Beruflich Dokumente
Kultur Dokumente
Este resumen del Reglamento General de Protección de Datos trata de ser una guía
simplificada para que una pequeña empresa o autónomo sepa qué obligaciones en
materia de protección de datos debe cumplir y cómo. Sin embargo, el tema es lo
suficientemente complejo y la terminología específica que por mucho que nos hayamos
esforzado en simplificar, somos conscients de la dificultad de ello. La AGPD ofrece un
lista de verificación simplificada para pymes y micropymes (que traten datos personales
de bajo nivel, como ficheros de empleados, clientes y proveedores) que vamos a
enumerar e intentar simplificar:
1. ¿Qué base jurídica me ampara para el tratamiento de datos que estoy haciendo?
2. ¿Informo adecuadamente en mi página web, en contratos y demás soportes del
tratamiento de datos que realizo?
3. ¿Informo de los derechos y cómo ejercerlos en materia de protección de datos a
los interesados?
4. ¿Llevo un adecuado registro de actividades de tratamiento?
5. ¿Uso las medidas de seguridad adecuadas al nivel de riesgo de los datos que
manejo?
6. ¿Tengo firmado un contrato de encargo con todos los encargados de tratamiento
(asesorías, gestorías, colaboradores…)?
Ámbito de aplicación del RGPD
“El consentimiento debe darse mediante un acto afirmativo claro que refleje una
manifestación de voluntad libre, específica, informada, e inequívoca del interesado
de aceptar el tratamiento de datos de carácter personal que le conciernen, como una
declaración por escrito, inclusive por medios electrónicos, o una declaración verbal.
Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros
técnicos para la utilización de servicios de la sociedad de la información, o cualquier
otra declaración o conducta que indique claramente en este contexto que el interesado
acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las
casillas ya marcadas o la inacción no deben constituir consentimiento. El
consentimiento debe darse para todas las actividades de tratamiento realizadas con el
mismo o los mismos fines.”
El tratamiento de datos de carácter persona debe ser lícito y leal. Toda comunicación e
información al respecto debe ser transparente, de fácil acceso, utilizando un lenguaje
claro y sencillo (ver guía del cumplimiento del deber de informar). Los fines del
tratamiento deben comunicarse en el momento de recoger los datos, que deben ser
adecuados, pertinentes y limitados a lo necesario para los fines comunicados.
Cuando se obtengan datos del interesado, por ejemplo en un formulario web, hay que
informarle, entre otras cuestiones, de:
1. la identidad y los datos de contacto del responsable y, en su caso, de su representante;
2. los datos de contacto del delegado de protección de datos, en su caso;
3. los fines del tratamiento a que se destinan los datos personales y la base jurídica del
tratamiento;
Datos sensibles
Son datos que merecen una especial protección y que una empresa jamás debería
recabar sin el debido amparo legal:
El interesado debe poder ejercer gratuitamente y por medios electrónicos sus derechos
de acceso, rectificación o supresión, así como el de oposición (Derechos ARCO). El
responsable de tratamiento de la empresa debe contestar al interesado en un plazo no
superior a un mes.
“El interesado debe tener derecho a no ser objeto de una decisión, que puede incluir una
medida, que evalúe aspectos personales relativos a él, y que se base únicamente en el
tratamiento automatizado y produzca efectos jurídicos en él o le afecte
significativamente de modo similar, como la denegación automática de una solicitud de
crédito en línea o los servicios de contratación en red en los que no medie intervención
humana alguna.”
El responsable del fichero o del tratamiento de los datos personales es, según la
AGPD, persona física o jurídica, de naturaleza pública o privada, u órgano
administrativo, que decida sobre la finalidad, contenido y uso del tratamiento, aunque
no lo realizase materialmente (la empresa o entidad que recaba datos personales y los
gestiona). Ver guía resumen del Reglamento General de Protección de Datos.
Con las empresas que tenemos una relación jurídica y les pasamos datos personales (los
encargados de tratamiento) hay que asegurarse que cumplen con el RGPD y tener
firmados los contratos correspondientes (ver guía de contratos). Una vez finalizado el
tratamiento el encargado del tratamiento debe, a elección del responsable, devolver o
suprimir los datos personales, salvo que haya alguna Ley que le obligue a conservarlos.
El contenido mínimo de dichos contratos entre responsable y encargados es:
Dependiendo del nivel de riesgo de los datos que manejamos, deberemos aplicar
determinadas medidas técnicas y organizativas para garantizar la integridad de la
información, entre otras:
Serían situaciones del tipo pérdida de un ordenador con datos personales, acceso no
autorizado a los datos tratados por la empresa o entidad o el borrado accidental de datos
personales. El responsable debe notificar la quiebra de seguridad en un máximo de 72
horas a la autoridad de supervisión pertinente. De momento y hasta que se implemente
un formulario estandarizado a nivel europeo, las notificacions se hacen aquí.
No debería ser la razón fundamental para preocuparnos por la buena gestión de los datos
que manejamos, pero sin duda es un tema que hay que tener en cuenta: las sanciones por
incumplir el Reglamento. El artículo 83 reseña las condiciones generales para la
imposición de multas administrativas, moduladas según cada caso individual, agravadas
o atenuadas según la naturaleza, gravedad y duración de la infracción, la intencionalidad
o negligencia, las medidas tomadas para paliar los daños y perjuicios sufridos por los
interesados, el grado de responsabilidad, existencia de infracciones anteriores. grado de
cooperación con la autoridad, tipo de datos afectados, entre otras circunstancias.