Ley de Protección de Datos

Entendiendo y Aplicando la normativa en tu Negocio 

En un momento histórico en que la información personal se ha convertido en moneda de cambio, La Ley de Protección de Datos surge como figura regulatoria para salvaguardar la privacidad de los individuos y garantizar el uso ético de sus datos. Esta legislación establece una serie de principios y obligaciones que las organizaciones deben seguir a la hora de recopilar, procesar y almacenar datos de carácter personal.

Para las empresas, esta ley no solo implica el cumplimiento de los requisitos legales sino la necesidad de adoptar medidas para proteger la confidencialidad y garantizar la seguridad de los datos de sus clientes y empleados. A lo largo de este artículo veremos los aspectos clave para entender esta normativa y cómo aplicarla a nuestro negocio. 

LOPD y RGPD: ¿Qué es la Ley de Protección de Datos?

La LOPD y el RGPD son las normativas que tienen el objetivo de garantizar la seguridad de las personas y de proteger su intimidad frente a las empresas que están en posesión de sus datos personales.

Pero ¿qué diferencias hay entre la LOPD y el RGPD?  

• LOPD

  Se refiere a la Ley Orgánica de Protección de Datos, si bien es cierto que el nombre completo de la actual normativa es Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD). Esta ley entró en vigor a nivel nacional el 6 de diciembre de 2018, sustituyendo a la antigua Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.

   

   

   

• RGPD

  Corresponde al Reglamento General de Protección de Datos de la Unión Europea, aprobado en mayo de 2016 y de aplicación en todos los estados miembros desde el 25 de mayo de 2018.  

Es decir, la LOPD es una ley de aplicación nacional, mientras que el RGPD es un reglamento europeo.

Cabe destacar que la LOPD y el RGPD son de obligado cumplimiento para aquellas empresas que en el desempeño de su actividad económica o comercial puedan tratar con datos personales de clientes, proveedores o de empleados a su cargo. En otras palabras, se debe cumplir con la LOPD y el RGPD, siempre y cuando estos recaben información de carácter personal. 

Implementación y Cumplimiento de la Ley de Protección de Datos

La importancia de saber cómo implementar la Ley de Protección de Datos y el Reglamento General de Protección de Datos viene dada por su carácter de obligado cumplimiento por todas aquellas empresas, autónomos y pymes que recaben en sus negocios datos personales, entendidos éstos como todos aquellos que identifiquen a una persona física.  

Siendo los principales puntos de actuación para su cumplimiento:

• Brechas de seguridad: señala que estas deben notificarse en un plazo máximo de 72 horas y amplía los derechos existentes en la antigua normativa (derechos ARCO, de Acceso, de Rectificación, de Cancelación y de Oposición), añadiendo derechos al Olvido, a la Limitación y a la Portabilidad.

• Delegado de Protección de Datos: rol obligatorio para las entidades que realicen tratamientos a gran escala.

• Evaluación de impacto: este tipo de evaluación es obligatoria cuando suponga un riesgo para los derechos y libertades de las personas físicas.

• Consentimiento: se debe informar a las personas de sus derechos de forma tácita y conseguir la aprobación inequívoca.

• Terceros: obliga a la firma de contrato con los encargados del tratamiento y a solicitar un certificado para verificar que se cumple con la normativa

Además, la sanción por incumplimiento que anteriormente se establecía en un rango de 900 a 600.000€, ahora representará de un 2 a un 4% de la facturación anual de la entidad hasta 20 M€.

Para evitar estas sanciones, es aconsejable contar con la asesoría de profesionales especializados en LOPD, RGPD y protección de datos. De este modo, garantizamos que los expertos se encarguen de asegurar nuestro cumplimiento normativo y una gestión adecuada de los datos conforme a la legislación vigente. 

Novedades en la normativa y como adaptarla a tu situación

Además de los puntos esenciales mencionados anteriormente, estas normativas se adaptan a la actualidad y legislan puntos clave para las empresas como puedan ser las transferencias en ámbito internacional o el correcto registro de la jornada laboral garantizando la privacidad de los empleados, y aporta directrices claras para la seudonimización, un paso fundamental para el procesamiento de datos de manera anónima.

• Transferencias Internacionales Con la implementación de la nueva normativa, las transferencias de datos a países no sujetos al RGPD se han visto restringidas por el alto riesgo que representan para la privacidad de los usuarios al no poder garantizar una protección equiparable. Por ello, conocer la ubicación de los proveedores con acceso a los datos y de sus servidores se vuelve fundamental.

  La restricción es tal, que en julio de 2016 se aprobó y entró en vigor el Privacy Shield, un acuerdo entre la Unión Europea y los Estados Unidos que aseguraba altos estándares de protección de datos para las transferencias transatlánticas de información. Sin embargo, en julio de 2020, el Tribunal de Justicia de la Unión Europea lo declaró inválido al considerar que la legislación estadounidense no proporcionaba el mismo nivel de protección al usuario.

  En la actualidad, existen otros mecanismos que permiten la transferencia internacional de datos a países que carecen de normativas propias para regular la protección de datos personales.

• Seudonimización en RGPD Mecanismo recogido y detallado en el RGPD, que se establece con el propósito de salvaguardar los datos personales al dificultar la identificación de una persona específica sin contar con información adicional. Este proceso implica reemplazar los datos identificativos directos con información ficticia o pseudónimos, lo que añade una capa adicional de protección a la privacidad de los individuos. La seudonimización no elimina completamente la identificación de datos, pero reduce significativamente el riesgo de acceso no autorizado y el daño potencial en caso de una brecha de seguridad.  

   

• Control de la jornada en el ámbito laboral Recientemente la Agencia Española de Protección de Datos ha publicado una guía sobre el tratamiento de los datos biométricos laborales, que limita mucho su uso para cumplir la obligación legal de las empresas de registrar la jornada de los trabajadores. 

  Anteriormente, era común realizar la recogida de estos datos mediante huella dactilar o reconocimiento facial, pero esta guía ha limitado considerablemente esas posibilidades de uso.  

Soy Autónomo, ¿me afecta?

Aunque los autónomos son personas físicas, en el desempeño de su actividad económica o comercial, pueden tratar con datos personales de clientes, proveedores o de empleados a su cargo. Asimismo, también podemos encontrar a autónomos cuya actividad requiera el tratamiento de datos especialmente protegidos como pueden ser los de salud, afiliación sindical u origen racial entre otros, que implicarían un riesgo más elevado.

Existe la posibilidad de adaptar el RGPD online para autónomos a través de un proceso digital de adaptación de páginas web, E-commerce y APPs que se centra, entre otros, en:

• Aviso legal: Documento que detalla los datos identificativos de la empresa, entidad o autónomo propietario del sitio Web.

• Política de cookies: Documento donde se identifica toda la información relativa a las cookies en general, y donde se detallan específicamente las que se recogen en el sitio web.

• Política de privacidad: Documento donde se facilita toda la información relativa al tratamiento de los datos recogidos en la propia web en los diferentes formularios.

• Términos y condiciones: Documento donde se regulan las condiciones que rigen las compras que se realizan en el sitio Web. Además de la normativa en protección de datos, también regula aspectos de la normativa de protección al consumidor.  

¿Que debo hacer?

Mantener tu negocio actualizado con las nuevas normativas gestionando la información sensible y fortaleciendo la seguridad jurídica frente a terceros es un reto constante, pero que además de evitar sanciones por parte de la Autoridad de Control, genera mayor confianza a tus clientes y proveedores.