Te preguntas si estás obligado a «tener la protección de datos»??
es una pregunta habitual de los autónomos
La respuesta es SI
Con sólo tener contactos con nombre, apellidos, teléfono o dirección de personas, estamos obligados a cumplir los requisitos de la Ley de Protección de datos.
Tienes datos, como mínimo de proveedores, y seguramente de clientes…. y si tienes empleados….. datos aun más completos y sensibles.
La protección de datos es un tema muy en boga en el momento actual y que conviene tomarse muy en serio.
Debemos ser conscientes de que los datos personales que manejamos no nos pertenecen y, por tanto, tenemos la responsabilidad de hacer un uso correcto de los mismos.
Si no se cumple con esta Ley nos podemos enfrentar a importantes sanciones económicas, por lo que si estamos dudando entre implantar o no la LOPD, debemos tener en cuenta que el coste de no implantarla puede ser mucho mayor que si no lo hacemos.
- Las infracciones leves serán sancionadas con multas de 900 a 40.000€.
- Las infracciones graves serán sancionadas con multas de 40.001 a 300.000€.
- Las infracciones muy graves serán sancionadas con multas de 300.001 a 600.000€.
También tenemos que considerar el posible coste para la empresa si ocurre una pérdida de datos personales confidenciales, por fallos informáticos, incendios o inundaciones, pudiendo incurrir incluso en responsabilidades civiles, competencias desleales, etc..
¿Cuáles son mis obligaciones como profesional o empresa?
1) La primera obligación es informar a las personas que nos dan, o de las que captamos, datos personales de la finalidad, de quién es el responsable, a quién los cederemos, cuánto tiempo los conservaremos y cómo pueden ejercer sus derechos respecto a sus datos.
Para cumplir con esta obligación normalmente se utilizan cláusulas de información que se incluyen en contratos, formularios, facturas, correos electrónicos, carteles, etc.
Muchas veces conviene que el interesado firme esta cláusula, de esta forma estamos seguros de que esta información se ha producido y podemos probarlo.
2) Sólo utilizar los datos personales para las finalidades para las que hemos informado y nos han autorizado. Si queremos utilizarlos para otras finalidades deberemos solicitar autorización al interesado y poder probar que la tenemos.
3) No ceder los datos a terceros sin autorización. El responsable de los datos no puede cederlos a un tercero salvo que tenga autorización del interesado, le obligue una ley (por ejemplo, los hoteles tienen que facilitar los registros a la policía) o que sea necesario para el desarrollo de la actividad (le damos acceso a las facturas a nuestro gestor para que nos liquide el IVA). En este último caso, sin embargo, quien recibe los datos debe firmar un contrato de confidencialidad. Recuerda tener siempre en tu documento de seguridad el contrato firmado con tu asesoría.
4) Adoptar las medidas de seguridad adecuadas a los datos que se traten en función del riesgo de su tratamiento. Para ello el responsable deberá evaluar el riesgo del tratamiento considerando, el tipo de datos (si son de categorías especiales como los de salud, religión, orientación sexual, etc. o no),su volumen, el ámbito geográfico, la frecuencia del tratamiento y el tiempo de conservación. Obviamente las medidas de seguridad serán mayores cuanto mayor sea el nivel de riesgo de los datos tratados.
5) Existe tambiénla obligación dellevar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Este registro es similar a la inscripción de ficheros en la AEPD que dejó de ser obligatoria.
Todo esto supone contar con un DOCUMENTO DE SEGURIDAD
Puedes realizar la tramitación directamente ante la AEPD, la Agencia Española de Protección de Datos, que es la autoridad de control independiente que vela por el cumplimiento de la normativa y garantiza el derecho fundamental a la protección de datos personales.
Pero lo más recomendable es dejar esta tarea en manos de un especialista ya que supone una tramitación burocrática que cuando se desconoce puede llevar su rato.
Fijate en todos los pasos necesarios para el proceso de implantación de la LOPD:
- Identificación de los ficheros que contengan datos de carácter personal (empleados, clientes, proveedores, etc…).
- Identificación del nivel de seguridad que se les aplica.
- Identificación del Administrador del Fichero.
- Elaboración del Documento de Seguridad.
- Formación al Responsable del Fichero.
- Información a los propietarios de los datos, sobre la existencia de los ficheros.
- Inscripción de los ficheros en el Registro de la Agencia Española de Protección de Datos.
Además en el caso de que nuestra empresa tenga datos calificados de nivel medio y/o alto, estaremos obligados a hacer auditorías bienales como mínimo.La auditoría se podrá realizar de forma interna o externa y finalizará con un Informe que determinará si nuestra empresa se adecua o no a la Ley, y en el caso de no cumplir con ella, indicará cuáles son las deficiencias y recomendará las medidas correctoras necesarias.
Pero si prefieres hacerlo tú mismo,
debes saber que la obligatoriedad de inscribir los ficheros, comunicar a la Agencia los ficheros empleados en la actividad y que contengan datos de carácter personal, describiendo qué datos se recogen, con qué fin, de quién se recogen, qué medidas de seguridad se van tomar sobre los mismos,
fue sustituida el 25 de mayo por la de contar con un registro de actividades.
Ahora será necesario construir y mantener actualizado un registro con las actividades de tratamiento.
La descripción del contenido de este Registro de Actividades recuerda bastante al de la Notificación de un fichero en el marco de la LOPD.
Las nuevas prácticas que autónomos y pymes deben realizar en su negocio:
-
-
- Procurar el consentimiento inequívoco, y no tácito, del cliente para el uso de sus datos.
- Actualización de las cláusulas y políticas informativas en torno a la potección de datos.
- Obligatoriedad de la figura de un delegado de protección de datos interno o a través de un servicio externo.
- Puesta en marcha de Evaluación de Impacto en la Protección de Datos Personales (PIA).
- Nuevos códigos de conducta para velar por la privacidad de datos.
- Certificados y sellos de cumplimiento de la RGPD.
- Notificar en un plazo de 72 horas las violaciones a la privacidad de los datos a las autoridades de control.
-
Si sigues pensando en hacerlo tú mismo….
La AEPD ha elaborado la herramienta FACILITA_RGPD, que proporciona ayuda para la elaboración del registro de actividades de tratamiento, las cláusulas informativas, las cláusulas contractuales para encargados del tratamiento y las medidas de seguridad a adoptar
La herramienta genera diversos documentos adaptados a la empresa concreta, cláusulas informativas que debe incluir en sus formularios de recogida de datos personales, cláusulas contractuales para anexar a los contratos de encargado de tratamiento, el registro de actividades de tratamiento, y un anexo con medidas de seguridad orientativas consideradas mínimas.
Facilita RGPD está orientada a empresas que tratan datos personales de escaso riesgo, como por ejemplo, datos personales de clientes, proveedores o recursos humanos.
Facilita RGPD no podrá utilizarse para tratamientos que impliquen un alto riesgo para los derechos y libertades de las personas, como datos de salud o tratamientos masivos de datos, entre otro
Ha sido diseñada como un recurso útil para cualquier empresa o profesional, ya que con tan solo tres pantallas de preguntas muy concretas permite a quien la utiliza valorar su situación respecto del tratamiento de datos personales que lleva a cabo: si se adapta a los requisitos exigidos para utilizar Facilita RGPD o si debe realizar un análisis de riesgos.
Facilita RGPD es una herramienta fácil y gratuita. Una vez finalizada su ejecución, los datos aportados durante el desarrollo de la misma se eliminan, por lo que la Agencia Española de Protección de Datos en ningún caso puede conocer la información que haya sido aportada.
Enlace a la herramienta:
https://www.aepd.es/herramientas/facilita.html
Algo que puede hacer que tengas que contratar el servicio de protección de datos es
una obligación que se impuso con la modificación legislativa de la protección de datos,
la figura del Delegado de Protección
si te preguntas si estás obligado a tenerlo,
depende……
Se establece que el Delegado de Protección de Datos será obligatorio en los siguientes casos:
- Empresas que, aunque tengan menos de 250 trabajadores, realicen tratamientos de datos a gran escala (lo que se conoce como fenómeno Big Data)
- Entidades o empresas que manejen datos especialmente protegidos como son los datos de salud, religión, creencias, afiliación sindical o vida sexual. También se incluye el tratamiento de datos de localización o de menores.
Los encargados de nombrar al Delegado de Protección de Datos serán los responsables de ficheros o encargados del tratamiento.
Ese nombramiento deberá comunicarse a la Agencia Española de Protección de Datos al ser la autoridad encargada del control del cumplimiento de la legislación sobre Protección de Datos.
También se comunicará a los afectados ya que tienen derecho a acudir ante el Delegado de Protección de Datos si consideran que se han vulnerado sus derechos o para realizar cualquier consulta sobre la materia.
Si estás en alguno de estos casos…. un Delegado de Protección tiene que tener certificación adecuada…., contacta con profesionales.
0 comentarios