Datos personales y empresas: claves para garantizar la protección de datos

La protección de datos personales es una actividad cada día más regulada y que impone fuertes desafíos a todos aquellos que realizan actividades para las que reciben información de personas físicas. La normativa reciente aprobada en el marco de la Unión Europea se suma a las ya rigurosas regulaciones españolas y establece la necesidad de adoptar acciones en materia de tratamiento, seguridad y derechos de los usuarios.

Si formas parte de una empresa, te recomendamos leer esta guía sobre las principales acciones que deben tomar las empresas para garantizar la seguridad y el cumplimiento de la normativa sobre datos personales.

Las empresas en la LOPD

Las dos normas más importantes que rigen en España las actividades relacionadas con datos personales son: (i) la Ley Orgánica de Protección de Datos de Carácter Personal, aprobada en 1999; y (ii) el Reglamento General de Protección de Datos Personales, aprobado por la Unión Europea en 2016 y de aplicación efectiva a partir del 25 de mayo de 2018.

Tanto la LOPD como el Reglamento General europeo contienen cláusulas que afectan, directa o indirectamente, a la actividad de las empresas que realicen el tratamiento de los datos personales (es decir, que reciban información personal por parte de clientes, proveedores, empleados, etc.).

Comenzamos refiriéndonos a la Ley Orgánica española, vigente desde 1999. ¿En qué modo afecta a las empresas? ¿Cómo deben cumplir con sus disposiciones? Debes conocer, como mínimo, las siguientes obligaciones:

1. Empresas afectadas

Todas, de cualquier tamaño e independientemente de la actividad que realicen, siempre que reciban datos de carácter personal por parte de personas físicas. También los autónomos están obligados a cumplir con esta ley, si tratan con información personal.

2. Calidad de los datos

Los datos que la empresa requiera a las personas físicas deben ser adecuados y no excesivos, considerando la actividad de la empresa y finalidad de la recogida de datos. Por poner un ejemplo algo excesivo, cuando se solicitan datos personales a una persona que contrata una línea de teléfono móvil, no hay razones para solicitarle información sobre su estado de salud o militancia sindical.

Cuando los datos personales dejan de ser pertinentes para la finalidad por la que fueron recogidos, deben ser cancelados. Es decir, deben ser eliminados de la base de datos.

3. Derecho de información

Cuando se soliciten a una persona sus datos personales, se le deberá informar de forma clara de lo siguiente:

– Existe una base de datos o un fichero, la empresa realiza el tratamiento de datos personales, la finalidad de la recogida de los datos y quiénes son los destinatarios de esa información.

– La persona no tiene la obligación de contestar las preguntas que se le realicen sobre su información personal.

– Las consecuencias de suministrar sus datos personales o negarse a aportarlos.

– La posibilidad de ejercer sus derechos de acceso, rectificación, cancelación u oposición.

– La identidad y dirección del responsable del tratamiento o de su representante.

4. Deber de secreto

Quienes intervengan en el tratamiento de datos personales están obligados al secreto profesional respecto de estos.

5. Seguridad de los datos

Las empresas están obligadas a adoptar medidas que garanticen la seguridad de los datos personales almacenados y prevenir su pérdida, alteración o acceso a terceros no autorizados.

Empresas: acciones para la protección de datos en el RGPD

En este apartado, nos vamos a centrar en los cambios y acciones que deben adoptar las empresas a la luz del nuevo Reglamento General Europeo, vigente a partir del próximo mes de mayo.

El RGPD ha introducido o reforzado principios, derechos y requerimientos en materia de datos personales. No deroga a la LOPD, sino que modifica sus normas, en lo que sea incompatible, y complementa o refuerza las cuestiones compatibles.

Veamos ahora las principales acciones para la protección de datos que deberán adoptar las empresas, a la luz del Reglamento General.

Principios y derechos

Toda empresa deberá ajustar sus actividades relacionadas con datos personales a tres nuevos principios: (i) responsabilidad o actitud proactiva y diligente, (ii) protección por defecto y desde el diseño y (iii) portabilidad.

Además, se reconocen nuevos derechos en favor de los usuarios, amén de los tradicionales derechos ARCO (Acceso, Rectificación, Cancelación y Oposición). Estos nuevos derechos son: transparencia, derecho al olvido, limitación y portabilidad.

Notificación de los ficheros

Ha desaparecido la obligación de notificar la existencia de bases de datos personales ante la Agencia Española de Protección de Datos. De acuerdo con la LOPD, las empresas debían notificar los ficheros, su nombre, el titular y la descripción, entre otra información.

Menores de edad

A partir de la vigencia del Reglamento General, las empresas no podrán ofrecer servicios de la sociedad de la información a menores de 16 años, sin el consentimiento de sus padres o tutor. Las leyes nacionales podrán establecer una edad inferior, pero en ningún caso menor de 13 años.

Notificación de las brechas de seguridad

Los fallos o ataques a sistemas informáticos que involucren pérdida, alteración o acceso no autorizado a datos personales deberán ser notificados a la autoridad de control, cuando el hecho pueda significar un riesgo para los derechos fundamentales y libertades de las personas físicas. El evento debe reportarse dentro de las 72 horas, desde que se tuvo constancia de él.

El procedimiento, en caso de brecha de seguridad, es el siguiente: (i) registro interno del evento y descripción de la fecha y los sistemas afectados, (ii) evaluación sobre el posible riesgo para los derechos y libertades de las personas y (iii) notificación a la AEPD. Debe realizarla el responsable del tratamiento o, si la empresa cuenta con él, el responsable de seguridad o el delegado de protección (mira el siguiente apartado).

Otra de las acciones para la protección de datos: la figura del delegado creada por el RGPD

Esta figura es creada por el Reglamento General. Se trata de personas con conocimiento, experiencia y formación previa en datos personales y que actúan de forma independiente a la autoridad de control. Deberán ser, obligatoriamente, designados en organismos públicos y también en empresas, cuando estas realicen el tratamiento de grandes cantidades de datos.

El delegado cumple funciones de monitoreo, vigilancia y asesoramiento.

Estas son las principales novedades para las empresas en materia de protección de datos. Para contar con mayor información, te sugerimos que revises el texto completo del RGPD. Puedes hacerlo desde este link.


Estaremos encantados de hablar contigo

Somos ClickDatos Seguridad de la Información SL. Consulte sus derechos y el tratamiento de sus datos en nuestra Política de Privacidad
Scroll al inicio