Tras la entrada en vigor en 2016 del Reglamento (EU) 2016/679, también denominado Reglamento General de Protección de Datos (RGPD) y cuya aplicación efectiva se demoró al 25 de mayo de 2018, han surgido numerosas dudas acerca de la adaptación a la nueva normativa por parte de las empresas. Es más, la antigua Ley Orgánica de Protección de Datos de 1999 tuvo que ser sustituida, a colación del referido Reglamento europeo, por la Ley Orgánica de Protección de datos personales y garantía de los derechos digitales que entró en vigor en octubre de 2018.
A través de estas breves preguntas trataremos de solventar las dudas más frecuentes que se nos han consultado en los últimos años con el fin de ayudar a las PYMES y autónomos al correcto cumplimiento de la normativa relativa a la protección de datos.
- ¿Qué tengo que hacer para adecuar mi empresa a la normativa según RGPD y LOPDGDD?
- ¿Es obligatorio contar con un Delegado de Protección de datos (DPD o DPO) en mi empresa?
- ¿Tengo que inscribir los ficheros en la Agencia Española de Protección de Datos?
- ¿En qué casos tendría que firmar un documento de encargado de tratamiento?
- ¿Qué tiene que tener la página web de mi empresa para cumplir la normativa de protección de datos?
- ¿A qué sanciones me puedo enfrentar por infracciones en materia de protección de datos?
- ¿Por qué es importante contar con un asesoramiento especializado en materia de protección de datos?
1.- ¿Qué tengo que hacer para adecuar mi empresa a la normativa según RGPD y LOPDGDD?
En primer lugar, designar a un delegado de protección de datos si es obligatorio o, si no lo es, si se decide asumir de forma voluntaria. Posteriormente, elaborar el registro de actividades de tratamiento, analizar las bases jurídicas de los los referidos tratamientos y realizar un análisis de riesgos.
2.- ¿Es obligatorio contar con un Delegado de Protección de datos (DPD o DPO) en mi empresa?
No, salvo que se encuentre en alguno de los casos que contempla el Reglamento (EU) 2016/679, esto es, en el caso de todas las autoridades y organismos públicos y de otras organizaciones cuya actividad fundamental consista en la observación sistemática de personas a gran escala, o que traten categorías especiales de datos personales a gran escala.
Asimismo, la LOPDGDD en su artículo 34 recoge los supuestos en los que procede la designación obligatoria de un Delegado de Protección de Datos, entre lo que podemos destacar, las entidades aseguradoras, establecimientos financieros de crédito, distribuidores y comercializadores de energía eléctrica o gas natural, entre otros.
3.- ¿Tengo que inscribir los ficheros en la Agencia Española de Protección de Datos?
No, desde la aplicación del Reglamento General de Protección de Datos, se suprime la obligación de notificar ficheros a la Agencia Española de Protección de datos para su inscripción. Se ha sustituido por la obligación de elaborar un registro de actividades de tratamiento interno.
Este documento, que deberá ser creado por los responsables y encargados de tratamiento y debe recoger detalladamente las actividades que se lleven a cabo, es obligatorio para las empresas u organizaciones que tengan más de 250 empleados o aquéllas empresas o autónomos que, teniendo menos de 250 empleados, realicen tratamientos que puedan entrañar un riesgo para los derechos y libertades de los interesados, no sean tratamientos ocasionales o incluyan categorías especiales de datos personales (étnicos o raciales, opiniones políticas, afiliación sindical, etc.) o se realice un tratamiento de datos personales relativos a condenas e infracciones.
Asimismo, este documento, que deberá estar a disposición siempre de la autoridad de control, contendrá los siguientes datos:
• Identificación y datos de contacto del responsable o encargado, corresponsable, representante y delegado de protección de datos (DPO).
• Fines del tratamiento.
• Descripción de categorías de interesados y datos tratados.
• Categorías de destinatarios existentes o previstos.
• Transferencias internacionales de datos y documentación de garantía de las transferencias exceptuadas sobre la base de intereses legítimos imperiosos.
• Plazos previstos para la supresión de datos, cuando sea posible.
• Descripción lo más detallada posible de las medidas de seguridad adoptadas, cuando sea posible.
4.- ¿En qué casos tendría que firmar un documento de encargado de tratamiento?
Para responder a esta cuestión es importante comenzar indicando qué labor realiza el encargado de tratamiento de los datos personales. El encargado de tratamiento es aquélla persona física o jurídica o autoridad pública u organización que presta un servicio al responsable que conlleva el tratamiento de datos personales por cuenta de éste.
Asimismo, el responsable del tratamiento de los datos es quien decide sobre la finalidad y los usos de la información, siendo el encargado de tratamiento quien debe cumplir con las instrucciones que le facilite el responsable para llevar a cabo el servicio encomendado.
Por ejemplo, una empresa que cuenta con datos personales de sus clientes, proveedores y/o trabajadores. Esta empresa es la responsable del tratamiento de los datos referidos, pero puede contratar a una asesoría externa (laboral y/o fiscal) para que trate las nóminas o facturas, convirtiéndose esa asesoría en encargado de tratamiento de esos datos.
5.- ¿Qué tiene que tener la página web de mi empresa para cumplir la normativa de protección de datos?
Esta consulta es sumamente frecuente y resulta de vital importancia cumplir con la normativa aplicable, no sólo en lo que concierne al Reglamento Europeo de Protección de Datos y LOPDGDD, sino también en lo que respecta a la Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico (LSSI), si la página web constituye una actividad económica o lucrativa para quien presta el servicio.
Lo primero con lo que debe contar una página web es con el aviso legal. El Aviso Legal debe ser visible y accesible desde cualquier punto de la web. Normalmente está compuesto por dos apartados, los términos de uso y las condiciones de contratación, que sólo serán necesarias en el caso de que se lleven a cabo contratos online. Además, conviene incluir una política de privacidad y política de cookies.
En los Términos de uso se deberá reflejar, entre otros, la denominación social del titular de la web, domicilio y datos de contacto; el código de identificación fiscal (CIF) o número de identificación fiscal (NIF); los datos de inscripción en el Registro Mercantil, si se da el caso y si se ejerce una profesión regulada, se ha de incluir los datos del colegio profesional y el número de colegiado.
La Política de Privacidad deberá incluir información acerca de la forma en que se recopilan los datos de los lectores de la web, la finalidad de esa recopilación, así como el uso que se les dará a sus datos y sus opciones de ejercitar los denominados derechos ARCO (acceso, rectificación, cancelación y oposición, así como los derechos de limitación y portabilidad).
La página web deberá contar con una Política de cookies, que son datos que se almacenan en el navegador del usuario con información de su comportamiento. En esta política se precisará el tipo de cookies que usa la web, qué finalidad tienen, durante cuánto tiempo se almacenarán o si se van a ceder a terceros. Asimismo, es necesario contar con el consentimiento previo de los usuarios para el uso de cookies. De esta forma, la página deberá contar con un aviso a los usuarios claramente visible, con lenguaje claro y sencillo donde se precise toda la información relativa a cómo se utilizan las cookies en todo momento. Además, se hará constar en el aviso una opción para que el usuario pueda variar o revocar su consentimiento en todo momento.
6.- ¿A qué sanciones me puedo enfrentar por infracciones en materia de protección de datos?
La Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales establece tres categorías de infracciones, leves, graves y muy graves.
En estas categorías, las sanciones que se pueden imponer son de hasta 40.000€ para las infracciones consideradas leves, de 40.001€ a 300.000€ para las infracciones graves y de 300.000€ a 20.000.000€ o del 2% al 4% de la facturación anual bruta para los aquellas infracciones consideradas muy graves.
En cuanto a la prescripción, las infracciones leves prescribirán al año, las graves a los 2 años y las muy graves a los 3 años.
7.- ¿Por qué es importante contar con un asesoramiento especializado en materia de protección de datos?
En Mithra Legal Advisors nos preocupa la correcta aplicación de la normativa en materia de protección de datos y derechos digitales que afectan de forma directa a las empresas y autónomos.
Por ello, contamos con un equipo de profesionales especializados en Protección de Datos y Derecho Digital que se encargarán de ayudarle a cumplir correctamente las normativas de aplicación, de forma que usted pueda ocuparse de las cuestiones importantes como son hacer crecer su negocio con la confianza de que el área legal se encuentra en buenas manos.