Protección de datos: cómo cumplir con la normativa

¿Qué hay que hacer para cumplir con la normativa de protección de datos?

1 – DEFINICIONES

1. 1.1 ¿Qué son los datos personales?
2. 1.2 El RGPD y la LOPD-GDD
3. 1.3 Algunas definiciones importantes

2 – ¿Cómo afectan estas normas a empresas y autónomos/as?

1. 2.1 Obligaciones de empresarios y autónomos/as en materia de Protección de Datos

3 – CONSECUENCIAS ECONÓMICAS DEL INCUMPLIMIENTO NORMATIVO

1. 3.1 Consecuencias económicas
2. 3.2 Potestad sancionadora de la AEPD

---

1) DEFINICIONES

 

1.1 ¿Qué son los datos personales?

Según el artículo 4 del RGPD, podemos definir un dato personal como
cualquier información relativa a una persona física identificada o identificable.

Entre otros, son datos personales: el nombre y apellidos, el domicilio, el DNI o NIE, la fecha de nacimiento, el sexo, el número de teléfono, el correo electrónico, el estado de salud, el estado civil, el número de la tarjeta de crédito o una titulación académica. También se incluyen:

• La voz
• La imagen
• La dirección IP
• La localización geográfica (GPS)
• Incluso, la matrícula del vehículo

Nota: Dentro de la definición de datos personales existe la categoría de datos especialmente sensibles (o “categoría especial”), que comprende: el origen racial o étnico, las opiniones políticas, las creencias religiosas, la afiliación sindical, la orientación o conducta sexual y los datos relativos a la salud. Estos datos tienen una protección especial.

1.2 El RGPD y la LOPD-GDD

El RGPD (Reglamento (UE) 2016/679) ha supuesto una novedad importantísima para la protección de datos en Europa, ya que establece una norma de máximo nivel jerárquico en toda la UE, haciendo que los derechos y obligaciones derivados sean aplicables directamente en todos los Estados miembro.

Este reglamento unifica el derecho a la protección de datos en la UE e impone obligaciones que se pueden resumir en los siguientes ámbitos:

1. Obligaciones de información: el responsable del tratamiento debe informar, al recoger datos personales, sobre una serie de cuestiones según lo estipulado en el artículo 13 del RGPD.
2. Obligaciones de contratación: es obligatorio celebrar un contrato con cada proveedor o colaborador (los “encargados” del tratamiento) que participe en el tratamiento de datos.
3. Obligaciones documentales y de seguridad: tanto el responsable como el encargado deben disponer de un Registro de Actividades de Tratamiento y de un Análisis de Riesgos. En determinados casos, se debe elaborar además una Evaluación de Impacto.
4. Obligaciones protocolarias: se debe contar obligatoriamente con dos protocolos: el de notificación de brechas de seguridad y el de gestión del ejercicio de derechos por parte de los interesados.

Finalmente, hay que destacar que algunas obligaciones de la anterior LOPD han desaparecido con el RGPD:

• Ya no se habla de “ficheros”, sino de “tratamientos”.
• No es necesario notificar ficheros ante la AEPD, aunque sí debemos documentar internamente análisis de riesgos y registros de tratamientos.
• El RGPD no impone un listado específico de medidas de seguridad, dejando a las empresas la responsabilidad de decidir qué medidas adoptar para minimizar los riesgos (principio de responsabilidad proactiva y de privacidad desde el diseño o privacy by design).

1.3 Algunas definiciones importantes

DATO PERSONAL

Toda información sobre una persona física identificada o identificable, o que pueda serlo directa o indirectamente a partir de esos datos (sería “el interesado”).

TRATAMIENTO DE DATOS

Cualquier operación o conjunto de operaciones, automatizadas o no, que impliquen la recogida o gestión de datos personales. Esto incluye su almacenamiento, archivo, manipulación, modificación, cesión, difusión, borrado o destrucción.

RESPONSABLE DEL TRATAMIENTO DE DATOS

Toda persona por cuenta de la cual se tratan los datos personales (por ejemplo, el/la director/a, gerente o administrador/a de una empresa).

ENCARGADO/A DEL TRATAMIENTO DE DATOS

Toda persona que trata datos personales por cuenta de un responsable (por ejemplo, un/a gestor o asesor).

---

2) ¿Cómo afectan estas normas a empresas y autónomos/as?

 

2.1 Obligaciones de empresarios y autónomos/as en materia de Protección de Datos

Las obligaciones derivadas de la normativa actual de protección de datos se pueden agrupar en los siguientes cinco campos:

• Política informativa: informar correctamente sobre la política de tratamiento de datos y privacidad en la página web, formularios, documentos en papel y otros medios (por ejemplo, SMS o WhatsApp).
• Política documental: definir y documentar las medidas de seguridad a implementar para minimizar los riesgos asociados a los tratamientos. Para ello:
  1. Contar con un Registro de Actividades de Tratamiento (RAT);
  2. Analizar y documentar los riesgos y las medidas de seguridad pertinentes;
  3. Elaborar, en determinados casos, una Evaluación de Impacto en la Protección de Datos (EIPD).

  Además, se pueden tomar como referencia normas como:

  • El Esquema Nacional de Seguridad
  • Las normas ISO 27001 e ISO 27005:2008
• Política contractual: firmar contratos entre el responsable y cada encargado del tratamiento, incluyendo las cláusulas obligatorias según el RGPD.
• Política de videovigilancia: si se dispone de un sistema de videovigilancia con captación (y, en su caso, grabación) de imágenes y/o voz, se debe informar mediante carteles y poner a disposición hojas informativas para los interesados, registrando este tratamiento en el RAT.
• Política protocolaria: establecer obligatoriamente dos protocolos: el de notificación de brechas de seguridad y el de gestión del ejercicio de derechos de los interesados.

Además, en algunos casos es obligatorio nombrar un/a Delegado/a de Protección de Datos (DPD o DPO, por sus siglas en inglés).

---

3) Consecuencias económicas del incumplimiento normativo

 

3.1 Consecuencias económicas

El RGPD establece dos grupos de infracciones (graves y leves), dejando a los Estados la regulación de un procedimiento sancionador que determine de forma precisa las infracciones y sanciones. La nueva LOPD-GDD clasifica las infracciones y sanciones en tres categorías: muy graves, graves y leves. Entre las infracciones consideradas muy graves se destacan:

1. El tratamiento de datos personales no necesarios, sin habilitación legal o con una finalidad distinta a la prevista.
2. El tratamiento de datos sin respetar los principios básicos de protección.
3. La falta de información a los afectados sobre el tratamiento de sus datos.
4. La vulneración del deber de confidencialidad.
5. La omisión en la atención del ejercicio de derechos por parte de los interesados.

Multas:

1. Para infracciones graves o muy graves: multas administrativas de hasta 20.000.000 € o el 4% del volumen de negocio anual de la empresa.
2. Para algunas infracciones graves y leves: multas de hasta 10.000.000 € o el 2% del volumen de negocio anual.

3.2 Potestad sancionadora de la AEPD

La AEPD puede iniciar un procedimiento sancionador de oficio (al detectar una infracción) o a raíz de una reclamación de un interesado. En caso de reclamación, la ley permite que la AEPD remita la misma al responsable, encargado o Delegado de Protección de Datos para que sea resuelta en un plazo de 1 mes.

Además de imponer multas administrativas, el RGPD otorga a la AEPD los siguientes poderes:

1. Sancionar con una advertencia.
2. Sancionar con un apercibimiento.
3. Realizar investigaciones en forma de auditoría.

Finalmente, es importante recordar que algunas infracciones en materia de protección de datos pueden ser constitutivas de delito según el Código Penal, con penas que incluso incluyen la privación de libertad.