¿Cuáles son las obligaciones de la empresa con la LOPD y el RGPD? En esta guía encontrarás un detallado resumen de las principales obligaciones en protección de datos para las empresas.
En este artículo hablamos de:
- Obligaciones LOPD y RGPD que tienen las empresas en materia de Protección de Datos
- Obligaciones LOPD de los responsables del tratamiento
- Protección de datos desde el diseño y por defecto
- Responsabilidad proactiva
- Informar a los interesados
- Consentimiento expreso
- Registro de actividades de tratamiento
- Análisis de riesgos y Evaluaciones de impacto
- Delegado de Protección de Datos
- Firma de contratos de encargo del tratamiento
- Textos legales en páginas web
- Si hay videovigilancia
- Notificación de brechas de seguridad
- Responder las solicitudes de derechos de los interesados
- Cumple las obligaciones de la LOPD y el RGPD con ayuda profesional
Obligaciones LOPD y RGPD que tienen las empresas en materia de Protección de Datos
La LOPD y el RGPD establecen obligaciones para las empresas que traten datos personales, lo que en la práctica implica que todas las empresas deban cumplirlas, puesto que, como mínimo, tratarán los datos personales de sus empleados. Independientemente de si es una empresa de marketing, un restaurante, un centro educativo, un centro sanitario, una gestoría, un medio de comunicación, una tienda online o un despacho de abogados, las obligaciones de protección de datos no son una excepción para ninguna de ellas.
Entre las principales obligaciones LOPD están imponer medidas para el adecuado tratamiento de datos especialmente protegidos, garantizar la seguridad de los datos, cumplir el deber de secreto y derecho a la confidencialidad y proteger el acceso a los datos por personas ajenas.
Si bien, no todas las empresas deberán cumplir en el mismo grado las obligaciones de la Ley de Protección de Datos, todas deben tener en cuenta el listado que vamos a detallar a continuación en mayor o menor medida.
Obligaciones de la protección de datos en empresas
Obligaciones LOPD de los responsables del tratamiento
- Establecer medidas adecuadas para el almacenamiento y tratamiento de información sensible o especialmente protegida..
- Garantizar la seguridad e integridad de la información..
- Respetar el deber de secreto y el deber de confidencialidad, evitando el acceso a los datos por personas ajenas no autorizadas.
- Asegurar la calidad de los datos objeto del tratamiento.
- Obtener el consentimiento expreso del titular para el tratamiento de datos.
Protección de datos desde el diseño y por defecto
La primera de las obligaciones RGPD es aplicar los principios de protección de datos desde el diseño y por defecto. Esto quiere decir que antes de llevar a cabo cualquier tratamiento de datos personales o acción o sistema que conlleve el tratamiento de datos personales, es necesario evaluar qué implicaciones podría tener para los derechos y libertades de los interesados el tratamiento de sus datos; riesgos, amenazas, impacto en sus derechos, etc.
Se trata de determinar qué medidas de seguridad será necesario establecer (técnicas, organizativas y legales) y aplicarlas durante el diseño del tratamiento o sistema y que por defecto cumplan con los principios de minimización y limitación.
Este principio de protección de datos desde el diseño y por defecto se consigue aplicando y cumpliendo las obligaciones de la Ley de Protección de Datos que vamos a ver en los siguientes puntos.
Responsabilidad proactiva
El principio de responsabilidad proactiva implica que cualquier medida para garantizar la protección de datos debe ser preventiva, es decir, que se debe aplicar, como hemos dicho, en el propio diseño y por defecto ser lo más restrictivas posibles,
También implica que responsables y encargados del tratamiento deben demostrar que cumplen con las obligaciones LOPD y RGPD, documentando no solo los tratamientos de datos personales que llevan a cabo, sino también su gestión y las medidas técnicas y organizativas adoptadas para proteger los datos personales que manejen.
Cumplir el principio de responsabilidad proactiva es cumplir con el RGPD y la LOPD y sus obligaciones para empresas.
Informar a los interesados
Entre las principales obligaciones de protección de datos para una empresa, está cumplir con el deber de informar a los interesados sobre todo lo relacionado con el tratamiento de sus datos personales; las personas no solo deben saber que sus datos van a ser tratados, sino quién lo hará, con qué finalidad o si sus datos van a ser compartidos con terceros.
Esta información siempre debe darse con carácter previo al tratamiento de datos, debe ser clara y comprensible y estar siempre disponible para los interesados. Hay diferentes formas de suministrar dicha información, dependiendo del medio o soporte, pero siempre debe facilitarse.
Como mínimo, la Ley de Protección de Datos obliga a las empresas a dar información referente a:
- Datos identificativos del responsable del tratamiento y, en su caso, del encargado del tratamiento y del Delegado de Protección de Datos (DPO)
- Finalidad del tratamiento
- Base jurídica del tratamiento
- Categorías de datos y categorías de destinatarios
- Si se producirán cesiones de datos a terceros
- Si se producirán transferencias internacionales de datos
- Plazo de conservación de los datos
- Vía para ejercer los derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición)
Consentimiento expreso
Salvo que concurra alguno de los supuestos contemplados en los artículos 6 y 9 del RGPD, siempre será obligatorio recabar el consentimiento expreso de los interesados para tratar sus datos personales y se hará con carácter previo al tratamiento.
Aparte de expreso, el consentimiento debe ser informado y libre, entendiendo libre como que no debe ser condicionado (por ejemplo, no sería libre si para acceder a una oferta de un producto o servicio, debemos dar nuestros datos personales y consentir su tratamiento con fines comerciales).
El consentimiento expreso debe quedar registrado mediante un medio adecuado.
Registro de actividades de tratamiento
Otra de las obligaciones en protección de datos para empresas es llevar un registro de actividades de tratamiento. Este documento refleja la gestión de los datos personales que manejan las empresas, siendo una herramienta de control interno, que debe permanecer siempre actualizado, por escrito y a disposición de la autoridad de control (la AEPD) cuando esta lo solicite en el proceso de una inspección o investigación.
Es una de esas medidas que sirve para cumplir con el principio de responsabilidad proactiva.
El registro de actividades de tratamiento deben llevarlo tanto los responsables del tratamiento como los encargados del tratamiento. Y debe contener la siguiente información:
- Identificar al responsable del tratamiento, y, si procede, al encargado del tratamiento y al DPO
- Finalidad del tratamiento y legitimación jurídica
- Descripción de categorías de interesados y datos
- Descripción de categorías de destinatarios de datos (existentes o previstos)
- Transferencias internacionales de datos (si procede)
- Plazo de conservación de los datos (previsto)
- Descripción de las medidas de seguridad implementadas
Análisis de riesgos y Evaluaciones de impacto
El análisis de riesgos y la evaluación de impacto son obligaciones, pero también son medidas para cumplir con la protección de datos desde el diseño.
Los análisis de riesgos de los tratamientos de datos personales deben hacerlos todas las empresas, con carácter previo, ya que sirven para identificar amenazas, evaluar los riesgos para los derechos y libertades de los interesados que puedan derivarse del tratamiento y adoptar las medidas de seguridad necesarias que minimicen o eliminen dichos riesgos.
La evaluación de impacto debe hacerse solo en determinadas circunstancias, como es que del análisis de riesgos inicial se determine un nivel alto de riesgo e impacto negativo en los derechos y libertades de los interesados, se traten datos de categorías especiales (art. 9 del RGPD), se hagan tratamientos de datos a gran escala de manera sistemática o se realicen tratamientos automatizados como la elaboración de perfiles.
La evaluación de impacto ayudará a determinar las medidas de seguridad a aplicar para reducir a un nivel tolerable los riesgos o, en caso de que el nivel de riesgo siga siendo alto, descartar el tratamiento de datos.
Delegado de Protección de Datos
Solo las empresas cuyas actividades se encuentren citadas en el artículo 34 de la LOPDGDD deben designar un Delegado de Protección de Datos. Si bien el resto pueden hacerlo de manera voluntaria.
El DPO es el encargado, entre otras funciones, de supervisar el cumplimiento de la normativa de protección de datos en las empresas, de solucionar dudas, realizar consultas a la AEPD en nombre de la empresa y colaborar con la AEPD en las investigaciones.
El DPO puede ser designado dentro de la empresa o contratar los servicios de un DPO externo.
Firma de contratos de encargo del tratamiento
Cuando una empresa va a ceder datos personales de sus clientes o empleados a otra empresa o profesional para llevar a cabo alguna gestión que lo requiere, deberá firmar con esta un contrato de encargo del tratamiento, puesto que esta empresa con la que contrata un servicio y que puede acceder a los datos personales, se convertirá en el encargado del tratamiento.
En este contrato, el responsable del tratamiento fija las condiciones para el tratamiento de datos que cede al encargado (finalidad, duración, medidas de seguridad a aplicar, qué hacer con los datos finalizado el tratamiento, etc.) y el encargado no podrá usar dichos datos personales para otra finalidad distinta a la acordada o en su beneficio.
Textos legales en páginas web
Si las empresas tienen página web, deben cumplir con las obligaciones en protección de datos correspondientes, en concreto, tener publicados y accesibles desde cualquier sección de la página web los denominados textos legales web:
- Aviso legal
- Política de privacidad
- Política de cookies
- Términos y condiciones de venta y/o contratación (en el caso de tiendas online o páginas en las que se puedan contratar servicios)
Si hay videovigilancia
En caso de que las empresas tengan instaladas cámaras de seguridad, deberán cumplir con la ley de videovigilancia, que, en resumen, implica cumplir con estas obligaciones relacionadas con la protección de datos:
- Informar de la presencia de cámaras o zona videovigilada mediante el correspondiente cartel informativo
- No colocar cámaras en espacios íntimos o donde se presuma privacidad (como baños o vestuarios)
- No grabar audio
- Las cámaras no deben apuntar a la vía pública
- Solo podrá acceder a las imágenes el personal autorizado
- El plazo de conservación de las imágenes será de 30 días
Notificación de brechas de seguridad
Cuando se produce un incidente de seguridad que pueda exponer los datos personales que manejan las empresas y que de ello se derive un riesgo para los derechos y libertades de los interesados afectados, las empresas están obligadas a notificar dicho incidente a la AEPD y a los propios afectados.
La notificación de brechas de seguridad debe hacerse en un plazo no superior a 72 horas, a contar desde el momento en que se detectó el incidente. Como mínimo, las empresas informarán de:
- El número de interesados afectados
- Los datos afectados
- Las circunstancias del incidente
- Las posibles consecuencias de la brecha de seguridad
- Las medidas adoptadas para minimizar esas posibles consecuencias y efectos
Responder las solicitudes de derechos de los interesados
Los responsables del tratamiento, es decir, las empresas, siempre deben responder a las solicitudes de derechos de la protección de datos que reciban de los interesados, para lo que disponen de un plazo determinado en función del derecho reclamado.
En cualquier caso, siempre deben dar respuesta y hacerlo a través del mismo medio usado por el interesado o por el que este le indique en su solicitud. En caso de denegar el ejercicio del derecho, deberá motivarlo y justificarlo de manera suficiente.
Así mismo, deberá quedar constancia de todas las solicitudes recibidas y de las respuestas dadas.
Cumple las obligaciones de la LOPD y el RGPD con ayuda profesional
Como habéis podido comprobar, las obligaciones de protección de datos para las empresas son numerosas e implican conocer bien la normativa, además de poder dedicarle el tiempo necesario. Tened en cuenta que no cumplir la Ley de Protección de Datos o hacerlo de manera insuficiente o inadecuada, puede suponer la imposición de sanciones por parte de la AEPD (cuyas cuantías pueden alcanzar y sobrepasar los 300.000 euros).
Por ello y para estar seguros de que vuestra empresa cumple al cien por cien con la legalidad en materia de protección de datos, lo más recomendable es contratar RGPD y LOPD como un servicio más para tu empresa o negocio y hacerlo con una empresa LOPD experta en la materia, como es Grupo Atico34; con más de 12 años de experiencia y numerosos clientes satisfechos, contamos con un equipo de profesionales que se asegurarán de que vuestra empresa cumpla con todas las obligaciones de la Ley de Protección de Datos.