Protección de datos para empresas: actualizaciones legislativas

Aunque ha sido en los últimos tres años cuando se ha puesto el foco en la obligación de cumplir con la protección de datos para las empresas, esta obligatoriedad está vigente desde 1999, con la primera Ley de Protección de Datos de Carácter Personal en la que incluso ya se establecían las primeras sanciones por incumplimiento para las empresas. Sin embargo, la cambiante realidad tecnológica ha impuesto una serie de actualizaciones legislativas. ¿Cómo evitar que una empresa sea sancionada por la Ley de Protección de Datos? ¿Quiénes están obligados? ¿Hasta qué punto? En tugesto te explicamos las últimas novedades en materia de protección de datos para empresas y cómo saber si se están cumpliendo o no. 

Actualmente, las leyes que rigen el derecho a la protección de los datos de los ciudadanos ante las empresas y organismos públicos y la Sociedad de la Información y Telecomunicaciones son:

1. 1. Protección de datos

• • REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

• • Corrección de errores del Reglamento (UE) 2016/679 del Parlamento europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). 4 de marzo de 2021.

• • Corrección de errores del Reglamento (UE) 2016/679 del Parlamento europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). 23 de mayo de 2018.

2. 2. Sociedad de la información y telecomunicaciones

• • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

• • Ley 9/2014, de 9 de mayo. General de Telecomunicaciones.

Principio de responsabilidad proactiva 

Tal y como recoge el Art.5.1 del Reglamento UE/2016/679, “El principio de responsabilidad proactiva exige una actitud: consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo”. Esto implica que las empresas y los delegados o designados como responsables deben mantener una vigilancia y una acción constantes, consistente en una serie de tareas y obligaciones que se incluyen en la Evaluación de Impacto de Protección de Datos.

¿Qué debe incluir? Desde el análisis de riesgo de vulneración del derecho a la protección de datos, investigando y definiendo tanto los ficheros, su finalidad y quién tiene acceso, así como, la posibilidad de pérdida de seguridad, su impacto y cómo actuar para mitigar el riesgo o minimizar las consecuencias. 

Obligaciones para cumplir con la Ley Protección Datos para empresas

En este sentido, la redacción de la normativa vigente es muy clara: la ley orgánica de protección de datos es obligatoria para toda empresa o autónomo que recoja datos de personas físicas. ¿A qué obliga exactamente? 

Consentimiento de los afectados por el uso de sus datos, y que ha de ser inequívoco y no tácito. Esta obligación puede ejecutarse tanto como con un clic en la casilla como en la firma del documento correspondiente. 

Así, según la RGPD, este consentimiento debe ser libre e informado. A través de él, el interesado acepta el uso y tratamiento de sus datos personales para la finalidad para la que ha dado su consentimiento en las condiciones firmadas. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.

En el caso de que se produzca una brecha o violación de seguridad, y esta afecte a datos personales, se ha de informar a los afectados, como a la AEPD, del alcance y de aquellas medidas técnicas y organizativas que se están tomando. 

Establecer nuevas cláusulas e información para el cliente. De esta forma, el interesado debe tener claro quién está a cargo de la seguridad y privacidad de sus datos, cómo se están tratando y para qué. Asimismo, debe ofrecer al usuario una vía fácil y accesible para ejercitar sus derechos respecto de los datos personales compartidos con la empresa, y con información clara y precisa del tiempo o plazo de conservación de los datos.

Definir la figura del Delegado de Protección de Datos, obligatoria para aquellas actividades profesionales que recopilan gran volumen de datos o bien estos sean catalogados como sensibles. 

Ficheros que identifiquen cada actividad de tratamiento de los datos de carácter personal. Cada tratamiento debe contar con su fichero correspondiente. 

La formación, la vigilancia activa y disponer de un Documento de Seguridad que resuma todo lo que afecta al tratamiento y protección de datos para empresas, son claves. 

Recuerda que la ley de protección de datos en las empresas es de obligatorio cumplimiento. 

Infracciones y sanciones comunes en materia de protección de datos para empresas

La Agencia Española de Protección de Datos es el órgano encargado de velar por el cumplimiento de la norma y con potestad sancionar si una empresa no está operando con sus datos según la legislación vigente.

¿Cuáles son las infracciones y sanciones más habituales en las empresas por no adoptar la Ley de Protección de Datos y Derechos Digitales?

• • Enviar documentación con datos personales de un cliente a otro cliente.

• • Deshacerse de documentación sensible indebidamente. 

• • El envío de publicidad a través del mail sin consentimiento previo.

• • Ausencia de Delegado de Protección de Datos en el caso de que sea obligatorio.

Las sanciones que ha impuesto la AEPD se basan en el alcance de la infracción y sus potenciales consecuencias para los afectados, con multas económicas desde los 1.800 euros a los 50.000 euros. 

A quién y cómo afecta el RGPD 

La normativa de protección de datos para empresas afecta a todas las entidades, independientemente de su tamaño o país de origen desde el momento en el que se tratan datos personales de ciudadanos europeos. De lo contrario, se convertirán en empresas sancionadas por la Ley de Protección de Datos y Derechos Digitales. 

Dicho tratamiento afecta a la recopilación, acceso, almacenamiento, manipulación, consulta y destrucción de los datos del ciudadano. Además desde mayo de 2018, fecha en la que entró en vigor, cualquier empresa privada que haga un tratamiento a gran escala de datos, así como, todas las empresas del sector público están obligados por ley a contar con un Delegado de Protección de Datos.

Trabajar con externos

El Responsable de los datos personales debe realizar la supervisión y monitorización del cumplimiento de los derechos digitales de clientes, proveedores y empleados de una organización. Esta gestión se puede delegar en una persona de la organización o en un tercero experto en la materia. 
Contar con una empresa especializada en protección de datos como tugesto garantiza un especialista en la materia, gracias a nuestro software para la lopd, que ayudará a evitar ser una de las empresas sancionadas por la Ley de Protección de Datos que comprende el alcance del hecho de que la ley de protección de datos es de obligado cumplimiento para las empresas.