RGPD para trabajadores por cuenta propia
Como las empresas, los trabajadores por cuenta propia deben contemplar la protección de datos y cumplir con la normativa vigente cuando traten datos de carácter personal. En esta entrada detallaremos todos los aspectos relacionados con la normativa aplicable, sanciones y cómo cumplir con la ley.
Normativa que se ha de cumplir
Siempre que un autónomo o freelance trate con datos de carácter personal, independientemente del tipo que sea (societario, con trabajadores a cargo, sin trabajadores…), debe tener en cuenta el cumplimiento obligado de dos normativas concretas:
¿Necesitas cumplir el RGPD?
Ventajas que se obtienen
Al cumplir con la normativa se obtienen diversas ventajas:
- Ofrecer una imagen seria y de confianza a nuestros clientes.
- Mejorar la seguridad de la información y la gestión de la misma.
- Seguridad jurídica al contar con el consentimiento de los interesados para el tratamiento de datos y al tener contratos redactados con terceros en caso de cesión de dichos datos.
- Evitar posibles fugas de información personal.
- Contar con medidas de seguridad adecuadas a la clase de datos personales a tratar y el lugar en el que se van a almacenar.
Sanciones a las que se expone si no ajusta debidamente a ley
No cumplir con la LOPDGDD y el RGPD tiene las siguientes sanciones, que se aplicarán de igual manera, independientemente de que el infractor sea un autónomo o una empresa:
- Sanciones leves: multa hasta 40.000 euros:
- Sanciones graves: multa entre 40.001 euros y 300.000 euros:
- Sanciones muy graves: multa entre 300.001 euros a 20 millones de euros (o el 4% del volumen de facturación, la cuantía que sea superior):
Cumple la normativa siguiendo estos pasos
Si eres trabajador por cuenta propia y quieres cumplir con las obligaciones de protección de datos para autónomos, debes seguir los pasos que describimos a continuación:
Registro de Actividades de Tratamiento
El registro de actividades de tratamiento sustituyó a la obligación de inscribir los ficheros en el Registro de la AEPD y sirve para documentar el flujo de datos personales que se manejan dentro de un negocio. Se trata de un registro interno que detalla las actividades llevadas a cabo sobre los datos personales recogidos.
El registro de actividades solo debe realizarse cuando los datos recogidos:
- Puedan suponer un riesgo para los derechos y libertades de los interesados
- Se recojan datos de manera habitual (no ocasional)
- Incluyan datos de categorías especiales:
- Origen étnico o racial
- Opiniones políticas
- Convicciones religiosas o filosóficas
- Afiliación sindical
- Tratamiento de datos genéticos
- Datos biométricos que puedan identificar a la persona de forma inequívoca
- Datos relativos a la salud o relativos a la vida sexual o la orientación sexual de la persona
- Se traten datos relativos a condenas e infracciones
El registro de actividades debe contener la siguiente información:
- Identificación y datos de contacto del responsable o encargado del tratamiento o, si se cuenta con él, del DPO
- Los fines del tratamiento, es decir, para qué se van a usar esos datos (fines comerciales, informativos, publicitarios, etc.)
- Descripción de categorías de interesados y datos tratados
- Categorías de destinatarios (si hay cesión de datos a terceros)
- Transferencia de datos internacionales y garantías (si procede)
- Plazos previstos para la eliminación de los datos
- Descripción de las medidas de seguridad adoptadas para la protección de datos
Debe estar siempre a disposición de la AEPD cuando esta lo solicite.
Puede realizarse en formato digital o físico.
Análisis de riesgos
En función de los datos personales que se vayan a recoger y tratar, será necesario llevar a cabo un análisis de riesgos, que permita determinar las medidas de seguridad necesarias que el autónomo debe implementar para asegurar la protección de los datos personales de sus clientes, proveedores y cualquier otro interesado (persona física) de quien haya recopilado este tipo de datos.
Evaluación de Impacto
Con carácter previo al tratamiento de datos personales, especialmente en determinadas circunstancias, será necesario llevar a cabo una evaluación de impacto para determinar los riesgos que pueden surgir y minimizar la posibilidad de que ocurran, implementado las medidas de seguridad correspondientes. Es un análisis de riesgos más en profundidad y que debe realizarse cuando:
- El tratamiento de datos vaya a tener finalidades distintas a las previstas
- Se trata de datos no disociados
- Se vayan a producir transferencias internacionales
- Se cedan datos a terceros
- Se empleen tecnologías invasivas para su recogida y tratamiento
- Se vayan a emplear en el Big Data o el IoT (Internet de las cosas)
- Los datos personales sean de menores de 14 años
- El tratamiento entrañe un riesgo alto para los derechos y libertades de los interesados
Elaboración del Documento de Seguridad
Elaborar un Documento de Seguridad en el que se resume de manera detallada todo lo relativo al tratamiento de datos personales llevado a cabo por el autónomo en el desempeño de su actividad profesional.
Este documento debe contemplar, como mínimo:
- El registro de actividades
- Medidas de seguridad implantadas
- Registro de incidencia
- Contratos de cesión de datos
- Si se tienen empleados, qué empleados tienen acceso a los datos personales
- Si se tienen, contratos de encargo de tratamiento
Información a los propietarios de los datos
Como ya dijimos, el RGPD establece la obligación de informar a los interesados, es decir, los propietarios de los datos, de lo siguiente:
- Nombre del responsable del tratamiento
- Finalidad y legitimación para la recogida y tratamiento de datos personales
- Cómo y dónde ejercer sus derechos ARCO
Plazo de conservación de los datos
Los profesionales por cuenta propia deben informar a sus interesados del plazo de conservación de los datos personales que están tratando.
Sin embargo, ni el RGPD ni la LOPDGDD estipulan un plazo determinado para el borrado de datos personales, sino que depende tanto de la finalidad para la que son recogidos como de otras leyes aplicables (por ejemplo, las facturas deben conservarse durante 5 años).
Por lo tanto, el responsable del tratamiento debe determinar en cada caso, el tiempo de conservación de los datos personales recabados, teniendo en cuenta para qué fueron recogidos y otras leyes que puedan aplicarse sobre ellos.
Auditorías periódicas
Se han de realizar auditorías periódicas de protección de datos, llevadas a cabo por expertos externos en la materia, que puedan evaluar el cumplimiento correcto de la normativa.
De esta auditoría se obtendrá un informe del que el autónomo podrá concluir si es necesario implantar nuevas medidas de seguridad o mejorar las que ya tiene o si las medidas que tiene implantadas son suficientes.
Estos informes, además, pueden ser exigidos por las autoridades competentes para comprobar si estamos cumpliendo debidamente con la ley, aparte de servir como medio de prueba para demostrar que el negocio o actividad del autónomo cumple con las exigencias del RGPD y la LOPD.
¿Necesitas cumplir el RGPD?