COMO CUMPLIR CON LA LEY DE PROTECCIÓN DE DATOS PERSONALES

¿Tienes un smartphone? Casi seguro que sí. ¿Eres miembro de alguna red social? Muy probablemente ¿Utilizas internet a diario? Y quién no. Pues debes saber que las empresas que hay detrás de estos servicios deben cumplir con la el Reglamento Europeo y con Ley de Protección de Datos española.

Compartimos nuestros datos personales a diario. Cuando pides un café en Starbucks y utilizas tu tarjeta de crédito, el camarero sabrá qué café has pedido, cuánto te ha costado y quizá dónde vives. Esta información es vital para dirigir un negocio con éxito. Lo mismo ocurre en otros sectores, como el comercio minorista o el transporte.

Compartir nuestros datos personales es, en muchos casos, beneficioso, pero también implica riesgos. Es posible que necesites compartirlos para trabajar o para obtener algún tipo de descuento o incluso para poder pagar tus impuestos. Cosas cotidianas, ¿verdad? Pero ¿estás seguro de con quién compartes esos datos personales?

Tu información personal revela mucho sobre ti, tu forma de actuar, cómo piensas y, en general, sobre todos los actos que realizas a diario. Esta información puede la pueden usar fácilmente en tu contra. Es peligroso. Especialmente si perteneces a ciertos colectivos vulnerables como así nos hacen saber nuestros colegas de Abrilabogados.com

GESTIÓN JUDICIAL: DESCUBRE NUEVAS HERRAMIENTAS PARA TU DESPACHO DE ABOGADOS

Los beneficios prácticos y económicos que supone tener un modelo de gestión ...
Leer Más

6 MODELOS DE INNOVACIÓN TECNOLÓGICA PARA MEJORAR TU DESPACHO DE ABOGADOS

Mucho ha cambiado en el mundo legal desde que los Bufetes y ...
Leer Más

LA IMPORTANCIA DE LA AUTOMATIZACIÓN DE PROCESOS EN TU DESPACHO DE ABOGADOS

La importancia de la automatización de procesos se la debemos a Henri ...
Leer Más

¿QUÉ NORMA ESPAÑOLA REGULA LA PROTECCIÓN DE DATOS PERSONALES?

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD), es la normativa reguladora de la protección de datos personales en España. Básicamente es una transposición del Reglamento Europeo de protección de datos con algunas excepciones.

Esta ley es el instrumento jurídico que establece los principios básicos que regulan el tratamiento de los datos personales y su protección. Regula tanto el sector público como el privado:

• Sector público: regula el tratamiento de datos personales en las administraciones y empresas de titularidad pública.
• Sector privado: regula el tratamiento de datos personales por parte de empresas y particulares que no pertenecen a una administración pública.

De la misma forma, la Ley de Protección de Datos Personales evalúa la adopción de medidas técnicas y organizativas para garantizar que los datos sean:

• Tratados de forma lícita, adecuada y transparente.
• Tratados con fines específicos, explícitos y legítimos.
• Pertinentes y no excesivos en relación con los fines para los que se tratan.
• Precisos y actualizados.
• No deben entrar en contradicción con los derechos, libertades u obligaciones legales establecidas en la Constitución y otras leyes o reglamentos.
• Tratados mediante procesos automatizados, incluida la elaboración de perfiles, que sólo es lícita si se cumplen determinadas condiciones.
• Tratados legalmente en cuanto al traspaso de fronteras de dichos datos.
• Mayor rigor en cuanto al tratamiento de los datos en internet y las distintas redes sociales.

La protección de los datos personales de las personas físicas está relacionado directamente con la protección de las personas físicas y, por tanto, es un derecho fundamental especialmente protegido a tenor de lo dispuesto en el artículo 18.4 de la Constitución española.

El impacto que la tecnología provocaría en nuestra sociedad, ya fue prevista por los constituyentes en 1978. Por ello, se aseguraron de que estuvieran dentro de nuestra constitución como derechos fundamentales de las personas.

Por otro lado, el Reglamento general de protección de datos de la Unión Europea, pretende superar los obstáculos que impidieron el cumplimiento efectivo de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, que regulaba la protección de las personas físicas en cuanto al tratamiento de datos personales y a la libre circulación de dichos datos.

El Reglamento Europeo de Protección de Datos Personales 2016/679 derogó la Directiva anteriormente comentada, obligando a los países miembros a transponer dicho reglamente a sus leyes nacionales.

Nuestra sociedad ha cambiado. La transformación digital llegó para quedarse y las normativas tienen que estar acorde con la demanda social. De hecho, estas normas no solo se deben quedar en la regulación presente, sino que deben prever el futuro.

¿QUIÉN ESTÁ OBLIGADO A CUMPLIR CON LA LEY DE PROTECCIÓN DE DATOS?

A tenor de lo dispuesto en la Ley de Protección de Datos, todas las empresas que traten datos de carácter personal en el desarrollo de su actividad, ya sea comercial o para otros fines, tienen la obligación de cumplir:

• Reglamento (UE) 2016/679.
• Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPD 3/2018).

Por lo tanto, todas las empresas, sociedades mercantiles, organizaciones sin ánimo de lucro y autónomos están obligados a respetar ambas normativas, siempre que recaben y traten datos personales de las personas físicas.

Todas las empresas, sociedades, organizaciones y autónomos están obligados a cumplir la Ley de Protección de Datos. A implantar las medidas y sistemas de seguridad en el tratamiento de la información personal.

Pero no basta con que estas empresas se limiten a cumplir la ley, sino que deben demostrar que siguen los mecanismos de protección exigidos por la misma. Es lo que se conoce como «Principio de responsabilidad activa», que se recoge en el Reglamento y que implica que no solo hay que cumplirlo, sino que hay que demostrar que se está cumpliendo.

Como ejemplo te enlazo esta noticia por la que una de las más emblemáticas aplicaciones de Facebook (ahora Meta) Whatsapp actualiza su política de privacidad para cumplir con el RGPD.

¿QUÉ TRATAMIENTOS DE DATOS PERSONALES ESTÁN EXCLUIDOS DE LA NORMATIVA DE PROTECCIÓN DE DATOS?

Existen varios supuestos que están fuera del ámbito de competencias del Reglamento y, por tanto, también de la Ley Orgánica:

1. Tratamiento de los datos de personas jurídicas (empresas, sociedades y organizaciones): artículo 4 del Reglamento señala que se entenderá por datos personales a “toda información sobre una persona física identificada o identificable”. Con lo que no entran dentro de esta clasificación las personas jurídicas.
2. Tratamiento de los datos de personas fallecidas: El Reglamento no es aplicable a la protección de datos personales de personas que hayan fallecido, aunque la Ley Orgánica sí permite a los herederos tener acceso a dichos datos.
3. Tratamientos de datos de personas anónimas: al ser datos que no tienen relación directa con una persona física identificada, no será de aplicación el Reglamento. Eso sí, la Ley Orgánica en su Disposición Adicional Decimoséptima, apartado 2.e), sí lo regula en cuanto a la información anónima recogida para tratamientos de salud.
4. Aquellas actividades que tengan relación con el Sistema Europeo de Bancos Centrales (SEBC): este sistema está formado por los Bancos Centrales de cada país de la UE y el Banco Central Europeo.
5. El tratamiento de datos personales que realicen las autoridades competentes de cada país para fines determinados:
   • Prevención, investigación y enjuiciamiento de infracciones penales.
   • Ejecución de condenas.
6. Tratamiento de datos cuando se trate de actividades exclusivamente personales o domésticas: aquellos que recabe una persona física a nivel personal o doméstico siempre y cuando no se utilice para fines comerciales o para alguna actividad profesional.
7. Actividades que no son competencia del derecho de la Unión Europea (UE): ejemplo, aquellas relativas a la seguridad nacional de cada país miembro.

¿QUÉ HAY QUE HACER PARA CUMPLIR CON LA LOPD?

Para cumplir con lo regulado en la Ley de Protección de Datos (LOPD) debes tener en cuenta algunos principios básicos y qué medidas has de tomar en consideración para poder realizar tratamiento de los datos de forma correcta.

La Agencia Española de Protección de Datos (AEPD), que es la máxima autoridad en todo lo referido al tratamiento de datos personales señala una serie de medidas que debes aplicar para cumplir con la Ley:

• Designar un Delegado de Protección de Datos.
• Registrar las actividades del tratamiento de los datos: deben registrarse tanto las actividades como el resto de circunstancias señaladas en el art. 30 del RGPD.
• Medidas de protección de los datos: La Ley exige una valoración del riesgo por el responsable o encargado del tratamiento de los datos. Por tanto, existe una responsabilidad activa a lo largo del tiempo por cuanto se debe garantizar la confidencialidad, integridad y disponibilidad delos datos personales aun cuando aumente el riesgo en el tratamiento de dichos datos.
• Deber de notificación de brechas de seguridad: el responsable del tratamiento de los datos personales será quien deba comunicar a la autoridad competente, en nuestro caso la AEPD o la autoridad competente de la Comunidad Autónoma, dentro de las 72 horas siguientes a cuando haya tenido constancia, la violación de la seguridad que suponga un riesgo para los datos personales contenidos en los ficheros de la empresa. Todo ello según los arts. 33 y 34 del RGPD de la UE.
• Valoración del impacto en la protección de datos de los sistemas de tratamientos y medidas que garantizan el cumplimiento del RGPD.
• Vinculación y adaptación del tratamiento de los datos personales a los códigos de conducta regulados en la sección 5ª del Capítulo IV del RGPD.
• Flujo de datos transfronterizos: en todo caso, y siendo necesario el flujo de datos a nivel internacional, cuando los datos deban traspasar las fronteras españolas se deberá respetar lo señalado en el RGPD. En cualquier caso, no será necesaria autorización previa de la AEPD cuando el flujo de datos personales se realice desde territorio español a países dentro del Espacio Económico Europeo, es decir, todos los países de la UE más Liechtenstein, Islandia y Noruega.

¿CUÁNTO CUESTA IMPLANTAR LA LOPD?

Las tarifas medias que se manejan en el sector dependen mucho del número de trabajadores de la empresa y su expansión a nivel europeo e internacional.

Puedo darte algunos precios de referencia, pero debes solicitar varios presupuestos y optar por la que más confianza te ofrezca:

Autónomo………………………………………………………………………… 180 €

Empresa pequeña (hasta 5 trabajadores)…………………………… 280 €

Empresa mediana (hasta 25 trabajadores)…………………………. 360 €

Empresa grande (+25 trabajadores)……………………….. Consúltalo

OBLIGACIÓN DE CUMPLIR CON EL REGLEMENTO EUROPEO Y CON LA LEY DE PROTECCIÓN DE DATOS PERSONALES

Las empresas tienen la obligación de cumplir la Ley Orgánica de Protección de Datos y el Reglamento Europeo de Protección de Datos. Las que no lo hagan podrían enfrentarse a fuertes multas.

Multas que pueden ir:

• Desde los 900 a los 40.000 € para las infracciones leves.
• Desde los 40.001 a los 300.000 € para las infracciones graves.
• Desde los 300.001 a los 600.000 € para las infracciones muy graves.

Como puedes observar no es una broma, las multas son altas y pueden acabar con cualquier pequeña o mediana empresa.

Tómatelo en serio, una pequeña inversión puede salvar a tu empresa de una situación límite.