Protección de datos Transporte y logística. Guía 2021

Las empresas de transporte y logística tratan en su día a día una gran cantidad de datos, entre esos datos figuran datos personales, motivo por el cual deben cumplir con la normativa de protección de datos. Hemos elaborado esta guía para explicar las principales obligaciones en materia de protección de datos para empresas de transporte y logística.

Normativa de Protección de Datos que deben cumplir las empresas de transporte y logística

Las empresas dedicadas al transporte y la logística están obligadas con la normativa de protección de datos, que está regulada por dos leyes:

RGPD (Reglamento General de Protección de Datos), que es el marco normativo europeo para la protección de datos en toda la UE y que establece los principios, obligaciones y régimen sancionador para toda organización que trate datos personales dentro de la Unión.
LOPDGDD (Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales), que es la normativa española. Esta ley adapta el RGPD a nuestro ordenamiento jurídico y, aunque mantiene en gran medida sus principios, obligaciones y régimen sancionador, concreta y matiza varios de ellos. Además, también contiene la regulación de los derechos digitales de los ciudadanos.
LSSI-CE (Ley de los Servicios de la Sociedad de la Información y el Comercio Electrónico), esta ley debe tenerse en cuenta especialmente cuando se pueden contratar servicios o vender productos a través de Internet.

¿Cómo cumplir con la Ley de Protección de Datos en el sector del transporte y la logística? (LOPDGDD/RGPD)

Como ya hemos dicho en la introducción, las empresas del sector del transporte y la logística (transporte de mercancías, servicios de mensajería y paquetería, etc.), manejan en el desempeño de su actividad comercial datos personales, como son los de sus clientes, pero también los de sus empleados.

Para cumplir con la protección en empresas de logística o de transporte, hay que dar cumplimiento a una serie de obligaciones, que os vamos a detallar en los siguientes puntos.

Realizar un Registro de actividades de tratamiento

Si la empresa de logística o transporte tiene más de 250 trabajadores o trata datos personales de forma sistemática y a gran escala, una de las primeras obligaciones que tiene cumplir es la realización de un registro de actividades de tratamiento.

Este documento, que debe elaborar el responsable del tratamiento (que es la propia empresa) debe realizarse por cada tratamiento de datos personales que se vaya a llevar a cabo y debe contener la siguiente información (lo más detallada posible, pero sin dejar de ser concisa):

Datos identificativos y de contacto del responsable del tratamiento y, cuando proceda, los del corresponsable, los del encargado del tratamiento y los del DPO (Delegado de Protección de Datos)
La base legitimadora del tratamiento
La finalidad del tratamiento
Descripción de las categorías de interesados y datos
Descripción de las categorías de destinatarios (cuando se produzcan cesiones de datos a terceros)
En su caso, toda la información relativa a las transferencias internacionales de datos
Descripción de todas las medidas de seguridad implantadas
Los plazos de supresión de los datos personales previstos

En empresas de logística y transporte, los registros de actividades de tratamiento más habituales son:

Clientes
Proveedores
Contabilidad
Recursos Humanos
Currículum
Videovigilancia

El registro de actividades de tratamiento es un documento interno, pero debe estar siempre actualizado y en caso de que la autoridad de control lo solicite, hay que facilitárselo. En España esa autoridad de control es la Agencia Española de Protección de Datos (AEPD).

Descarga aquí todos los modelos gratis para tu empresa de transporte y logística

Firmar los contratos con terceros

Las empresas de transportes o logística ceden datos personales de sus clientes o empleados a terceros en el momento en que necesitan contratar con otra empresa un servicio para el que la gestión de esos datos personales es necesario; por ejemplo, cuando una mensajería contrata con una empresa de transportes o un transportista autónomo el reparto de paquetes (le estaría cediendo datos personales para hacer las entregas).

Es importante señalar que debe tratarse de datos personales y no de personas jurídicas, es decir de otras empresas, puesto que en ese caso no se aplica la normativa de protección de datos.

Así, para asegurar que esos terceros cumplen con sus obligaciones de protección de datos, el responsable debe firmar con ellos un contrato de encargado del tratamiento, donde especifica el tipo de tratamiento de datos personales y la finalidad del mismo, así como otras instrucciones y obligaciones en materia de protección de datos que el encargado deba contemplar y cumplir,

Además, siempre se debe informar a los interesados, es decir, los titulares de los datos personales, de la identidad de estos terceros y del encargado del tratamiento.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Firmar los contratos con los empleados

Si los empleados de la empresa de transporte y logística van a tener acceso a los datos personales de los clientes, deben cumplir con las obligaciones exigidas por la normativa de protección de datos, así como respetar las medidas de seguridad implantadas por la empresa. Especialmente, deben respetar la confidencialidad de los datos que manejan.

En ese sentido, los contratos de trabajo ya suelen incluir las llamadas cláusulas de confidencialidad para los empleados. Pero también se puede firmar un contrato de confidencialidad con los empleados independiente, donde se pueden especificar más obligaciones y las sanciones que pueden enfrentar si no las cumplen (dentro de los límites de la ley).

Incluir los textos legales en la página web

Otra de las obligaciones que contemplan tanto la LSSI-CE como la Ley de Protección de Datos para empresas de transporte y logística está relacionada con la página web. Si estas empresas disponen de web, sea esta informativa o se emplea para ofrecer sus servicios y contratarlos a través de ellas, es necesario que incluyan los textos legales correspondientes.

Estos textos legales deben ser accesibles desde cualquier punto de la página web y estar redactados de forma clara y comprensible para cualquier tipo de usuario.

Los textos legales son:

Aviso legal: Aquí deben aparecer los datos identificativos del propietario de la página web, es decir, la empresa de transporte y logística:
- Nombre o razón social
- NIF
- Dirección
- Email
- Nº de inscripción en el Registro Mercantil
Política de privacidad: Este documento contiene toda la información relativa a la gestión que se hace de los datos personales recogidos a través de la web. Como mínimo debe incluir:
- Responsable del tratamiento
- Finalidad del tratamiento
- Legitimación
- En qué forma se gestionarán los datos personales
- Tiempo de conservación de los datos
- Cesiones a terceros, identificando a estos
- Cómo y dónde pueden ejercer sus derechos los interesados
Términos y condiciones de venta y uso: Cuando se venden productos o servicios a través de Internet, la página web también de contar con un documento donde se recojan estos términos y condiciones de venta y uso. Además, siempre deben aceptarse cuando se va a realizar una compra o contratación Deben incluir:
- Precios
- Plazos y políticas de prestación del servicio
- Métodos de pago
- Condiciones particulares
- Política de cancelación
- Derecho de desistimiento
Política de cookies: Cuando la web genera cookies, propias o de terceros, se debe incluir toda la información correspondiente a las mismas, tal y como recoge la ley de cookies (finalidad, titular, duración, etc.).

Solicitar el consentimiento a los clientes

Fue una de las obligaciones en materia de protección de datos introducida por el RGPD, el recabar el consentimiento expreso de los interesados para poder tratar sus datos personales.

Así, para cumplir con este requisito de la ley de protección de datos, las empresas de transporte y logística deben solicitar siempre el consentimiento expreso de sus clientes para llevar a cabo el tratamiento de sus datos personales.

Cuando decidimos «expreso», nos referimos a que es necesaria una acción afirmativa del cliente para aceptar el tratamiento; puede ser la firma de un documento físico o digital en el que se informe sobre todos los aspectos relativos al tratamiento de datos que se va a realizar:

Identificación del responsable del tratamiento
Finalidad del tratamiento
Si se cederán a terceros
Vía para que los interesados ejerzan sus derechos ARCO

Además, por cada tratamiento de datos personales diferente, es necesario recabar nuevamente el consentimiento de los interesados. Lo mismo ocurre si finaliza el plazo de conservación de los datos y es necesario volver a recabarlos.

Aquí podéis descargar un modelo de consentimiento para protección de datos en PDF, que os servirá de ejemplo e incluso podréis utilizar en vuestra empresa de transporte o logística.

Realizar un Análisis de riesgos

Hay tratamientos de datos personales que conllevan riesgos inherentes, es decir, que pueden exponer la información personal de la destrucción de los mismos, su modificación, su sustracción o incluso su filtración. Estas amenazas pueden poner en riesgo los derechos y libertades de los interesados, por ello, siempre que se prepara un tratamiento de datos, se debe realizar previamente un análisis de riesgos.

La finalidad del análisis de riesgos es determinar las posibilidades de que esos riesgos acaben materializándose y en función de ello, diseñar e implementar las medidas de seguridad adecuadas para evitarlo o reducir al mínimo tolerable las posibilidades de que ocurran estos incidentes de seguridad.

Algunas medidas de seguridad son:

Seudonimización
Cifrado de datos
Mecanismos para garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios dedicados al tratamiento
Mecanismos para restaurar el acceso en caso de incidente
Mecanismos para verificar la eficacia de las medidas de seguridad de forma periódica

Notificar las brechas de seguridad

Cuando se produzcan incidentes de seguridad que puedan suponer un riesgo para los derechos y libertades de los interesados cuyos datos personales puedan haber sido expuestos, la empresa de transporte y logística tiene la obligación de notificarlo a la autoridad de control.

Estas notificaciones de brechas de seguridad a la AEPD deben realizarse en un plazo máximo de 72 horas desde el momento en que se tiene conocimiento del incidente.

Además, también debe notificarse a los interesados cuyos datos se hayan visto afectados.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos

Modelos y plantillas

Aquí tienes todos los documentos necesarios para un correcto cumplimiento de la normativa de Protección de Datos en tu empresa de transportes.

Contrato con terceros
Página web
Compromiso confidencialidad empleados
Consentimientos
- Consentimiento clientes
- Consentimiento CV
Videovigilancia
- Carteles Videovigilancia
- Información a trabajadores de instalación de Videovigilancia
Comunicaciones
- Correos electrónicos
- Facturas

Sanciones por incumplimiento en el RGPD/LOPDGDD

No cumplir con alguna de las obligaciones que hemos ido viendo a lo largo de esta guía, puede suponer para la empresa de transporte y logística la imposición de una sanción, cuya cuantía dependerá de la gravedad, el número de interesados afectados y la duración del comportamiento infractor en el tiempo.

La LOPDGDD establece las siguientes sanciones:

Infracciones muy graves (art.72): sanciones de hasta 20 millones de euros o el 4% de la facturación anual (la cuantía que sea superior)
Infracciones graves (art.73): sanciones de entre 40.000 y 300.000 euros
Infracciones leves (art.72): sanciones de hasta 40.000 euros.

Se trata de sanciones administrativas que puede imponer la AEPD si detecta alguna infracción durante una inspección o tras recibir una denuncia e investigarla.

Preguntas frecuentes

Con estas cuestiones puedes resolver tus dudas sobre el cumplimiento de la ley de Protección de Datos en empresas de transporte y logística.

¿Qué pasa si en mi empresa tengo instalado un sistema de videovigilancia?

En ese caso debes de tener un cartel a la vista de todos, en cada uno de los puntos de acceso al recinto, indicando que se tienen cámaras en funcionamiento.

Además debes de tener un documento a disposición del interesado, por si lo solicitan, donde debes informar las diferentes finalidades por las que haces uso de las cámaras de videovigilancia. Estas podrían ser:

Preservar la seguridad de las personas y bienes, así como de las instalaciones.
Realizar un control laboral, donde en ese caso también estaríamos obligados a informar a los trabajadores, por ejemplo, a través de este modelo de comunicación a trabajadores de instalación de cámaras.

La captación de la vía pública (normalmente reservada para las fuerzas y cuerpos de seguridad) puede ser mayor a lo que era permitido antes, siempre y cuando sea para garantizar la seguridad de bienes o instalaciones estratégicas, así como de las infraestructuras vinculadas al transporte de la empresa.

¿Y si las cámaras están en los vehículos?

El asunto plantea dos cuestiones principales, por tanto, desde el punto de vista de la protección de datos de carácter personal y de la protección de la intimidad y la propia imagen. Así, habría que ver si la instalación de este tipo de cámaras es asimilable a una instalación de videovigilancia y, por tanto, debe cumplir con los requisitos establecidos.

Las grabaciones deben cumplir los principios de idoneidad, necesidad y proporcionalidad.

Es importante señalar que llevar cámaras en el vehículo que graben continuamente la vía pública no está permitido, como podéis ver en esta multa por llevar cámara en el coche.

¿Es obligatorio hacer un curso de Protección de Datos?

No, no es obligatorio. Pero sí es recomendable formar a los empleados para que cumplan las medidas de seguridad necesarias para proteger los datos personales que manejan.

Las compañías deben concienciar y proporcionar a sus trabajadores todas las herramientas necesarias para que comprendan la importancia de su labor de custodia. Estos operarios deben ser conscientes de que están trabajando con material muy sensible que está legalmente protegido. Por lo tanto, sus empresas deben informarles bien sobre cuáles son sus funciones y responsabilidades y las consecuencias que acarrearía realizar una custodia desleal.

¿Necesito el consentimiento de los empleados para instalar sistemas de geolocalización en los vehículos?

No es necesario su consentimiento, ya que se enmarca dentro de la facultad empresarial de control de la actividad laboral.

No obstante, sí debes informar al trabajador del uso de este sistema, la finalidad y la conservación de esos datos. La instalación de sistemas de geolocalización debe cumplir además el principio de proporcionalidad. Y, por supuesto, no puedes utilizar esta geolocalización fuera del horario de trabajo.

Aquí puedes descargar un modelo de consentimiento de geolocalización para los trabajadores, mediante el que puedes informarles de ello.

¿Necesitas ayuda?

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.