¿Qué obligaciones sobre Protección de Datos tiene tu empresa?

Olga Agea
27 de enero de 2023
¿Qué obligaciones sobre Protección de Datos tiene tu empresa?

¿Tu compañía trata a diario datos personales? ¡Este post te interesa!

Analizamos qué obligaciones sobre Protección de Datos tiene tu empresa y qué medidas debes incorporar para no incurrir en sanciones:

 

¿Qué leyes regulan la Protección de Datos?

Para evitar que los datos personales sean usados para vulnerar la intimidad en 2016 se publicó el Reglamento General de Protección de Datos (RGPD). El RGPD es el reglamento europeo que impide la libre circulación de los datos personales.

En 2018 se publicó la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Dos años más tarde, en 2021, se modificó la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.

Esta Ley Orgánica 7/2021 obligó a todas las empresas a modificar sus contenidos.

Banner Firmafy

¿Qué empresas están obligadas a cumplir con la Ley de Protección de Datos?

Todas las empresas que traten datos personales tienen que cumplir con la Ley de Protección de Datos.

Es decir, cualquier compañía que maneje datos (ya sean de clientes, de proveedores o de empleados) tendrán que cumplir de manera obligatoria con la Ley de Protección de Datos.

Por tanto, deberán cumplir con la Ley de Protección de Datos sociedades mercantiles, como asesorías o despachos de abogados; agencias de marketing y publicidad, empresas de logística y transporte, residencias, farmacias, autónomos o Administraciones Públicas.

¡Importante! Todas las empresas deben cumplir con la Ley de Protección de Datos (independientemente de si actúan en el mundo digital o no).

Por ejemplo, si tienes un restaurante o un taller mecánico deberás mantener protegida la información de tus clientes, proveedores y empleados.

 

¿Qué es la protección de datos?

La protección de datos es el conjunto de medidas y de normas que tienen como fin garantizar la privacidad y la seguridad de los datos personales.

A través de la protección de datos se pretende evitar el acceso no autorizado, la pérdida, la destrucción o la alteración de los datos personales, y garantizar que estos datos se usen de manera lícita y 100% transparente.

Además, la protección de datos incluye el derecho de las personas a tener acceso, rectificar o eliminar sus datos personales, así como a oponerse a su tratamiento.

Todas las empresas deben cumplir con las normas de protección de datos para evitar sanciones legales.

Los datos personales son informaciones privadas que están relacionadas de forma directa con una persona determinada. Esta información puede incluir detalles como el nombre, la dirección, el número de teléfono, el correo electrónico, la fecha de nacimiento o DNI.

Asimismo, los datos personales pueden incluir información digital, como las cookies y los datos de navegación, que pueden ser utilizados para identificar a una persona.

 

Estas son las obligaciones de tu empresa en materia de protección de datos

En primer lugar, hay que destacar que todas las personas tanto físicas como jurídicas tienen obligaciones en materia de protección de datos.

Es decir, las empresas, los autónomos y las Administraciones Públicas que manejen datos de carácter personal de personas físicas deberán cumplir con sus obligaciones.

 

Pasos para cumplir con las obligaciones sobre LOPD en tu empresa

Las empresas tendrán que:

 

Definir qué tipo de datos personales van a recoger 

Los datos personales se dividen en categorías:

  • Categoría básica: en este caso la empresa va a recoger datos identificativos, como son el nombre y los apellidos.
  • Categoría media: la compañía va a recoger datos en los que se extraen los gustos de la persona.
  • Categoría alta: la empresa recoge datos sensibles, como son datos sobre la salud o afiliaciones sindicales.

 

Indicar el tratamiento que se va a dar a los datos y sus posibles riesgos

Es fundamental que valores qué datos necesitas y qué uso les vas a dar. Esto va a depender en función de a qué se dedique tu compañía y te servirá para garantizar la confidencialidad de los mismos.

Una vez que ya sepas qué datos vas a recoger necesitarás analizar qué riesgos supone esa recogida de los datos.

Es decir, deberás realizar un análisis de impacto en la protección de datos para evaluar los riesgos asociados a cualquier procesamiento de datos personales.

Por ejemplo: imagina que tienes una empresa 100% digital y todos los datos los tienes en la nube. Necesitarás evitar que se produzca un ciberataque para que no se filtren esos datos y establecer un sistema seguro.

Ese sistema deberá proteger los datos personales contra accesos no autorizados, pérdida, destrucción o alteración de los mismos.

¡Importante! Los datos recabados no podrán utilizarse para finalidades incompatibles con las que se hayan recogido.

 

Integrar medidas seguras y mantener actualizado el registro de tratamiento

Tendrás que diseñar medidas seguras que eviten la filtración de los datos. Además, deberás mantener actualizado los registros de actividades de tratamiento para prevenir sanciones ante una posible inspección.

El responsable o titular debe notificar los ficheros a la Agencia de Protección de Datos antes de su creación.

 

Comunicación o cesión de datos

Los datos de carácter personal sólo podrán ser cedidos a un tercero para el cumplimiento de fines directamente relacionados con el consentimiento previo de la persona interesada.

Es importante que recuerdes siempre firmar un contrato de protección de datos con los proveedores que vayan a tener acceso a los datos que has recogido.

Así podrás indicarles cuál es la finalidad que le pueden dar a esos datos y cuál es su plazo de conservación.

 

Obtener el consentimiento expreso

Es necesario obtener el consentimiento explícito de las personas para el tratamiento de sus datos personales. El consentimiento expreso se puede realizar, por ejemplo, marcando una casilla de consentimiento.

 

Fomentar la transparencia e informar sobre el uso de los datos

Todas las personas tendrán que saber qué va a suceder con sus datos antes de proveerlos a una empresa.

Además, se les deberá informar sobre su derecho de rectificación u oposición en el caso de que no quieran ceder sus datos.

Tal y como recoge la Ley de LOPD el consentimiento debe realizarse a través de una declaración o acción informativa y no se puede deducir el silencio como consentimiento.

La empresa deberá poner a disposición de los interesados la siguiente información:

  • Identificación del responsable del tratamiento y sus datos de contacto.
  • Los datos de contacto del delegado de protección de datos, en su caso.
  • Los fines del tratamiento a los que se destinen los datos personales.
  • El derecho a presentar una reclamación ante la autoridad de protección de datos competente y los datos de contacto de la misma.
  • El derecho a solicitar del responsable del tratamiento el acceso a los datos personales relativos al interesado y su rectificación, supresión o la limitación de su tratamiento.

 

Ofrecer una política de privacidad y aviso de cookies

Todas las páginas web deben incluir una política de privacidad, una política de cookies, aviso legal y términos y condiciones de venta y contratación.

 

Realizar auditorias

Para evaluar si estás cumpliendo de manera adecuada la normativa, saber si las medidas de seguridad son suficientes y efectivas o hay algún problema o riesgo de incumplimiento que solucionar tendrás que realizar auditorías de manera periódica.

Además, la empresa estará obligada a informar a las autoridades reguladoras y a las personas afectadas en caso de una violación de datos.

 

¿Es obligatorio designar a un Delegado de Protección de Datos?

El artículo 37.1 del RGPD indica que será obligatorio designar a un Delegado de Protección de Datos cuando:

  • El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
  • Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance o fines, requieran una observación habitual y sistemática de datos personales a gran escala.
  • Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías de datos especiales como opiniones políticas.

¡Importante! Además, la Directiva UE Whistleblowing incluye otro caso:

Estarán obligadas a contar con un Delegado de Protección de Datos todas las empresas que tengan más de 50 trabajadores en su plantilla.

Asimismo, estarán obligadas a tener un Responsable de Protección de Datos:

  • Las empresas que realicen un tratamiento de datos de naturaleza especial, por ejemplo, aquellas compañías que traten datos sobre la salud.
  • Las empresas que requieran una observancia habitual y sistemática de datos de interesados a gran escala, por ejemplo, si tu compañía envía campañas de email después de obtener datos de usuarios.
  • Centros docentes privados.
  • Entidades que presten servicios de comunicaciones electrónicas.
  • Entidades aseguradoras.
  • Comercializadoras de energía.
  • Establecimientos financieros de crédito.
  • Actividades de publicidad y prospección comercial.
  • Empresas de seguridad privada.

En el caso de que tu empresa no esté obligada a tener un Delegado de Protección de Datos, no le exime de tener un responsable de privacidad.

Todas las empresas deberán designar la persona de la organización que se encargue de velar por la privacidad de los datos.

 

¿Qué debes hacer si se filtran datos personales en tu empresa?

Si se produce un escape de datos en tu compañía deberás notificarlo a la autoridad de control (AEPD) y también a los clientes que se vean afectados.

Después, tendrás que tomar medidas para solucionar el problema y para evitar que continúen filtrándose datos personales.

Tal y como recoge la Ley Orgánica 7/2021 la empresa deberá informar sobre cualquier violación de la seguridad de los datos personales a través del responsable del tratamiento a la autoridad de protección de datos competente.

La notificación deberá realizarse en el plazo de las 72 horas siguientes al momento en que se haya tenido constancia de ella y deberá incluir:

  • La naturaleza de la violación de la seguridad de los datos personales, incluyendo, cuando sea posible, las categorías y el número aproximado de personas afectadas, así como las categorías y el número aproximado de registros de datos personales afectados por la violación de la seguridad.
  • El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
  • Detallar las posibles consecuencias de la violación de la seguridad de los datos personales.
  • Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales.

 

Sanciones para tu empresa por no cumplir con la Protección de Datos en 2023

La cuantía de las sanciones por no cumplir con la protección de datos va a depender de la gravedad de la infracción. También dependerá del número de afectados, de la intención de la empresa y de si colabora o no con la AEPD mientras se esté investigando el caso.

La Ley Orgánica 3/2018, de 5 de diciembre ya incluyó un endurecimiento de las sanciones y posibilitó a la Agencia Española de Protección de Datos imponer sanciones de hasta el 4% de la facturación anual.

Además, integró responsabilidades de carácter civil, penal y laboral, en el caso de que se produzcan hechos graves.

Las sanciones pueden ser de 3 tipos:

  • Infracciones leves: pueden variar de entre 900 y 40.000 euros.
  • Infracciones graves: oscilan entre 40.001 y 300.000 euros.
  • Infracciones muy graves: varían entre los 300.001 y los 600.000 euros.

 

¿Es obligatorio contratar a una empresa de Protección de Datos?

No es obligatorio contratar a una empresa de Protección de Datos pero sí es recomendable. Desde Firmafy te recomendamos contactar con un profesional para evitar sanciones.

De esta manera, te asegurarás de cumplir la normativa y de estar al día de todas las novedades en materia de Protección de Datos.

¿Conocías tus obligaciones en materia de Protección de Datos? No olvides dejar tus comentarios más abajo, ¡nos encanta leerte!

Banner Firmafy

3 Comentarios

  1. Lucinio Herrero

    Es obligatorio que el Administrador de la Comunidad de propietarios (de vivienda ubicada en la Comunidad) NOS COBRE ANUALMENTE UN CARGO POR LA LEY DE PROTECCIÓN DE DATOS

    Responder
    • Vanesa González Paez

      Hola quisiera info para hacer la protección de datos

      Responder
      • Ana Esquivias

        Hola Vanesa, en el artículo te indicamos los pasos obligatorios para realizarlo, pero te recomendamos contactar con un profesional para resolver tus dudas. Un saludo.

        Responder

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *