Ya han transcurrido más de 3 años desde que el día 25 de mayo de 2018 fuera plenamente aplicable Reglamento General de la Unión Europea de Protección de Datos (RGPD). Este reglamento que supuso un nuevo paso en esta materia, al profundizar en la concienciación en el valor y seguridad de la información y los datos personales, fomentando la responsabilidad interna de los tratadores de datos personales, a la vez que se unificaban los criterios en esta materia en el ámbito político de la Unión Europea.
Sin embargo, son muchos autónomos y pymes quienes siguen iniciando su actividad económica y emprenden nuevos proyectos empresariales y deben contemplar por primera vez la aplicación de la normativa relativa a la protección de datos. Desde Legálitas, en este artículo, nos centraremos en los principales requerimientos para pymes y autónomos sobre la normativa de protección de datos que puedan clasificarse con bajo riesgo.
Evaluación del Riesgo
La primera labor que se ha de llevar a cabo al inicio de cualquier actividad económica es la evaluación del riesgo respecto del tratamiento de los datos personales que va a implicar esta actividad.
Algunos de los condicionantes que van a determinar la evaluación y clasificación del riesgo y del impacto para los derechos y libertades de las personas físicas son los siguientes:
- La categoría de datos que se van a recabar necesarios para el ejercicio de la actividad,
- La cantidad de los mismos que se van a tratar (a gran escala o no)
- Los medios a través de los cuales se van a recabar, almacenar o custodiar
- La accesibilidad de los datos para el personal a cargo de la pyme
En atención a estos datos, se ha de establecer un nivel de seguridad adecuado al riesgo e impacto evaluado (art. 32 y 35 y siguientes del RGPD).
El Responsable del Tratamiento de los datos
Basados en el principio de responsabilidad proactiva, los autónomos y pymes tendrán que identificar a su Responsable del Tratamiento. El responsable es aquella persona física o jurídica que solo, o junto con otros, determinará los fines y medios del tratamiento (art. 4.7 RGPD). Esta persona deberá aplicar todas aquellas medidas técnicas y organizativas que permitan garantizar y acreditar la licitud del tratamiento de datos personales (Art. 28 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales).
Licitud para el tratamiento de datos personales
Un autónomo o pyme puede desarrollar múltiples relaciones comerciales, empresariales o profesionales en el desarrollo de su actividad que llevan implícito el tratamiento de datos personales. Así, la obtención del consentimiento del interesado se constituye en la fórmula básica elegida por el legislador para permitir el tratamiento de datos personales (art. 6.1 RGPD).
Así, es fundamental incluir los textos apropiados y suscribir los documentos necesarios para la obtención de dicho consentimiento, para que el tratamiento de datos personales sea lícito.
Algunas de las relaciones comerciales o profesionales que un autónomo o pyme puede iniciar y que implicarán un tratamiento de datos personales son las siguientes:
- Clientes
- Proveedores
- Empleados
- Candidatos
- Empresas de servicios
- Etc.
Ejercicio de los derechos del interesado
El responsable del tratamiento de los datos personales ha de tomar las medidas oportunas para facilitar en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo al interesado el ejercicio de sus derechos.
En especial, debemos fijarnos en los derechos de:
- Acceso
- Cancelación
- Rectificación
- Oposición
- Derecho al olvido
- El derecho a la portabilidad de los datos
- Y el derecho a la limitación de tratamiento.
El principio que se establece en el ejercicio de los derechos es que ha de ser tan fácil retirar el consentimiento como darlo (art. 7.3 in fine RGPD).
Registro de actividades de tratamiento
Una de las principales preocupaciones para muchos autónomos y pymes fue precisamente cómo implementar sus actividades de tratamiento tras la desaparición de la inscripción obligatoria del fichero en la Agencia Española de Protección de Datos.
Pues bien, la supresión de dicha obligación fue sustituida por la elaboración de un Registro de Actividades de Tratamiento, que ha de incluir una información necesaria, como es:
- La identidad del responsable
- Los fines del tratamiento
- La categoría de los interesados en los datos personales
- La categoría de datos personales recogidos
- La categoría de destinatarios o, en su caso, las transferencias de datos internacionales.
No obstante, el art. 30.5 RGPD establece una salvedad, en virtud de la cual, la obligación del registro de actividades de tratamiento no será aplicable a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales a los que se refiere el RGPD en el artículo 9, apartado 1, (e.g. origen étnico o racial, opiniones políticas, datos biométricos, relativos a la salud, …) o datos personales relativos a condenas e infracciones penales también referidos en el artículo 10 RGPD.
Los incidentes de seguridad
Merecen especial consideración las violaciones de seguridad en el tratamiento de los datos personales, pues el responsable del tratamiento ha de notificarlas, sin dilación indebida y en un plazo máximo de 72 horas a la autoridad de control. La notificación ha de incluir:
- La naturaleza de la violación
- Número de afectados y número de registros afectados
- Los datos de contacto de quien pueda ampliar la información de la violación
- Las posibles consecuencias de la violación
- Así como las medidas adoptadas y propuestas por el responsable del tratamiento dirigidas a remediar y mitigar los efectos adversos de la violación en la seguridad de los datos personales (art. 33 RGPD).
La obligación de notificar la violación de la seguridad en los datos personales se extiende también a que sea notificada al interesado cuando sea probable que conlleve un alto riesgo para los derechos y libertades de las personas físicas (art. 34 RGPD). Aun así, el citado artículo 34 incluye una serie de salvedades que pueden evitar la comunicación al interesado, siempre que el responsable haya adoptado medidas que garanticen que el alto riesgo detectado no se concretará.
Juan Rubén de la Cruz Saugar | Abogado de Legálitas
LO DAMOS TODO POR TI