No son pocas las empresas pequeñas y autónomos que ante la obligación de tener que adaptar su negocio a la protección de datos, deciden hacerlo ellos mismos, pero ¿hasta qué punto adaptarse uno mismo a LOPD o LOPDGDD es una buena idea? ¿Es posible? En este artículo profundizaremos sobre el tema.
¿Puede adaptarse uno mismo a la LOPDGDD?
La respuesta corta es sí, uno mismo puede adaptarse a la LOPD o, mejor dicho, a la LOPDGDD, que es cómo nos referimos a la actual normativa de protección de datos.
Sin embargo, siendo legal, ¿es realmente recomendable que uno mismo adapte su empresa o negocio a la normativa de protección de datos? La respuesta, en este caso, es no. ¿Por qué?
Adaptarse uno mismo a la LOPDGDD no es realmente una buena idea, incluso cuando se trata de empresas pequeñas o autónomos, porque una incorrecta adaptación a la normativa o un cumplimiento insuficiente puede suponer una serie de riesgos que podrían salir caros y que vamos a detallar en los siguientes apartados.
¿Qué riesgos supone adaptarse uno mismo a la LOPDGDD?
Como decíamos, adaptarse uno mismo a la LOPDGDD puede entrañar una serie de riesgos, que normalmente derivarán en un cumplimiento insuficiente o erróneo de la normativa y en posibles denuncias y sanciones por parte de la AEPD (Agencia Española de Protección de Datos).
Puede que estés pensando que si has logrado emprender un negocio, cumplir con la normativa de protección de datos no puede ser tan difícil, pero sí que es complejo; el DIY (do it yourself, hazlo tú mismo) está muy bien, hasta que te enfrentas al cumplimiento de una serie de obligaciones que a veces puedes no tener muy claro cómo afrontar. La normativa de protección de datos está en esta categoría.
Desconocimiento de la normativa
Es cierto que ni el RGPD ni la LOPDGDD exigen que el responsable del tratamiento, es decir, la empresa o el autónomo que tratan con datos personales en el desempeño de su actividad, deban tener conocimientos sobre protección de datos, pero lo que es indudable es que para poder cumplir con estas leyes, sí que se necesita no solo conocerlas, sino también saber interpretarlas, para evitar errores de cumplimiento o un cumplimiento insuficiente que pueda acabar en la imposición de una sanción.
La normativa de protección de datos es compleja y exige cumplir diferentes obligaciones, organizativas, técnicas y documentales, algunas de las cuales son mucho más estrictas en función del tipo de datos que tratemos o el volumen de los mismos o nuestra actividad. Por ejemplo, ¿sabrías qué excepciones permiten el tratamiento de datos sensibles? ¿O qué obligaciones extra conlleva el tratamiento de ese tipo de datos? ¿O cuándo es necesario hacer una evaluación de impacto? ¿O cómo hacerla e interpretarla?
Cumplir correctamente con la normativa de protección de datos no es limitarse a cumplimentar unos documentos genéricos que hemos descargado de Internet (o peor, «copy-pasteado»), para archivarlos y olvidarnos de ellos. Cada tratamiento de datos exige, entre otras obligaciones, llevar un registro del mismo, analizar sus riesgos y aplicar medidas de seguridad para atenuar los riesgos. Además, algunos de esos documentos hay que mantenerlos actualizados.
Así mismo, también se debe estar al día respecto a las posibles modificaciones de la normativa, que tendremos que cumplir. Por ejemplo, las obligaciones respecto al uso de cookies en páginas web ha ido cambiando en los últimos años y es muy probable que en los siguientes vuelva a hacerlo.
Consume tiempo
Esa necesidad de estar al día con la normativa, así como la elaboración de los documentos necesarios, el control de la seguridad, la realización de los análisis de riesgos que se necesiten hacer, la supresión de datos por petición o porque ya no debemos seguir almacenándolos, entre otras acciones y obligaciones consumirán parte de nuestro tiempo de trabajo.
Además, también deberás responder a las solicitudes de derechos de los interesados, como el acceso, la rectificación o la supresión, entre otros.
Si no cuentas con el tiempo para dedicarle a cumplir con la normativa de protección de datos, puedes conllevar cometer errores o no atender en plazo las solicitudes de derechos.
Si tratas datos sensibles puede resultar más complejo
Ya hemos mencionado más arriba los datos sensibles y no es casualidad. El tratamiento de estos datos, en principio prohibido por la normativa, salvo determinadas excepciones, implica cumplir más obligaciones estrictas y que aumentan la complejidad a la hora de cumplir de manera correcta con la ley.
Corres el riesgo de ser sancionado
Quizás uno de los mayores riesgos de adaptarse uno mismo a la LOPDGDD, es que pensemos que estamos cumpliendo con la ley de forma correcta, no sea así y lo descubramos al recibir una denuncia ante la AEPD y una inspección por parte de esta.
La LOPDGDD establece una larga lista de infracciones (leves, graves y muy graves) por las que podemos ser denunciados y sancionados, si no hemos cumplido de manera adecuada con las obligaciones recogidas en ella.
Y si piensas que el precio de la protección de datos es caro, espera a ver lo caro que puede salir una adaptación inadecuada a la LOPDGDD, tal y como atestiguan estos ejemplos de sanciones por no cumplir con la Ley de Protección de Datos.
Mejor contar con ayuda profesional
En definitiva, para la adaptación al RGPD y LOPD, lo mejor es contratar los servicios de una empresa de protección de datos, puesto que cuentan con profesionales especializados en la normativa (muchos de ellos abogados), que no solo se asegurarán de que cumples correctamente con todas las obligaciones de la ley, sino que también te ofrecerán asesoramiento continuado, te ayudarán con las solicitudes de derechos y ante posibles denuncias. Todo ello con un trato personalizado y en base a las necesidades de tu empresa o negocio.