Cumplir con la ley de protección de datos para empresas: Obligaciones y cómo adaptarse al RGPD

Autor: Dudatis.com

Cumplir con la ley de protección de datos para empresas: Obligaciones y cómo adaptarse al RGPD

¿No sabes qué obligaciones tienes para cumplir la ley de protección de datos para empresas? De lo contrario, hay importantes sanciones en el caso de que no cumplamos esta normativa. Si estás perdido en este tema, no te preocupes, en unos sencillos pasos te explicaré todo lo que debes hacer para adaptar tu empresa al RGPD y cumplir con las obligaciones de la LOPD.

Obligaciones de una empresa para cumplir con la ley de protección de datos

La Ley de Protección de datos para empresas señala el cumplimiento de una serie de obligaciones a la hora de llevar a cabo actividades de tratamiento de datos personales. A continuación, resumimos las principales obligaciones que deben contemplar las empresas de acuerdo a la LOPD.

Registro de actividades de tratamiento

Este registro de actividades de tratamiento se regula en el artículo 30 del RGPD y en el artículo 31 de la LOPDGDD. El registro es un documento con fines de inventario y análisis, que debe reflejar la realidad del procesamiento de datos personales de la empresa. Además de ser una obligación, el registro es una herramienta de control interno y una forma de demostrar el cumplimiento con el RGPD y con la ley de protección de datos de las empresas. Te permite documentar tu procesamiento de datos y saber qué preguntas debes hacerte antes y mientras procesas los datos: ¿realmente necesito ciertos datos para este procesamiento específico? ¿Es relevante retener todos estos datos durante tanto tiempo? ¿Están los datos suficientemente protegidos? La creación y actualización del registro son ocasiones para identificar y jerarquizar los riesgos de procesamiento a la luz del RGPD. Este paso esencial te permitirá delinear un plan de acción de tu procesamiento que cumpla con las reglas de protección de datos.

Contenido:

  • Datos de contacto del responsable, encargado, sus representantes y del Delegado de Protección de Datos, en su caso.
  • Finalidades de ese tratamiento.
  • Tipos de interesados y de datos personales.
  • Destinatarios de las cesiones de esos datos.
  • Si van a realizarse transferencias internacionales.
  • Plazos de conservación de los datos.
  • Medidas de protección de datos personales técnicas y organizativas que se van a implantar.

Información a los interesados

El RGPD incrementa la información que debemos facilitar a los interesados en el momento de recabar sus datos personales. De acuerdo a la ley de protección de datos, es obligatorio para las empresas informar sobre:

  • Identidad del responsable.
  • Fines del tratamiento.
  • Destinatarios de los datos.
  • Consecuencias de no facilitar la información.
  • Derechos de los interesados: acceso, rectificación, supresión, limitación, portabilidad, y oposición.
  • Base jurídica del tratamiento.
  • Plazo de conservación de los datos.
  • Identidad del DPO, en caso de que exista.
  • Si van a realizarse transferencias internacionales.

Consentimiento para el tratamiento

«Con el RGPD el consentimiento del interesado para poder tratar sus datos personales debe ser expreso. La manifestación del consentimiento debe ser inequívoca, a través de una declaración o un acto afirmativo claro». Los consentimientos obtenidos con anterioridad a la fecha de aplicación del RGPD solo seguirán siendo válidos si se obtuvieron respetando los criterios fijados por el propio Reglamento. El RGPD y la LOPDGDD establecen claramente que el consentimiento debe ser inequívoco e implicar una acción afirmativa clara (una aceptación). Se prohíben específicamente las casillas opcionales marcadas previamente. También requiere opciones de consentimiento distintas (‘granulares’) para distintas operaciones de procesamiento. El consentimiento debe estar separado de otros términos y condiciones y, en general, no debe ser una condición previa para suscribirse a un servicio. De cara a cumplir con la ley de protección de datos, las empresas deben mantener registros claros para demostrar el consentimiento de sus clientes o usuarios. El RGPD otorga un derecho específico a retirar el consentimiento. Se debe informar a las personas sobre su derecho a retirar su consentimiento y ofrecerles formas fáciles de hacerlo en cualquier momento».

Contratos con encargados del tratamiento

Con cualquier tercero al que cedamos datos personales para la prestación de algún servicio es necesario firmar un contrato para regular el tratamiento de los datos. Esto incluye a las empresas de protección de datos que podamos contratar para que lleven a cabo el tratamiento de los datos personales de nuestros clientes y proveedores. El RGPD establece que los contratos escritos entre responsables y encargados del tratamiento son un requisito, en lugar de una simple forma de demostrar el cumplimiento de las medidas de seguridad apropiadas por los encargados. Estos contratos ahora deben incluir términos mínimos específicos. Estos términos están diseñados para garantizar que el procesamiento realizado por un encargado cumpla con todos los requisitos del RGPD, no solo los relacionados con la seguridad de los datos personales. Cada vez que un responsable utiliza un encargado para procesar datos personales en su nombre, debe existir un contrato escrito entre las partes. De manera similar, si un encargado utiliza otra organización o empresa de protección de datos (es decir, un subencargado) para ayudarlo a procesar datos personales para un responsable, debe tener un contrato escrito con ese subencargado. Los contratos entre responsables y encargados del tratamiento aseguran que ambos entienden sus obligaciones, responsabilidades y obligaciones. Los contratos también les ayudan a cumplir con el RGPD y ayudan a los responsables a demostrar a las personas y a los reguladores su cumplimiento según lo exige el principio de responsabilidad. En el contrato se especificarán las instrucciones del responsable del tratamiento al encargado en relación con las medidas de seguridad a aplicar, si va a realizarse o no subcontratación, cláusula de confidencialidad de datos en las empresas y la obligación de notificar los incidentes de seguridad, entre otros aspectos.

Análisis de riesgos

Todas las empresas deberán realizar un análisis de riesgos tanto informáticos como de seguridad lógica e implantar las soluciones para evitar, bloquear o neutralizar esos ataques. Estos análisis deben ser periódicos y siempre que se produzcan modificaciones tecnológicas en la empresa. Estas revisiones se basan en: identificar amenazas, evaluar los riesgos y tratar los riesgos. Es importante estar al día de las amenazas digitales, no estarlo no exime a las empresas de su responsabilidad en la protección de datos.

Evaluación de impacto en Protección de Datos

Esta es una parte clave del enfoque en la responsabilidad y la protección de datos por diseño de las empresas. Algunas organizaciones ya realizan evaluaciones de impacto de privacidad como una buena práctica. Si es así, el concepto te resultará familiar, pero aún debes revisar tus procesos para asegurarte de que cumplan con los requisitos del RGPD. Las EIPD ahora son obligatorias en algunos casos, y existen requisitos legales específicos para el contenido y el proceso. Si aún no tienes un proceso de evaluación de impacto en protección de datos, debes diseñarlo e integrarlo en tus políticas y procedimientos. También debes revisar tus operaciones de procesamiento existentes y decidir si necesitas hacer una EIPD para cualquier cosa que pueda ser de alto riesgo. Cuando el tratamiento que realiza una empresa, por su naturaleza, alcance o fines, entrañe un alto riesgo para los derechos y libertades de las personas debe realizarse una Evaluación de Impacto. Las empresas obligadas a hacer esta EIPD son: empresas que realicen un tratamiento automatizado como elaboración de perfiles, aquellas cuyas actividades consisten en un tratamiento a gran escala de datos sensibles o relativos a condenas o infracciones penales, y si realizan un tratamiento sistemático a gran escala de zonas de acceso público.

Delegado de Protección de Datos

Esta normativa europea introduce una figura de la que todo el mundo habla y es el Delegado de Protección de Datos. Será el encargado de supervisar en las empresas el cumplimiento de la Ley de Protección de Datos y de comunicarse con la AEPD. No todas las empresas necesitan un DPO. Solo será obligatorio en los siguientes casos: si se trata de Entidades u organismos públicos, cuando el tratamiento consista en realizar un seguimiento regular y sistemático del interesado a gran escala, y empresas que realicen tratamientos a gran escala de categorías especiales de datos. Las empresas no incluidas en esa clasificación pueden también nombrar un DPO si lo desean.

Notificación de incidentes de seguridad

Se trata de una de las principales novedades introducidas por el RGPD. Significa que, en caso de producirse una fuga de datos, el responsable del tratamiento tiene la obligación de comunicar la brecha de seguridad a la autoridad de control competente y a los afectados. «Se deben notificar las incidencias de seguridad que impliquen una violación de datos personales sin demora injustificada y en un plazo máximo de 72 horas después de que haya tenido constancia de ella». El contenido de esa comunicación debe incluir el número de afectados y tipo de datos, las circunstancias en las que se ha producido, las posibles consecuencias de esa violación y las medidas adoptadas para reducir los posibles efectos.

Textos legales para la web

Si tienes una página web o comercio online, debes incluir unos textos legales exigidos por la normativa de protección de datos y por la LSSI. Estos textos son:

  • Política de privacidad: es un documento que informa a los visitantes de tu sitio qué información recopilas y qué haces con ella.
  • Aviso legal: es el texto en el cual se establece quién es el propietario de la página web y sus datos de contacto.
  • Política de cookies: es una sección de la política de privacidad dedicada a las cookies.
  • Términos y condiciones: son un acuerdo que establece las reglas que tú y tus clientes seguiréis en una tienda de comercio electrónico.

Videovigilancia

En caso de tener instaladas o pensar en instalar cámaras de videovigilancia, de cara a la protección de datos, las empresas deben cumplir una serie de requisitos. Entre ellos se encuentran informar a los clientes y empleados de esas grabaciones a través del correspondiente cartel, no grabar espacios íntimos, como baños o vestuarios, ni la vía pública, y guardar esas imágenes como máximo durante 30 días.

¿Necesitas cumplir con el RGPD?

Si tienes una empresa, sea del sector que sea, y necesitas cumplir con la ley de protección de datos, te podemos ayudar. Contamos con especialistas en protección de datos que podrán asesorarte y adaptar tu empresa al RGPD. Algunos de los sectores que cubrimos son: abogados, asesorías, agencias de viajes, transportes y logística, comercio, centros educativos, hoteles, inmobiliarias, empresas informáticas, telecomunicaciones, construcción e ingeniería, asociaciones, ocio y tiempo libre, fisioterapeutas, clínica dental, óptica, farmacia, psicólogos, aseguradoras, sector energético, centros de estética y peluquería, residencia de ancianos, administradores de fincas, detectives privados, fotógrafos, gimnasios y centros deportivos, clínicas veterinarias, entidades financieras y de crédito, marketing y publicidad, sindicatos y talleres.

Preguntas frecuentes sobre empresas y protección de datos

¿Puedo cumplir con la ley de protección de datos en mi empresa gratis?

Existen empresas que ofrecen servicios freemium de protección de datos, pero es importante tener en cuenta que cumplir con la ley de protección de datos implica la implementación de medidas técnicas y organizativas específicas, además de la adaptación de procesos internos. Por eso, es recomendable contar con el asesoramiento de expertos en protección de datos para garantizar el cumplimiento total.

¿Son legales las empresas que ofrecen servicios freemium de protección de datos?

Las empresas que ofrecen servicios freemium de protección de datos tienen sus propios modelos de negocio y están legalmente constituidas. Sin embargo, es importante leer detenidamente sus condiciones de uso y política de privacidad para comprender qué servicios se ofrecen de forma gratuita y cuáles son de pago.

¿Por qué contratar a una empresa que me ayuda a adaptarme a la LOPD?

Contratar a una empresa especializada en protección de datos te garantiza que cumplirás con todas las obligaciones establecidas por la ley de protección de datos para empresas. Además, contar con el apoyo de expertos te ahorrará tiempo y esfuerzo, ya que ellos se encargarán de realizar todas las gestiones necesarias para adaptar tu empresa al RGPD.

¿Cómo afecta el RGPD a las bases de datos de mi empresa?

El RGPD establece que la recopilación y procesamiento de datos personales debe estar basada en una base legal, como el consentimiento del interesado, la ejecución de un contrato o el cumplimiento de una obligación legal. Además, el RGPD establece que debes informar a los interesados sobre cómo se utilizarán sus datos y cuáles son sus derechos en relación con esos datos. También debes garantizar la seguridad y confidencialidad de los datos personales que manejas.

¿Cómo actuar cuando descubra una brecha de seguridad?

En caso de descubrir una brecha de seguridad que implique una violación de datos personales, debes actuar de forma inmediata. Debes notificar la brecha de seguridad a la autoridad de control competente y a los afectados en un plazo máximo de 72 horas después de tener constancia de ella. Además, debes tomar todas las medidas necesarias para reducir los posibles efectos de la violación.

Si necesitas más información o asesoramiento sobre cómo adaptar tu empresa al RGPD y cumplir con las obligaciones de la ley de protección de datos, no dudes en contactarnos. Estaremos encantados de ayudarte.


0 Comentarios

En Dudatis.com, nos encanta que participes y expreses tus opiniones. Tu voz es importante para nosotros. Siéntete libre de comentar y compartir tus ideas. Esperamos con interés tus comentarios.


Deja un comentario

Tu dirección de correo electrónico no será publicada. Apreciamos tu participación, y te pedimos que respetes nuestras normas. Recuerda que los campos marcados con * son obligatorios.