Autonomos y pimessss

Protección de datos para pymes y autónomos, ¿Qué debemos saber?

Por Ignacio Morales -03/12/20210257Compartir en FacebookCompartir en Twitter

Tras sus tres primeros años de aplicación, el Reglamento General de la Unión Europea de Protección de Datos (RGPD) ha supuesto un avance en esta materia. Esto se ha logrado gracias a medidas como la unificación de los criterios del ámbito político europeo en protección de datos o con la concienciación de la seguridad de dicha información.

Pero, existen numerosas pymes y autónomos que deben aplicar este reglamento en sus proyectos empresariales o al comienzo de su trayectoria. A continuación, os expondremos los requisitos de bajo riesgo necesarios tanto para autónomos como para pymes recogidos en esta normativa de protección de datos.

Contenido [Ocultar]

• 1 Clasificación del riesgo
• 2 ¿Es necesario un encargado para el tratamiento de datos?
• 3 Garantizar la legitimidad en el tratamiento de los datos personales
• 4 ¿Cuáles son los derechos de la persona interesada?
• 5 Los datos necesarios para el Registro de actividades de tratamiento
• 6 Las violaciones de seguridad
• 7 Cursos de formación sobre protección de datos
• 8 Servicio de implantación y adaptación de datos en agencias inmobiliarias

Clasificación del riesgo

Previamente a la actividad económica, se debe valorar cuál es el riesgo real de la información personal que se verá implicada en el desarrollo de nuestra actividad. Esta evaluación del riesgo en las libertades de las personas dependerá de los siguientes factores:

• El acceso de los trabajadores de la pyme a la información confidencial
• El número de datos que iremos a tratar
• Los medios por los que guardaremos y recabaremos los datos
• La tipografía de los datos que tendremos que registrar obligatoriamente en nuestra actividad económica

Según estos datos, se impondrá un tipo de seguridad relacionado con el impacto y el riesgo analizado (art. 32 y 35 y siguientes del RGPD).

¿Es necesario un encargado para el tratamiento de datos?

Tal y como apunta el principio de responsabilidad proactiva, las pymes y autónomos están obligados a indicar quién es su Responsable del Tratamiento.

Este responsable es la o las personas jurídicas o físicas encargadas que identificarán por qué medios y con qué objetivos se tratarán los datos (art. 4.7 RGPD). Tendrán que garantizar la legitimidad de dicho tratamiento, indicando las medidas organizativas y técnicas (Art. 28 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales).

Garantizar la legitimidad en el tratamiento de los datos personales

Cualquier relación profesional, comercial o empresarial que se vaya a llevar a cabo en una actividad económica de una pyme o un autónomo deberá cumplir con el principio de legitimidad en el tratamiento de datos personales. Tal y como apunta el art. 6.1 del Reglamento General de la Unión Europea de Protección de Datos (RGPD), “la obtención del consentimiento del interesado se constituye en la fórmula básica elegida por el legislador para permitir el tratamiento de datos personales”.

Para conseguir la licitud en el tratamiento, es obligatorio que se añaden los textos necesarios para obtener el consentimiento de la persona interesada.

En cuanto a las diferentes relaciones que previamente hemos mencionado que puede llevar a cabo una pyme o autónomo se encuentran las siguientes:

• Empresas de servicios
• Empleados
• Clientes
• Candidatos
• Proveedores
• Otros…

¿Cuáles son los derechos de la persona interesada?

Toda la información relativa a los derechos del interesado la debe aportar exhaustivamente y de forma clara y transparente el encargo del tratamiento de la información personal. El ejercicio de los derechos del interesado se deben supeditar bajo el principio de que es tan fácil dar el consentimiento como retirarlo, según apunte el art. 7.3 in fine RGPD

De este conjunto de derechos, hay que prestar especial atención a los siguientes:

• Derecho a la limitación del tratamiento
• Derecho a la rectificación
• Derecho a la portabilidad de los datos
• Derecho al acceso
• Derecho al olvido
• Derecho a la oposición

Los datos necesarios para el Registro de actividades de tratamiento

Una vez suprimido el fichero de la Agencia Española de Protección de Datos, surgió un vacío administrativo que provocaba desconcierto en las pymes y autónomos respecto al modo de aplicar sus medidas de tratamiento.

Este fichero se ha sustituido por un Registro de Actividades de Tratamiento, que requiere los siguientes datos:

• La tipografía de datos personales obtenidos
• La identificación del encargado
• Los objetivos del tratamiento
• La categoría de receptores o, en el caso de ser internacional, de las emisiones de datos internacionales.
• La tipografía de los interesados en los datos personales

Sin embargo, el art. 30.5 RGPD realiza una observación concreta en el que se especifica que “Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9,  apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10”.

Las violaciones de seguridad

El encargo del tratamiento debe hacer saber a la autoridad de control en un plazo máximo de 72 horas cualquier incidente de seguridad que se pueda dar en cuanto al tratamiento de datos personales. En la notificación de dicho incidente se deben exponer los siguientes datos:

• Una forma de contacto con la persona que pueda aportar más información sobre el incidente
• Los efectos que puede provocar la violación
• La naturaleza del incidente
• La cantidad tanto de registros implicados como de afectados

A parte, el encargo está obligado por el art. 33 del RGPD a añadir qué medidas ha decidido llevar a cabo para impedir que las consecuencias de la violación de seguridad tengan lugar.

En relación a esto, el art. 34 incide en que la notificación se ha de hacer llegar también al interesado en el caso en el que el incidente provoque un riesgo elevado en cuanto a los derechos de las personas físicas. Sin embargo, se expone que existen situaciones en los que no hace falta comunicarlo al interesado siempre y cuando el responsable del tratamiento de datos garantice que con las medidas adoptadas no existe ningún riesgo para las libertades de las personas físicas.

Cursos de formación sobre protección de datos

En nuestra academia de formación www.apiformacion.es hemos elaborado un curso donde exponemos detalladamente tanto Ley Orgánica de Protección y de Datos como el Reglamento General de Protección de Datos de la Unión Europea.

• Acceda al Curso de Implantación LOPD y RGDP

Servicio de implantación y adaptación de datos en agencias inmobiliarias

www.inmopc.com ofrece a las agencias inmobiliarias un servicio de implantación y adaptación a la LOPD, que garantice su cumplimiento, actualización y procedimientos de trabajo para el adecuado control y gestión de los datos de carácter personal, si desea más información acceda ahora al Servicio de Implantación y Adaptación a LOPD.

Ignacio Morales.
Economista – ICADE