Legal

Protección de Datos: los principales requerimientos para pymes y autónomos

Ya han transcurrido más de 4 años, desde que el día 25 de mayo de 2018, fuera plenamente aplicable Reglamento General de la Unión Europea de Protección de Datos (RGPD), un reglamento que supuso un nuevo paso en esta materia, al profundizar en la concienciación en el valor y seguridad de la información y los datos personales, fomentando la responsabilidad interna de los tratadores de datos personales, a la vez que se unificaban los criterios en esta materia en el ámbito político de la Unión Europea.

Sin embargo, son muchos autónomos y pymes quienes siguen iniciando su actividad económica y emprenden nuevos proyectos empresariales, debiendo contemplar la aplicación de la normativa relativa a la protección de datos. Así, esta vez, nos centraremos en los principales requerimientos para pymes y autónomos que puedan clasificarse con bajo riesgo.

 

Evaluación del Riesgo.

La primera labor que se ha de llevar a cabo al inicio de cualquier actividad económica es la evaluación del riesgo respecto del tratamiento de los datos personales que la misma va a implicar.

La categoría de datos que se van a recabar necesarios para el ejercicio de la actividad, la cantidad de los mismos que se van a tratar (a gran escala o no), los medios a través de los cuales se van a recabar, almacenar o custodiar, la accesibilidad de los mismos para el personal a cargo de la pyme son condicionantes que van a determinar la evaluación y clasificación del riesgo y del impacto para los derechos y libertades de las personas físicas y que en atención a los mismos se haya de establecer un nivel de seguridad adecuado al riesgo e impacto evaluado (art. 32 y 35 y siguientes del RGPD).

 

El Responsable del Tratamiento.

Basados en el principio de responsabilidad proactiva los autónomos y pymes tendrán que identificar a su Responsable del Tratamiento quien es aquella persona física o jurídica que solo o junto con otros determinará los fines y medios del tratamiento (art. 4.7 RGPD), debiendo aplicar todas aquellas medidas técnicas y organizativas que permitan garantizar y acreditar la licitud del tratamiento de datos personales (Art. 28 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales).

 

Licitud para el tratamiento de datos personales.

Un autónomo y pyme puede desarrollar múltiples relaciones comerciales, empresariales o profesionales en el desarrollo de su actividad que llevan implícito el tratamiento de datos personales. Así, la obtención del consentimiento del interesado se constituye en la fórmula básica elegida por el legislador para permitir el tratamiento de datos personales (art. 6.1 RGPD).

Es por lo anterior que, incluir los textos apropiados y suscribir los documentos necesarios para la obtención de dicho consentimiento, es fundamental, para que el tratamiento de datos personales sea lícito.

Las relaciones con clientes, proveedores, empleados, candidatos, empresas de servicios son algunas de las relaciones comerciales o profesionales que un autónomo o pyme puede iniciar y que implicarán un tratamiento de datos personales.

 

Ejercicio de los Derechos del Interesado.

El responsable del tratamiento de los datos personales ha de tomar las medidas oportunas para facilitar en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo al interesado el ejercicio de sus derechos, en especial, los derechos de acceso, cancelación, rectificación y oposición, así como el derecho al olvido, el derecho a la portabilidad de los datos y el derecho a la limitación de tratamiento.

El principio que se establece en el ejercicio de los derechos es que ha de ser tan fácil retirar el consentimiento como darlo (art. 7.3 in fine RGPD).

 

Registro de Actividades de Tratamiento.

Una de las principales preocupaciones para muchos autónomos y pymes fue precisamente como implementar sus actividades de tratamiento tras la desaparición de la inscripción obligatoria del fichero en la Agencia Española de Protección de Datos. Pues bien, la supresión de dicha obligación fue sustituida por la elaboración de un Registro de Actividades de Tratamiento que ha de incluir una información necesaria, como es la identidad del responsable, los fines del tratamiento, la categoría de los interesados en los datos personales, la categoría de datos personales recogidos, categoría de destinatarios o, en su caso, las transferencias de datos internacionales.

No obstante lo anterior, el art. 30.5 RGPD, establece una salvedad en virtud de la cual, la obligación del registro de actividades de tratamiento no será aplicable a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales a los que se refiere el RGPD en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales también referidos en el artículo 10 RGPD.

 

Los incidentes de seguridad.

Merecen especial consideración las violaciones de seguridad en el tratamiento de los datos personales, pues el responsable del tratamiento ha de notificarlas, sin dilación indebida y en un plazo máximo de 72 horas a la autoridad de control.

La notificación ha de incluir la naturaleza de la violación, número de afectados y número de registros afectados, los datos de contacto de quien pueda ampliar la información de la violación, las posibles consecuencias de la violación, así como las medidas adoptadas y propuestas por el responsable del tratamiento dirigidas a remediar y mitigar los efectos adversos de la violación en la seguridad de los datos personales (art. 33 RGPD).

La obligación de notificar la violación de la seguridad en los datos personales se extiende también a que la misma sea notificada al interesado cuando sea probable que conlleve un alto riesgo para los derechos y libertades de las personas físicas (art. 34 RGPD), si bien, el citado artículo 34 incluye una serie de salvedades que pueden evitar la comunicación al interesado, siempre que el responsable haya adoptado medidas que garanticen que el alto riesgo detectado no se concretará.