Protección de Datos: principales requerimientos para pymes y autónomos

15 noviembre 2021 Jubilación parcial y jubilación anticipada

Ya han transcurrido más de 3 años desde que el día 25 de mayo de 2018 fuera plenamente aplicable Reglamento General de la Unión Europea de Protección de Datos (RGPD). Este reglamento que supuso un nuevo paso en esta materia, al profundizar en la concienciación en el valor y seguridad de la información y los datos personales, fomentando la responsabilidad interna de los tratadores de datos personales, a la vez que se unificaban los criterios en esta materia en el ámbito político de la Unión Europea.

Sin embargo, son muchos autónomos y pymes quienes siguen iniciando su actividad económica y emprenden nuevos proyectos empresariales y deben contemplar por primera vez la aplicación de la normativa relativa a la protección de datos. Desde Legálitas, en este artículo,  nos centraremos en los principales requerimientos para pymes y autónomos sobre la normativa de protección de datos que puedan clasificarse con bajo riesgo.


Evaluación del Riesgo

La primera labor que se ha de llevar a cabo al inicio de cualquier actividad económica es la evaluación del riesgo respecto del tratamiento de los datos personales que va a implicar esta actividad.

Algunos de los condicionantes que van a determinar la evaluación y clasificación del riesgo y del impacto para los derechos y libertades de las personas físicas son los siguientes:

  • La categoría de datos que se van a recabar necesarios para el ejercicio de la actividad,
  • La cantidad de los mismos que se van a tratar (a gran escala o no)
  • Los medios a través de los cuales se van a recabar, almacenar o custodiar
  • La accesibilidad de los datos para el personal a cargo de la pyme

En atención a estos datos, se ha de establecer un nivel de seguridad adecuado al riesgo e impacto evaluado (art. 32 y 35 y siguientes del RGPD).


¿Necesitas asesoramiento legal sobre cumplir con la normativa de protección de datos?
Infórmate aquí

El Responsable del Tratamiento de los datos

Basados en el principio de responsabilidad proactiva, los autónomos y pymes tendrán que identificar a su Responsable del Tratamiento. El responsable es aquella persona física o jurídica que solo, o junto con otros, determinará los fines y medios del tratamiento (art. 4.7 RGPD). Esta persona deberá aplicar todas aquellas medidas técnicas y organizativas que permitan garantizar y acreditar la licitud del tratamiento de datos personales (Art. 28 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales).


Licitud para el tratamiento de datos personales

Un autónomo o pyme puede desarrollar múltiples relaciones comerciales, empresariales o profesionales en el desarrollo de su actividad que llevan implícito el tratamiento de datos personales. Así, la obtención del consentimiento del interesado se constituye en la fórmula básica elegida por el legislador para permitir el tratamiento de datos personales (art. 6.1 RGPD).

Así, es fundamental incluir los textos apropiados y suscribir los documentos necesarios para la obtención de dicho consentimiento, para que el tratamiento de datos personales sea lícito.

Algunas de las relaciones comerciales o profesionales que un autónomo o pyme puede iniciar y que implicarán un tratamiento de datos personales son las siguientes:

  • Clientes
  • Proveedores
  • Empleados
  • Candidatos
  • Empresas de servicios
  • Etc.

Ejercicio de los derechos del interesado

El responsable del tratamiento de los datos personales ha de tomar las medidas oportunas para facilitar en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo al interesado el ejercicio de sus derechos.

En especial, debemos fijarnos en los derechos de:

  • Acceso
  • Cancelación
  • Rectificación
  • Oposición
  • Derecho al olvido
  • El derecho a la portabilidad de los datos
  • Y el derecho a la limitación de tratamiento.

El principio que se establece en el ejercicio de los derechos es que ha de ser tan fácil retirar el consentimiento como darlo (art. 7.3 in fine RGPD).

Registro de actividades de tratamiento

Una de las principales preocupaciones para muchos autónomos y pymes fue precisamente cómo implementar sus actividades de tratamiento tras la desaparición de la inscripción obligatoria del fichero en la Agencia Española de Protección de Datos

Pues bien, la supresión de dicha obligación fue sustituida por la elaboración de un Registro de Actividades de Tratamiento, que ha de incluir una información necesaria, como es:

  • La identidad del responsable
  • Los fines del tratamiento
  • La categoría de los interesados en los datos personales
  • La categoría de datos personales recogidos
  • La categoría de destinatarios o, en su caso, las transferencias de datos internacionales.

No obstante, el art. 30.5 RGPD establece una salvedad, en virtud de la cual, la obligación del registro de actividades de tratamiento no será aplicable a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales a los que se refiere el RGPD en el artículo 9, apartado 1, (e.g. origen étnico o racial, opiniones políticas, datos biométricos, relativos a la salud, …) o datos personales relativos a condenas e infracciones penales también referidos en el artículo 10 RGPD.


Los incidentes de seguridad

Merecen especial consideración las violaciones de seguridad en el tratamiento de los datos personales, pues el responsable del tratamiento ha de notificarlas, sin dilación indebida y en un plazo máximo de 72 horas a la autoridad de control. La notificación ha de incluir:

  • La naturaleza de la violación
  • Número de afectados y número de registros afectados
  • Los datos de contacto de quien pueda ampliar la información de la violación
  • Las posibles consecuencias de la violación
  • Así como las medidas adoptadas y propuestas por el responsable del tratamiento dirigidas a remediar y mitigar los efectos adversos de la violación en la seguridad de los datos personales (art. 33 RGPD).

La obligación de notificar la violación de la seguridad en los datos personales se extiende también a que sea notificada al interesado cuando sea probable que conlleve un alto riesgo para los derechos y libertades de las personas físicas (art. 34 RGPD). Aun así, el citado artículo 34 incluye una serie de salvedades que pueden evitar la comunicación al interesado, siempre que el responsable haya adoptado medidas que garanticen que el alto riesgo detectado no se concretará.

Juan Rubén de la Cruz Saugar | Abogado de Legálitas



Compartir artículo

Jubilación parcial y jubilación anticipada

Gracias a Legálitas, Óscar consiguió que le vendieran un vehículo de empresa al precio de la oferta inicial

Los abogados de Legálitas, además de gestionar consultas de clientes particulares, ...

Jubilación parcial y jubilación anticipada

Principales claves para un negocio sobre las reclamaciones en materia de consumo

Como negocio, cuando se presta una atención al público o se ofrece un producto o ...

Jubilación parcial y jubilación anticipada

Inspección de trabajo: ¿qué debemos tener en cuenta y cómo debemos actuar ante ella?

A la hora de gestionar un negocio, son muchos los requerimientos y los controles a los que ...

Jubilación parcial y jubilación anticipada

Cuando tenemos la carta de despido ¿Cómo debemos de actuar ante ella?

El despido es la extinción anticipada de un contrato laboral por decisión ...

Jubilación parcial y jubilación anticipada

¿Conoces las novedades legislativas si viajas por carretera este puente?

Los límites de velocidad genéricos son menores y en el momento que se superan ...

Jubilación parcial y jubilación anticipada

Legálitas Casos Reales: Marisol recupera los 321 euros que le cobraron por un cambio de compañía que no quería

Marisol* tenía contratados los suministros de electricidad y gas con la ...

Legálitas.com

Llámanos

91 422 80 90 91 422 80 90 ¿Ya eres cliente? 91 112 04 05 ¿Ya eres cliente? 91 112 04 05
¿Quieres que te llamemos ahora GRATIS?

Llámame gratis