La normativa en materia de protección de datos es una de las más delicadas para cualquier empresa o profesional autónomo, especialmente en el caso de quienes manejen en su día a día información personal especialmente sensible. Por ejemplo, datos médicos; datos referentes a religión u orientación política; relativos al sexo u orientación sexual; origen racial…
Sin embargo, son muchos los negocios que descuidan este área, sin poner en valor las importantes sanciones a las que se enfrentan.
Para que salgas de dudas, en este artículo te contamos cómo cumplir con la normativa en materia de protección de datos en tu empresa. Ten en cuenta que la Agencia Española de Protección de Datos (AEPD) sanciona de forma constante a aquellas empresas que incumplen con sus obligaciones en este área.
Una de las más recientes investigaciones de la Agencia afectó a Google Analytics. Asimismo, la entidad bancaria Openbank fue sancionada hace pocas semanas y deberá pagar 2,5 millones de euros por infringir varios artículos del Reglamento General de protección de Datos, sumándose a la lista de financieras afectadas por estos apercibimientos.
Cómo cumplir con la normativa en materia de protección de datos en tu empresa
Cumplir en materia de protección de datos es una tarea que requiere una atención constante, si bien es posible facilitarla a través del establecimiento de un protocolo seguro que ordene toda la cadena de gestión de datos personales, desde su recopilación, pasando por su tratamiento y almacenamiento, hasta su destrucción.
Para lograr una gestión eficaz y segura de los datos personales de tu empresa, te recomendamos seguir estos pasos:
Identifica cuáles son los datos personales que se manejan en tu negocio
El primer paso es saber qué es un dato personal y cuáles son los que se manejan en tu empresa, teniendo en cuenta que tanto los datos de terceros y clientes como los datos de tus empleados deberán ser tratados adecuadamente.
Los datos personales consisten en cualquier información relativa a una persona física viva identificada o identificable. Las distintas informaciones que, recopiladas, pueden llevar a la identificación de una determinada persona, también constituyen datos de carácter personal. Algunos ejemplos son nombre y apellidos, domicilio, dirección de correo electrónico tipo nombre.apellido@empresa.com, DNI, datos de localización, dirección de protocolo de internet (IP), datos en poder de un hospital o médico que permitan identificar de forma única a una persona…
Ten en cuenta que los datos personales anonimizados, cifrados o presentados con un seudónimo, pero que puedan utilizarse para volver a identificar a una persona, también se consideran datos personales. En cuanto a los datos personales datos personales anonimizados, de forma que la persona no sea identificable o deje de serlo, dejarán de considerarse datos personales. Para que los datos se consideren verdaderamente anónimos, la anonimización debe ser irreversible.
Todo dato personal quedará afectado por la normativa sobre protección de datos, que emana desde la Unión Europea y que España regula de forma específica siguiendo el dictado comunitario.
La protección del dato personal es independiente de la tecnología utilizada para su tratamiento: tanto los datos recopilados manualmente como de forma informatizada quedarán afectados por este paraguas regulatorio.
Para no dejar nada al azar, es importante contar con asesoramiento legal especializado desde este primer paso: así tendrás la certeza de que no estás dejando fuera ningún tipo de dato que requiera protección. Consulta a nuestro equipo sin compromiso.
Define cómo vas a tratar los datos recopilados y cómo garantizar su seguridad
Es probable que debas categorizar los datos recabados en función del tipo de dato de que se trate, teniendo en cuenta si se trata de datos que precisen especial protección. Solo así podrás tener claro qué medidas concretas deberás adoptar para garantizar un tratamiento adecuado, valorando siempre todos los riesgos legales existentes asociados a cada tratamiento concreto a través de un necesario análisis de riesgos concienzudo y a medida.
Asimismo, es básico garantizar la seguridad de los datos que manejes, de forma que queden protegidos en caso de, por ejemplo, un ciberataque, así como en cuanto a su confidencialidad e integridad.
Por otro lado, no olvides la importancia de ofrecer a la persona cuyos datos vayas a recopilar toda la información necesaria acerca de sus derechos, así como contar con su consentimiento expreso. Es probable que también debas formalizar contratos, por ejemplo, con terceros que presten servicios a tu negocio y que, para ello, deban acceder a tus datos personales.
Ten en cuenta las exigencias concretas que afecten a tu negocio
Por ejemplo, es posible que debas mantener un registro de actividades de tratamiento en el que recopilar los tratamientos de datos de tu negocio: ten en cuenta que este registro es obligatorio en empresas de má de 250 trabajadores, así como en aquellas que utilicen datos de categorías especiales, las que traten datos de forma habitual o las que traten datos relativos a condenas e infracciones.
Además, no olvides la importancia del tratamiento de datos personales a través de tu web corporativa, incluyendo tanto los textos legales necesarios como garantizando el consentimiento expreso del usuario siempre que se soliciten datos personales.
Para cualquier duda con respecto a las obligaciones específicas que puedan afectar a tu actividad, contacta con nosotros.
Revisa tu política en protección de datos constantemente
Pocas cosas permanecen estables con el paso del tiempo y, en materia de protección de datos, es probable que aparezcan nuevos riesgos, que se descuiden protocolos o se cometan errores… Por eso es importante revisar (por ejemplo, a través de auditorías) cada cierto tiempo que todo siga bajo control.
Una forma sencilla de reducir riesgos consiste en contar con un partner especializado en protección de datos que te permita delegar la gestión de este área con total tranquilidad.
Sanciones por incumplir en materia de protección de datos
En cuanto a las sanciones por incumplimiento en protección de datos, las infracciones leves (por ejemplo, por no informar al cliente sobre sus derechos y tratamiento de datos, o bien por no atender a sus solicitudes de rectificación o cancelación) pueden provocar multas de hasta 40.000 euros.
En el caso de las graves (por ejemplo, por impedir u obstaculizar el ejercicio de los derechos de rectificación, cancelación y oposición de usuario, o bien por no implementar medidas de seguridad, o por ceder datos a terceros no autorizados), el máximo se mueve hasta los 300.000 euros.
Para las infracciones muy graves (recogida de datos de forma engañosa o fraudulenta, transferencia de datos temporal o definitiva a países que no cuentan con un nivel de protección de datos equiparable al español sin la autorización expresa de la AEPD, cesión a terceros de los datos personales especialmente protegidos…) la sanción puede ascender hasta a 20 millones de euros, o el 4 % del volumen de facturación anual de la empresa.
Ten en cuenta que los ciudadanos cada vez son más conscientes de sus derechos en protección de datos. Prueba de ello es el aumento, año tras año, de las denuncias ante la AEPD, con el consecuente inicio de una investigación que puede terminar en sanción.
Si necesitas delegar la gestión de protección de datos de tu empresa o actividad profesional, así como en caso de que precises asesoramiento puntual o permanente en apoyo a tu departamento interno de protección de datos, ponte en contacto con nuestro equipo de abogados y economistas en Comunidad Valenciana.