¿Qué son y qué importancia tienen los datos personales?
¿Qué obligaciones tengo como organización respecto a los datos de carácter personal?
¿Qué ocurre si no cumplo con la normativa? ¿Qué puedo hacer si ya me han sancionado?
¿Qué son y qué importancia tienen los datos personales?
Los datos personales son conocidos como el nuevo petróleo del siglo XXI, un negocio en alza y por tanto también una obligación de gestión para las empresas y entidades públicas. No vale tratarlos de cualquier forma y debemos tener en cuenta que ciertas infracciones de la normativa pueden conllevar sanciones económicas millonarias.
Por ello, si tu organización trata de alguna manera algún dato de carácter personal (de clientes, trabajadores, etc.) es necesario tener en cuenta el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD-GDD), que es la normativa aplicable a la materia. Este artículo tiene como objetivo explicar algunos aspectos fundamentales de ambas normas y ayudarte así en la buena marcha de tu organización y empresa, acercándote los puntos fundamentales que debes saber sobre la normativa de protección de datos de carácter personal, el RGPD y la LOPD-GDD.
Pero, ¿cómo sé si mi empresa está tratando algún dato de carácter personal o no? Pues bien, para empezar, si tienes clientes, la respuesta va a ser casi siempre que sí.
El RGPD define como dato personal, toda aquella información sobre una persona física identificada o identificable (“el interesado”). Además, se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. Es decir, estamos ante una definición muy amplia, en tanto en cuanto se establece que la persona puede ser identificada tanto directa como indirectamente, y porque el propio concepto nos habla de que será dato, toda aquella información sobre una persona física: datos de localización un identificador en línea, un nombre….
Y estos datos son los que las empresas no pueden tratar de cualquier manera, ya que existen unas obligaciones legales a cumplir y evitar multas y problemas de reputación garantizando el derecho a la intimidad de los interesados.
Cabe mencionar que las normas citadas, ambas aplicables desde el año 2018, vienen a garantizar un derecho fundamental de la Constitución Española que es el derecho a la intimidad. Entre sus novedades se encuentra la incorporación del derecho al olvido y la necesidad de obtener consentimiento para el tratamiento de datos. También recoge una serie de principios aplicables.
¿Qué obligaciones tengo como organización respecto a los datos de carácter personal?
De manera general, conviene analizar la responsabilidad de la organización con el siguiente esquema: entrada (los datos que acceden a la organización), uso (para qué se utilizan) y salida (si se ceden a terceros). Además, conviene aclarar que no sólo se trata de cumplir la normativa, hay que ser capaz de demostrar que efectivamente se está cumpliendo.
Más concretamente, las empresas y demás organizaciones deben adoptar medidas de responsabilidad proactiva. Y entre ellas, existe la obligación de realizar una valoración del riesgo de los tratamientos que realicen para poder determinar qué medidas se van a adoptar y cómo. Se deben tener en cuenta el tratamiento de datos sensibles, número de personas, elaboración de perfiles…
También deberán llevar un registro de tratamiento de datos respecto a cuestiones como nombre y datos del responsable de tratamiento o del Delegado de Protección de Datos; la finalidad del tratamiento; la descripción de categorías de interesados y categorías de datos personales tratados y la transferencia internacional de datos.
Además, es necesario tomar medidas desde un inicio sobre organización y técnicas respecto a la cantidad de datos tratados, extensión, periodos de conservación y la accesibilidad de datos (Protección de Datos desde el Diseño y por Defecto).
Las medidas de seguridad se establecen en función de los riesgos detectados y no sólo según los datos objeto de tratamiento. Otra obligación existente es la de avisar a la autoridad de protección de datos competente si hay probabilidad de riesgo para los derechos y libertades de los afectados en el plazo de 72 horas. También se realizará una evaluación de Impacto sobre la Protección de Datos y se designará un Delegado de Protección de Datos (DPD en adelante) en aquellos casos que establezca la ley. De todas maneras, aún en los casos donde no es obligatoria la designación, es muy recomendable como medida de responsabilidad proactiva.
Este DPD tiene entre sus funciones encomendadas tareas de información y asesoría a los trabajadores sobre protección de datos, supervisión, cooperación con la autoridad de control y en ocasiones actuar como punto de contacto de estos para cuestiones relativas al tratamiento de datos.
Los derechos que hay que respetar por parte de las organizaciones son los famosos antiguos Derechos Arco, que se amplían con la nueva regulación del Reglamento en 2018, pasando a ser así más garantistas.
Otra de las cuestiones fundamentales es gestionar de manera adecuada las relaciones con los encargados de tratamiento. Por un lado, los encargados tienen la obligación de mantener un registro de actividades de tratamiento de datos, determinar las medidas de seguridad aplicables y designar un Delegado de Protección de Datos en los supuestos explicados anteriormente.
¿Y cómo se escoge al encargado del tratamiento? Pues bien, el criterio de la ley se limita a decir es que se elegirán aquellos que ofrezcan garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas. El contrato no podrá tener remisiones genéricas a la ley y su contenido mínimo se regula de forma minuciosa.
¿Qué ocurre si no cumplo con la normativa? ¿Qué puedo hacer si ya me han sancionado?
El incumplimiento de estas medidas puede acarrear multas muy altas dependiendo de la gravedad de la infracción cometida. Cabe mencionar que el régimen sancionador se aplica a los responsables y encargados del tratamiento, no al delegado de protección de datos.
Es importante siempre adoptar las medidas correctoras y preventivas adecuadas para evitar la sanción.
Aunque es cierto que la normativa es mucho más extensa y compleja, esperamos que este artículo te haya servido para hacerte una idea de las obligaciones a las que estás sujeto.
Si tienes alguna duda, puedes consultarnos sin compromiso.
Imagen: Imagen de Pexels en Pixabay