Solo será obligatorio en los siguientes casos:

  • Si se trata de Entidades u organismos públicos.
  • Cuando el tratamiento consista en realizar un seguimiento regular y sistemático del interesado a gran escala.
  • Empresas que realicen tratamientos a gran escala de categorías especiales de datos.

Las empresas no incluidas en esa clasificación pueden también nombrar un DPO si lo desean.

Notificación de incidentes de seguridad

Se trata de una de las principales novedades introducidas por el RGPD. Significa que, en caso de producirse una fuga de datos, el responsable del tratamiento tiene la obligación de comunicar la brecha de seguridad a la autoridad de control competente y a los afectados.

“Se deben notificar las incidencias de seguridad que impliquen una violación de datos personales sin demora injustificada y en un plazo máximo de 72 horas después de que haya tenido constancia de ella”.

Contenido

El contenido de esa comunicación debe incluir:

  • Número de afectados y tipo de datos.
  • Circunstancias en las que se ha producido.
  • Posibles consecuencias de esa violación.
  • Medidas adoptadas para reducir los posibles efectos.

Imagen de protección de datos digitales

Textos legales para la web

Si tienes una página web o comercio online, debes incluir unos textos legales exigidos por la normativa de protección de datos y por la LSSI. Estos textos son:

Política de privacidad

Una política de privacidad es un documento que informa a los visitantes de tu sitio qué información recopilas y qué haces con esa información.

Muy simple: es una breve explicación de lo que estás haciendo para observar a los visitantes de tu sitio web.

Una política de privacidad generalmente cubre:

  • Los tipos de información recopilada por el sitio web o la aplicación.
  • El propósito de recopilar los datos.
  • Almacenamiento de datos, seguridad y acceso.
  • Detalles de transferencias de datos.
  • Sitios web u organizaciones afiliadas (terceros incluidos).
  • Medios para ejercer sus derechos por los usuarios.

Aviso legal

El aviso legal es el texto en el cuál se establece quién es el propietario de la página web y sus datos de contacto.

Política de cookies

La política de cookies es una sección de la política de privacidad dedicada a las cookies.

Las cookies pueden rastrear el comportamiento del usuario y, por lo tanto, representan un riesgo potencial de privacidad. En la política de cookies se detalla el propósito de la instalación de las cookies, se nombra a los terceros que instalan o pueden instalar cookies a través del sitio web y se proporcionan enlaces a la política de privacidad respectiva de dichos terceros y a los posibles formularios de consentimiento.

El aviso de cookies debe:

  • Explicar brevemente el propósito de la instalación de cookies que usa el sitio.
  • Indicar claramente qué acción significará consentimiento.
  • Ser lo suficientemente notable.
  • Poner a disposición detalles del propósito de las cookies, el uso y la actividad de terceros relacionada.

Términos y condiciones

Si tienes una tienda de comercio electrónico, es importante que tengas un acuerdo de Términos y condiciones bien redactado vinculado en toda tu tienda.

Los acuerdos de términos y condiciones pueden protegerte legalmente, y a establecer las reglas que tú y tus clientes seguiréis, limitar tu responsabilidad en caso de que tu producto falle y cubrir qué hacer si surge algún conflicto legal.

Algunas secciones muy importantes para que una tienda de comercio electrónico incluya en su acuerdo de Términos y Condiciones son:

  • Una cláusula de limitación de responsabilidad relacionada con sus productos.
  • Términos de propiedad intelectual relacionados con la marca de tu tienda.
  • Una cláusula de limitación de responsabilidad relacionada con tus productos.
  • Condiciones de pago.
  • Formas de entrega.
  • Devoluciones y reembolsos.

Videovigilancia

En caso de que tener instaladas o pensar en instalar cámaras de videovigilancia, de cara a la protección de datos las empresas deben cumplir una serie de requisitos:

  • Informar a los clientes y empleados de esas grabaciones a través del correspondiente cartel.
  • No grabar espacios íntimos, como baños o vestuarios, ni la vía pública.
  • Guardar esas imágenes como máximo durante 30 días.

Tienes más información sobre videovigilancia en este post.

Imagen videovigilancia protección de datos empresas

Si tienes una empresa, sea del sector que sea y necesitas cumplir con la ley de protección de datos, te podemos ayudar

Si necesitas gestionar la protección de datos de tu empresa, te podemos ayudar con independencia del sector de actividad al que te dediques.

Abogados

Si tienes un despacho de abogados, descubre cómo cumplir con el RPGD y la LOPD.

Asesorías

Las asesorías también deben cumplir con la ley de protección de datos, para asegurar el correcto tratamiento de los datos personales de sus clientes.

Agencias de viajes

Una agencia de viajes maneja datos personales de sus clientes, por lo que también deben cumplir con la ley de protección de datos.

Transportes y logística

Adapta tu empresa de transporte y logística a la normativa vigente de protección de datos. Asegúrate que tanto tú como tus trabajadores gestionáis de forma correcta los datos personales de tus clientes.

Comercio

Si tu empresa se dedica a cualquier clase o tipo de comercio, entrarás en contacto con gran cantidad de datos personales, tanto de clientes como de proveedores, por ello debes asegurarte de que cumples con la LOPD.

Centros educativos

Los centros educativos, especialmente los colegios e institutos manejan datos considerados especiales, por ello hay estar al día en cuanto a la normativa de protección de datos, tanto los académicos como los médicos.

Hoteles

Independientemente de la categoría de tu hotel o la forma jurídica que hayas adoptado para su gestión, o si eres el dueño de una cadena hotelera, tu empresa debe cumplir con la ley de protección de datos para llevar un correcto tratamiento de los mismos.

Inmobiliarias

¿Te dedicas a la compra-venta de inmuebles? ¿Necesitas ayuda con el tratamiento de datos personales de tus clientes? Te explicamos los puntos más importantes que debes tener en cuenta y te ayudamos a llevarlo a cabo para tu inmobiliaria.

Empresas informáticas

Las empresas informáticas también deben contemplar un correcto tratamiento de los datos personales de sus clientes y proveedores, sobre todo cuando tienen acceso a datos sensibles de los primeros.

Telecomunicaciones

Si tu empresa se dedica al sector de las telecomunicaciones, debe estar al día con el cumplimiento de la LOPD y el RGPD, puesto que suelen ser de las empresas más denunciadas respecto al seguimiento de la normativa.

Construcción e ingeniería

Presupuestos, facturas, planos, proyectos… las empresas de construcción e ingeniería manejan muchos datos personales, de los que son responsables en cuento a tratamiento, por ello debes estar al día y cumplir con la normativa vigente de protección de datos.

Asociaciones

Aunque seas una organización sin ánimo de lucro, tu asociación también debe cumplir con el RGPD y la LOPD.

Ocio y tiempo libre

Si tienes una empresa dedicada a la organización de actividades de ocio y tiempo libre, tratarás con datos personales de tus clientes, ¿sabes cómo llevar a cabo su tratamiento de acuerdo con la ley?

Fisioterapeutas

Las empresas de fisioterapia o los fisioterapeutas independientes tratan con datos especiales relacionados con la salud de sus clientes, por ello deben cumplir escrupulosamente con la ley de protección de datos.

Clínica dental

Como clínica dental, tu empresa debe asegurar el correcto tratamiento y gestión de los datos personales de tus clientes, puesto que manejas datos considerados especiales.

Óptica

Los empleados de tu óptica o clínica oftalmológica tendrán acceso a datos sobre la salud de tus clientes y por ello debes asegurar de que cumples debidamente con la ley de protección de datos.

Farmacia

Las farmacias tienen acceso a algunos datos sobre la salud de sus usuarios y por ello también deben cumplir con la LOPD.

Psicólogos

Si tienes un despacho de psicólogos, tus pacientes no solo deben confiar en la confidencialidad de tus empleados y la tuya, también deben saber que sus datos de salud son tratados de acuerdo a la ley.

Aseguradoras

Las empresas aseguradoras manejan datos personales y privados de sus clientes, por ello deben estar al día y cumplir con la normativa de protección de datos.

Sector energético

Si tu empresa se dedica al sector energético (proveedores de gas, luz, agua, etc.), manejaréis una gran cantidad de datos de vuestros clientes, por ello debes asegurar de cumplir con la LOPD y el RGPD.

Centros de estética y peluquería

Los centros de estética y peluquería tratan con datos personales de sus clientes, por lo que deben estar al día a la hora de cumplir con la ley de protección de datos.

Residencia de ancianos

En las residencias de ancianos se manejan datos personales de categorías especiales, por ello no se puede dejar de lado el cumplimiento de la LOPD.

Administradores de fincas

Las empresas dedicadas a la administración de fincas guardan y tienen acceso a diferentes tipos de datos de sus clientes, por ello están obligadas a cumplir con la ley de protección de datos.

Detectives privados

¿Tienes una agencia de detectives privados o te dedicas a ello por tu cuenta? Debes asegurarte de que informas debidamente a tus clientes del tratamiento de sus datos personales.

Fotógrafos

Aunque los fotógrafos cuentan con el consentimiento para captar la imagen de sus clientes, es importante que informen a estos de sus derechos respecto al tratamiento de la misma, así como de sus datos personales.

Gimnasios y centros deportivos

Si tu empresa gestiona uno o más gimnasios o centros deportivos, sabrás la cantidad de datos que deben dar tus clientes al inscribirse y darse de alta para usar tus instalaciones y servicios, por ello debes cumplir debidamente con la ley de protección de datos.

Clínicas veterinarias

Las clínicas veterinarias no solo manejan datos de salud de los animales que atienden, también datos personales de los dueños de estos, así como de su personal y proveedores, por ello deben llevar a cabo un buen tratamiento de los mismos y cumplir con la normativa vigente.

Entidades financieras y de crédito

Las entidades financieras y de crédito deben tener especial cuidado a la hora de tratar los datos de sus clientes, especialmente respecto a posibles cesiones no consentidas de los mismos. Por ello, deben cumplir escrupulosamente con el RGPD y la LOPD.

Márketing y publicidad

Si tienes una empresa dedicada al márketing y la publicidad, no solo deberás cumplir con la ley de protección de datos respecto a tus clientes, sino también cuando tengas que ocuparte tú de hacer llegar las campañas a los clientes potenciales de estos.

Sindicatos

Si pensabas que los sindicatos no tenían que preocuparse de cumplir con la ley de protección de datos, estabas equivocado, estos organismos también deben estar el día en cuanto al cumplimiento del RGPD y la LOPD.

Talleres

También te podemos ayudarte si tienes un taller de cualquier tipo, a que lleves al día el cumplimiento de la ley de protección de datos y el RGPD.

Imagen protección de datos empresas

Preguntas frecuentes sobre empresas y protección de datos

¿Puedo cumplir con la ley  protección de datos en mi empresa gratis?

Sí, se puede cumplir con la ley de protección de datos en las empresas gratis, la AEPD tiene a disposición de los ciudadanos diferentes gruías y algunos programas para ello, como Facilita rgpd (Herramienta online que te ayuda a cumplir con la protección de datos), pero debes tener en cuenta que puede que no sea la mejor solución, especialmente por el tiempo que debemos dedicar a ello.

 

Empresas que ofrecen servicios freemium de protección de datos ¿Son legales?

Podríamos decir que de momento, las empresas que ofrecen servicios freemium (en inicio gratuitos, pero que después cuentan con suscripciones de pago) son legales, incluso cuando la moneda de cambio para acceder a la parte gratuita es algún dato personal del usuario (por ejemplo, crear una cuenta de usuario dando nuestro nombre y apellidos y nuestro e-mail). Todavía no hay una legislación ni nivel nacional ni europeo que regule este tipo de empresas, aunque sí están obligadas a cumplir con el RGPD y la LOPD, como el resto de empresas, entidades y organismos.

¿Por qué contratar a una empresa que me ayuda a adaptarme a la LOPD?

Las empresas deben cumplir ley de protección de datos, así mismo, los autónomos. Por lo tanto, es recomendable contratar a un consultor o empresa especializado en la materia para llevar a cabo una correcta adaptación legal.

Los motivos para esto son diversos, pero principalmente es que aunque pueda parecer fácil llevar el tratamiento de los datos, lo cierto es que algo más extenso y complejo y dejarse algo sin cubrir, puede acarrear importantes sanciones. Además, una empresa especializada se asegurará de que nuestra empresa esta al día con los cambios normativos que puedan ir haciéndose sobre las leyes actuales.

El contar con el asesoramiento y servicio de una empresa especializada en protección de datos, también proyecta una buena imagen para empresas y autónomos, puesto que muestra que cumplimos con la ley y respetamos la privacidad de nuestros clientes.

¿Cómo afecta el RGPD a las bases de datos de mi empresa?

Una de las acciones más importantes a realizar es validar toda la información existente. Una tarea complicada pero que es la base para el cumplimiento del RGPD. Si no lo hiciste cuando entró en vigor y aún es una tarea pendiente, debes renovar el consentimiento de todos los contactos de tus bases de datos para que tu empresa pueda seguir tratando esos datos personales.

¿Cómo actuar cuando descubra una brecha de seguridad?

Si se produce una brecha de seguridad que ponga en riesgo la base de datos de maneja nuestra empresa, la ley de protección de datos y el RGPD nos obligan a notificarlo ante la Autoridad de control, que es la AEPD, y los propios afectados.

Será el responsable del tratamiento quien, en un plazo máximo de 72 horas, debería realizar la comunicación de la brecha de seguridad. Además, habrá que tomar las medidas necesarias para contención y solución del incidente.

Y ahora que ya conoces lo que debes hacer para adaptar tu empresa al nuevo Reglamento, ¿te parece complicado?

Sólo debemos concienciarnos en garantizar la privacidad de los datos personales que manejamos. ¿Tú ya estás concienciado? Espero que me comentes tus impresiones.

¿Necesitas cumplir el RGPD?

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.

  1. Buenas,
    Como trabajador por cuenta ajena llevo contratado hace más de cuatro años. Recién este mes mi empresa pretende obligarme a firmar una cláusula adicional al contrato de consentimiento expreso para el tratamiento de mis datos. Puedo negarme?, pueden amenazarme con el fin de la relación laboral? hay algún tipo de riesgo adicional?. Gracias.

    1. Buenas tardes Lorenzo, la empresa está obligada por ley a solicitarte el consentimiento para poder tratar tus datos. Tú puedes negarte si quieres pero entonces no podrá tratar esos datos y puede tomar medidas. Para ti también resulta beneficioso puesto que puedes saber cómo trata tus datos la empresa y a quién se los cede.