Protección de Datos para autónomos

Guía 2021

Como las empresas, los autónomos deben contemplar la protección de datos y cumplir con la normativa vigente cuando traten datos de carácter personal. Los trabajadores por cuenta propia tienen, por tanto, las mismas obligaciones en materia de protección de datos personales que cualquier empresa u organismo público. En esta entrada detallaremos todos los aspectos relacionados con la protección de datos y los autónomos; normativa aplicable, sanciones y cómo cumplir con la ley.

¿Eres autónomo? Estas son las Leyes que estás obligado cumplir: LOPDGDD y RGPD

Siempre que un autónomo o freelance trate con datos de carácter personal, independientemente del tipo que sea (societario, con trabajadores a cargo, sin trabajadores…), debe tener en cuenta el cumplimiento obligado de dos normativas concretas:

LOPD para autónomos

La LOPDGDD (que también podemos encontrar abreviada como LOPD) es la normativa española vigente sobre protección de datos de carácter personal y de garantía de los derechos digitales de las personas. Su finalidad, por tanto, es garantizar por un lado la protección y correcto tratamiento de los datos personales y, por otro, el respeto de ciertos derechos digitales.

Aprobada en diciembre de 2018, esta ley adapta el RGPD a la normativa española, de manera que al cumplir con LOPD los autónomos están cumpliendo con el RGPD.

La LOPD es el desarrollo normativo del artículo 18 de la Constitución Española, que ampara el derecho fundamental de las personas físicas a la protección de sus datos personales en el apartado 4 de dicho artículo. Las obligaciones de la LOPD se aplican sobre cualquier tratamiento total o parcialmente automatizado o no de datos personales, quedando excluidos los datos de personas fallecidas y los tratamientos sometidos sobre protección de materias clasificadas.

Por lo tanto, la relación entre autónomos y LOPD la encontramos desarrollada en el RGPD.

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos

 

RGPD para autónomos

El RGPD es la normativa europea sobre protección de datos personales y ofrece un marco legal único para toda la UE.

Este Reglamento se aprobó en 2016 y, como decíamos, se traspuso a la ley española a través de la LOPDGDD en 2018. Por lo tanto, la ley de protección de datos para autónomos (como para empresas) está recogida en ambas normativas, si bien, el RGPD vino a simplificar varios de los trámites burocráticos necesarios y a ampliar algunos aspectos sobre la protección de determinados datos personales.

El RGPD introdujo nuevas obligaciones respecto a la protección de datos personales:

  • Obtener el consentimiento expreso del interesado para poder tratar sus datos personales; es decir, es necesario que el autónomo logre mediante una acción afirmativa el consentimiento de la persona cuyos datos personales necesita recopilar y tratar.
  • Si se van a tratar datos personales a gran escala, se debe limitar en la medida de lo posible el tratamiento de estos datos y recurrir a la anonimización de los mismos.
  • Notificar a los interesados cuando se produzca una brecha de seguridad que ponga en riesgo sus datos personales, especialmente cuando esta pueda constituir un riesgo para los derechos y libertades de las personas físicas. También se debe notificar a la autoridad competente en la materia, que en España es la Agencia Española de Protección de Datos (AEPD).
  • Informar al interesado quién trata sus datos, para qué se tratan y cómo será ese tratamiento, esta información debe darse de forma clara y entendible y debe ser fácil de encontrar. Puede incluirse, por ejemplo, en el aviso legal web del autónomo (si tiene una página donde oferte sus servicios o una tienda online). Esta información, como mínimo, contendrá:
    • Identificación del responsable o encargado del tratamiento o sus representantes
    • Registro de actividades de tratamiento
    • Finalidad para la que se recogen los datos
    • Si los datos se cederán a terceros
    • Cómo y dónde ejercer los derechos ARCO
  • Aunque no será obligatorio para todos los sectores de actividad, en función de los datos personales a tratar y de los riesgos que puedan suponer para los derechos y libertades de las personas, puede ser necesaria la existencia de un delegado de protección de datos (DPO).
  • Deberá de llevarse a cabo una EIPD o evaluación de impacto cuando se vayan a recopilar y tratar datos especialmente protegidos (como los relacionados con la salud).
  • Determinados sectores de actividad pueden contar con códigos de conducta o certificados, que recojan normas y reglas específicas para responsables y encargados del tratamiento de datos. Estos códigos o certificados han de estar aprobados por la AEPD.
  • A los derechos ARCO (acceso, rectificación, cancelación y oposición) se suman el derecho al olvido (solicitud para eliminar datos inexactos o desfasados de una persona) y el derecho a la portabilidad de los datos (el interesado puede solicitar que sus datos sean transmitidos a otro responsable del tratamiento).

protección de datos autónomos

Ventajas que adquiere el autónomo al ajustar su actividad a la normativa

Aunque el cumplimiento con la normativa de protección de datos está bastante asentado ya en España, todavía podemos encontrar autónomos que se cuestionen la necesidad de ajustar su actividad a la ley, pensando erróneamente que como tratan pocos datos personales, no es necesario «complicarse» más.

Sin embargo, al cumplir con la LOPD y el RGPD los autónomos no solo están cumpliendo con su obligación legal y, por tanto, evitando posibles sanciones, sino que también contarán con algunas ventajas:

  • Ofrecer una imagen seria y de confianza a nuestros clientes.
  • Mejorar la seguridad de la información y la gestión de la misma.
  • Seguridad jurídica al contar con el consentimiento de los interesados para el tratamiento de datos y al tener contratos redactados con terceros en caso de cesión de dichos datos.
  • Evitar posibles fugas de información personal.
  • Contar con medidas de seguridad adecuadas a la clase de datos personales a tratar y el lugar en el que se van a almacenar.

Sanciones a las que se expone si no ajusta debidamente a ley

Si piensas que cumplir con la normativa de protección de datos como autónomo es caro, más caro te puede salir no hacerlo, puesto que la ley contempla sanciones que varían en cuantía en función de la gravedad de la infracción y de factores como los perjuicios ocasionados, la extensión de la infracción en el tiempo, el lucro obtenido o la voluntad de aplicar medidas correctoras.

Así, no cumplir con la LOPDGDD y el RGPD tiene las siguientes sanciones, que se aplicarán de igual manera, independientemente de que el infractor sea un autónomo o una empresa:

  • Sanciones leves: multa entre 600 euros y 60.101,21 euros:
    • Recopilar datos personales sin informar previamente al interesado
    • No atender las consultas de la AEPD
    • No hacerse cargo de las posibles solicitudes de rectificación o cancelación de datos
  • Sanciones graves: multa entre 60.101.,21 euros y 300.506,05 euros:
    • Usar los datos personales para una finalidad diferente para la que fueron recopilados
    • No contar con el consentimiento expreso del interesado
    • Conservar datos inexactos y no atender a la solicitud de modificación
    • No cumplir con los principios y garantías de la LOPDGDD y el RGPD
    • Tratar datos especialmente protegidos sin la autorización expresa del interesado
    • No notificar a la AEPD de brechas de seguridad
    • No aplicar las correspondientes medidas de seguridad para la protección de los datos almacenados
  • Sanciones muy graves: multa entre 300.506,05 euros a 601.012,10 euros:
    • Recogida de datos que puedan revelar datos especialmente protegidos
    • Recoger datos de manera fraudulenta
    • Recoger datos especialmente protegidos sin la autorización del interesado
    • Entorpecer o ignorar las peticiones de rectificación o cancelación de forma reiterada
    • Vulnerar el secreto de los datos especialmente protegidos
    • Ceder datos a terceros cuando esto no esté permitido
    • No dejar de tratar datos personales de forma ilegítima a petición de la AEPD
    • Tratamiento de datos de forma no legítima o sin respetar las garantías y principios que se deben aplicar para ello
    • No atender reiteradamente los requerimientos de la AEPD
    • Transferencias internacionales de datos personales a países donde el nivel de protección es menor o sin autorización del interesado

Autónomos sin empleados a su cargo ¿también están obligados?

Sí, los autónomos sin empleados a su cargo deben cumplir con la ley de protección de datos.

La protección de datos para autónomos sin empleados debe tenerse en cuenta siempre que estos manejen datos de carácter personal de sus clientes o proveedores cuando estos sean personas físicas. Incluso si solo hablamos de nombres y apellidos y direcciones postales, es imprescindible tener en cuenta la normativa vigente y cumplir con sus requisitos.

Cumple la protección de datos para autónomos siguiendo estos pasos

Si eres autónomo y quieres cumplir con la normativa de protección de datos, debes seguir los pasos que describimos a continuación:

Pasos cumplir protección de datos autónomos

Registro de Actividades de Tratamiento

El registro de actividades de tratamiento sustituyó a la obligación de inscribir los ficheros en el Registro de la AEPD y sirve para documentar el flujo de datos personales que se manejan dentro de un negocio. Se trata de un registro interno que detalla las actividades llevadas a cabo sobre los datos personales recogidos.

En el caso de los autónomos y la protección de datos, el registro de actividades solo debe realizarse cuando los datos recogidos:

  • Puedan suponer un riesgo para los derechos y libertades de los interesados
  • Se recojan datos de manera habitual (no ocasional)
  • Incluyan datos de categorías especiales:
    • Origen étnico o racial
    • Opiniones políticas
    • Convicciones religiosas o filosóficas
    • Afiliación sindical
    • Tratamiento de datos genéticos
    • Datos biométricos que puedan identificar a la persona de forma inequívoca
    • Datos relativos a la salud o relativos a la vida sexual o la orientación sexual de la persona
  • Se traten datos relativos a condenas e infracciones

El registro de actividades debe contener la siguiente información:

  • Identificación y datos de contacto del responsable o encargado del tratamiento o, si se cuenta con él, del DPO
  • Los fines del tratamiento, es decir, para qué se van a usar esos datos (fines comerciales, informativos, publicitarios, etc.)
  • Descripción de categorías de interesados y datos tratados
  • Categorías de destinatarios (si hay cesión de datos a terceros)
  • Transferencia de datos internacionales y garantías (si procede)
  • Plazos previstos para la eliminación de los datos
  • Descripción de las medidas de seguridad adoptadas para la protección de datos

El registro de actividades es, por tanto, un documento o serie de documentos en los que se detalla todo lo concerniente al tratamiento de los datos personales de los interesados. Además, debe estar siempre a disposición de la AEPD cuando esta lo solicite.

Puede realizarse en formato digital o físico.

Análisis de riesgos

En función de los datos personales que se vayan a recoger y tratar, será necesario llevar a cabo un análisis de riesgos, que permita determinar las medidas de seguridad necesarias que el autónomo debe implementar para asegurar la protección de los datos personales de sus clientes, proveedores y cualquier otro interesado (persona física) de quien haya recopilado este tipo de datos.

Evaluación de Impacto

Con carácter previo al tratamiento de datos personales, especialmente en determinadas circunstancias, será necesario llevar a cabo una evaluación de impacto para determinar los riesgos que pueden surgir y minimizar la posibilidad de que ocurran, implementado las medidas de seguridad correspondientes. Es un análisis de riesgos más en profundidad y que debe realizarse cuando:

  • El tratamiento de datos vaya a tener finalidades distintas a las previstas
  • Se trata de datos no disociados
  • Se vayan a producir transferencias internacionales
  • Se cedan datos a terceros
  • Se empleen tecnologías invasivas para su recogida y tratamiento
  • Se vayan a emplear en el Big Data o el IoT (Internet de las cosas)
  • Los datos personales sean de menores de 14 años
  • El tratamiento entrañe un riesgo alto para los derechos y libertades de los interesados

Elaboración del Documento de Seguridad

Elaborar un Documento de Seguridad en el que se resume de manera detallada todo lo relativo al tratamiento de datos personales llevado a cabo por el autónomo en el desempeño de su actividad profesional.

Este documento debe contemplar, como mínimo:

  • El registro de actividades
  • Medidas de seguridad implantadas
  • Registro de incidencia
  • Contratos de cesión de datos
  • Si se tienen empleados, qué empleados tienen acceso a los datos personales
  • Si se tienen, contratos de encargo de tratamiento

Formación

Para poder llevar a cabo una correcta protección de datos personales, es necesario que la persona encargada de hacerlo, que en el caso de autónomos será, en principio, el propio trabajador por cuenta propia, tenga una formación mínima en materia de protección de datos.

De manera que el autónomo tenga los conocimientos necesarios sobre la LOPDGDD y el RGPD, así como sus exigencias y requisitos.

Información a los propietarios de los datos

Como ya dijimos, el RGPD establece la obligación de informar a los interesados, es decir, los propietarios de los datos, de lo siguiente:

  • Nombre del responsable del tratamiento
  • Finalidad y legitimación para la recogida y tratamiento de datos personales
  • Cómo y dónde ejercer sus derechos ARCO

Plazo de conservación de los datos

Como las empresas, para cumplir debidamente con la protección de datos, los autónomos deben informar a sus interesados del plazo de conservación de los datos personales que están tratando.

Sin embargo, ni el RGPD ni la LOPDGDD estipulan un plazo determinado para el borrado de datos personales, sino que depende tanto de la finalidad para la que son recogidos como de otras leyes aplicables (por ejemplo, las facturas deben conservarse durante 5 años).

Por lo tanto, el responsable del tratamiento, en este caso el autónomo, debe determinar en cada caso, el tiempo de conservación de los datos personales recabados, teniendo en cuenta para qué fueron recogidos y otras leyes que puedan aplicarse sobre ellos.

Auditorías periódicas

Para asegurar que se cumple con las exigencias de la ley de protección de datos, los autónomos deben someterse a auditorías periódicas de protección de datos, llevadas a cabo por expertos externos en la materia, que puedan evaluar el cumplimiento correcto de la normativa.

De esta auditoría se obtendrá un informe del que el autónomo podrá concluir si es necesario implantar nuevas medidas de seguridad o mejorar las que ya tiene o si las medidas que tiene implantadas son suficientes.

Estos informes, además, pueden ser exigidos por las autoridades competentes para comprobar si estamos cumpliendo debidamente con la ley, aparte de servir como medio de prueba para demostrar que el negocio o actividad del autónomo cumple con las exigencias del RGPD y la LOPD.

No son exactamente obligatorias, pero puesto que sí es obligatorio demostrar que se cumple con la ley, llevarlas a cabo es fundamental.

Cómo cumplir RGPD y LOPD autónomos

Nuevas obligaciones de trabajadores autónomos con el RGPD/LOPD

Como ya dijimos, la entrada en vigor en mayo de 2018 del RGPD trajo consigo varias novedades en materia de protección de datos, que tanto autónomos como empresas están obligados a cumplir.

Aparte de las ya citadas más arriba, en cuanto LOPD, RGPD y autónomos estos deben cumplir también con:

  • Realizar el registro de actividades de tratamiento
  • Firmar contratos con terceros cuando haya cesión de datos personales
  • Inclusión de textos legales en páginas web (política de privacidad, aviso legal y cookies)
  • Solicitar siempre el consentimiento expreso de los interesados para recabar y tratar sus datos personales
  • Llevar a cabo el análisis de riesgo con carácter previo al tratamiento de datos personales
  • En caso de que exista un riesgo alto (como ya indicamos antes), realizar una EIPD
  • Informar de dónde y cómo pueden ejercer sus derechos ARCO los usuarios
  • Notificar a la AEPD en un plazo de 72 horas si se ha producido una brecha de seguridad
  • Nombrar un DPO en los supuestos en los que sea necesario

¿Eres autónomo y necesitas ayuda para ajustar tu actividad a la LOPD y RGPD? Compara las Tarifas de los mejores profesionales del sector

Llegados a este punto, si eres autónomo y tratas datos personales de tus clientes o proveedores, sabes que es necesario ajustar tu actividad a la normativa vigente en la materia, especialmente para evitar posibles denuncias y sanciones (y sí, la gente denuncia ante la AEPD cuando creen que se han vulnerado sus derechos como consumidores o usuarios y la protección de datos personales no es una excepción).

Pero, ¿qué precio tiene cumplir con la protección de datos para autónomos? ¿Es posible contratar servicios de protección de datos gratis para autónomos?

Empezamos respondiendo a la segunda pregunta; no, no puedes encontrar servicios gratuitos para cumplir con la normativa de protección de datos, y si lo encuentras, será un servicio mínimo e insuficiente, de carácter genérico que en ningún caso te resultará útil de cara a la AEPD, posibles inspecciones y sanciones.

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos

 

La protección de datos y el cumplimiento de su normativa es una actividad compleja, que exige conocimientos concretos y especializados, puesto que hay que tener en cuenta las necesidades y especificaciones concretas de cada actividad (no son lo mismo los datos personales que trata un electricista y que un dentista).

Por lo tanto, el precio de protección de datos para autónomos varía en función de las necesidades de la actividad o negocio que estos desempeñen y el tipo de datos personales que se vayan a tratar.