Normativa de Protección de Datos que deben cumplir las empresas de transporte y logística

Autor: Dudatis.com

Normativa de Protección de Datos que deben cumplir las empresas de transporte y logística

Las empresas dedicadas al transporte y la logística están obligadas con la normativa de protección de datos, que está regulada por dos leyes:

RGPD (Reglamento General de Protección de Datos), que es el marco normativo europeo para la protección de datos en toda la UE y que establece los principios, obligaciones y régimen sancionador para toda organización que trate datos personales dentro de la Unión.

LOPDGDD (Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales), que es la normativa española. Esta ley adapta el RGPD a nuestro ordenamiento jurídico y, aunque mantiene en gran medida sus principios, obligaciones y régimen sancionador, concreta y matiza varios de ellos. Además, también contiene la regulación de los derechos digitales de los ciudadanos.

LSSI-CE (Ley de los Servicios de la Sociedad de la Información y el Comercio Electrónico), esta ley debe tenerse en cuenta especialmente cuando se pueden contratar servicios o vender productos a través de Internet.

¿Cómo cumplir con la Ley de Protección de Datos en el sector del transporte y la logística? (LOPDGDD/RGPD)

Como ya hemos dicho en la introducción, las empresas del sector del transporte y la logística (transporte de mercancías, servicios de mensajería y paquetería, etc.), manejan en el desempeño de su actividad comercial datos personales, como son los de sus clientes, pero también los de sus empleados.

Para cumplir con la protección en empresas de logística o de transporte, hay que dar cumplimiento a una serie de obligaciones, que os vamos a detallar en los siguientes puntos.

Realizar un Registro de actividades de tratamiento

Si la empresa de logística o transporte tiene más de 250 trabajadores o trata datos personales de forma sistemática y a gran escala, una de las primeras obligaciones que tiene cumplir es la realización de un registro de actividades de tratamiento.

Este documento, que debe elaborar el responsable del tratamiento (que es la propia empresa) debe realizarse por cada tratamiento de datos personales que se vaya a llevar a cabo y debe contener la siguiente información (lo más detallada posible, pero sin dejar de ser concisa):

  • Datos identificativos y de contacto del responsable del tratamiento y, cuando proceda, los del corresponsable, los del encargado del tratamiento y los del DPO (Delegado de Protección de Datos)
  • La base legitimadora del tratamiento
  • La finalidad del tratamiento
  • Descripción de las categorías de interesados y datos
  • Descripción de las categorías de destinatarios (cuando se produzcan cesiones de datos a terceros)
  • En su caso, toda la información relativa a las transferencias internacionales de datos
  • Descripción de todas las medidas de seguridad implantadas
  • Los plazos de supresión de los datos personales previstos

Firmar los contratos con terceros

Las empresas de transportes o logística ceden datos personales de sus clientes o empleados a terceros en el momento en que necesitan contratar con otra empresa un servicio para el que la gestión de esos datos personales es necesario; por ejemplo, cuando una mensajería contrata con una empresa de transportes o un transportista autónomo el reparto de paquetes (le estaría cediendo datos personales para hacer las entregas).

Es importante señalar que debe tratarse de datos personales y no de personas jurídicas, es decir de otras empresas, puesto que en ese caso no se aplica la normativa de protección de datos.

Así, para asegurar que esos terceros cumplen con sus obligaciones de protección de datos, el responsable debe firmar con ellos un contrato de encargado del tratamiento, donde especifica el tipo de tratamiento de datos personales y la finalidad del mismo, así como otras instrucciones y obligaciones en materia de protección de datos que el encargado deba contemplar y cumplir.

Además, siempre se debe informar a los interesados, es decir, los titulares de los datos personales, de la identidad de estos terceros y del encargado del tratamiento.

Firmar los contratos con los empleados

Si los empleados de la empresa de transporte y logística van a tener acceso a los datos personales de los clientes, deben cumplir con las obligaciones exigidas por la normativa de protección de datos, así como respetar las medidas de seguridad implantadas por la empresa. Especialmente, deben respetar la confidencialidad de los datos que manejan.

En ese sentido, los contratos de trabajo ya suelen incluir las llamadas cláusulas de confidencialidad para los empleados. Pero también se puede firmar un contrato de confidencialidad con los empleados independiente, donde se pueden especificar más obligaciones y las sanciones que pueden enfrentar si no las cumplen (dentro de los límites de la ley).

Incluir los textos legales en la página web

Otra de las obligaciones que contemplan tanto la LSSI-CE como la Ley de Protección de Datos para empresas de transporte y logística está relacionada con la página web. Si estas empresas disponen de web, sea esta informativa o se emplea para ofrecer sus servicios y contratarlos a través de ellas, es necesario que incluyan los textos legales correspondientes.

Estos textos legales deben ser accesibles desde cualquier punto de la página web y estar redactados de forma clara y comprensible para cualquier tipo de usuario.

Los textos legales son:

  • Aviso legal
  • Política de privacidad
  • Términos y condiciones de venta y uso
  • Política de cookies

Solicitar el consentimiento a los clientes

Fue una de las obligaciones en materia de protección de datos introducida por el RGPD, el recabar el consentimiento expreso de los interesados para poder tratar sus datos personales.

Así, para cumplir con este requisito de la ley de protección de datos, las empresas de transporte y logística deben solicitar siempre el consentimiento expreso de sus clientes para llevar a cabo el tratamiento de sus datos personales.

Además, por cada tratamiento de datos personales diferente, es necesario recabar nuevamente el consentimiento de los interesados. Lo mismo ocurre si finaliza el plazo de conservación de los datos y es necesario volver a recabarlos.

Realizar un Análisis de riesgos

Hay tratamientos de datos personales que conllevan riesgos inherentes, es decir, que pueden exponer la información personal de la destrucción de los mismos, su modificación, su sustracción o incluso su filtración. Estas amenazas pueden poner en riesgo los derechos y libertades de los interesados, por ello, siempre que se prepara un tratamiento de datos, se debe realizar previamente un análisis de riesgos.

La finalidad del análisis de riesgos es determinar las posibilidades de que esos riesgos acaben materializándose y en función de ello, diseñar e implementar las medidas de seguridad adecuadas para evitarlo o reducir al mínimo tolerable las posibilidades de que ocurran estos incidentes de seguridad.

Notificar las brechas de seguridad

Cuando se produzcan incidentes de seguridad que puedan suponer un riesgo para los derechos y libertades de los interesados cuyos datos personales puedan haber sido expuestos, la empresa de transporte y logística tiene la obligación de notificarlo a la autoridad de control.

Estas notificaciones de brechas de seguridad a la AEPD deben realizarse en un plazo máximo de 72 horas desde el momento en que se tiene conocimiento del incidente.

Sanciones por incumplimiento en el RGPD/LOPDGDD

No cumplir con alguna de las obligaciones que hemos ido viendo a lo largo de esta guía, puede suponer para la empresa de transporte y logística la imposición de una sanción, cuya cuantía dependerá de la gravedad, el número de interesados afectados y la duración del comportamiento infractor en el tiempo.

La LOPDGDD establece las siguientes sanciones:

  • Infracciones muy graves: sanciones de hasta 20 millones de euros o el 4% de la facturación anual (la cuantía que sea superior)
  • Infracciones graves: sanciones de entre 40.000 y 300.000 euros
  • Infracciones leves: sanciones de hasta 40.000 euros

Preguntas frecuentes

¿Qué pasa si en mi empresa tengo instalado un sistema de videovigilancia?

En ese caso debes de tener un cartel a la vista de todos, en cada uno de los puntos de acceso al recinto, indicando que se tienen cámaras en funcionamiento.

Además debes de tener un documento a disposición del interesado, por si lo solicitan, donde debes informar las diferentes finalidades por las que haces uso de las cámaras de videovigilancia.

¿Y si las cámaras están en los vehículos?

El asunto plantea dos cuestiones principales, por tanto, desde el punto de vista de la protección de datos de carácter personal y de la protección de la intimidad y la propia imagen. Así, habría que ver si la instalación de este tipo de cámaras es asimilable a una instalación de videovigilancia y, por tanto, debe cumplir con los requisitos establecidos.

¿Es obligatorio hacer un curso de Protección de Datos?

No, no es obligatorio. Pero sí es recomendable formar a los empleados para que cumplan las medidas de seguridad necesarias para proteger los datos personales que manejan.

¿Necesito el consentimiento de los empleados para instalar sistemas de geolocalización en los vehículos?

No es necesario su consentimiento, ya que se enmarca dentro de la facultad empresarial de control de la actividad laboral.

No obstante, sí debes informar al trabajador del uso de este sistema, la finalidad y la conservación de esos datos.

¿Necesitas ayuda?

Si necesitas ayuda para cumplir con la normativa de protección de datos en tu empresa de transporte y logística, puedes solicitar varios presupuestos y recibir asesoramiento especializado.

¡Recuerda que el cumplimiento de la normativa es fundamental para proteger los datos personales y evitar sanciones!

He leído y acepto el aviso legal y la política de privacidad.


0 Comentarios

En Dudatis.com, nos encanta que participes y expreses tus opiniones. Tu voz es importante para nosotros. Siéntete libre de comentar y compartir tus ideas. Esperamos con interés tus comentarios.


Deja un comentario

Tu dirección de correo electrónico no será publicada. Apreciamos tu participación, y te pedimos que respetes nuestras normas. Recuerda que los campos marcados con * son obligatorios.