Protección de datos en las empresas

No es ninguna novedad la nueva regulación, a nivel de toda la UE, en materia de protección de datos para empresas, particulares y Administraciones, aún así existe mucho desconocimiento y altos riesgos.

En primer lugar como se ha indicado, la regulación para la protección de los datos personales tiene repercusión en particulares, Administraciones y empresas. En el próximo análisis nos centraremos en el ámbito empresarial.

Hay muchos conceptos en materia de protección de datos, pero si habría que destacar los más habituales, serían:

  • Responsable del tratamiento: es la persona física (autónomo) o jurídica (Sociedad), que decida sobre la finalidad, contenido y uso del tratamiento de datos personales (aunque no lo realice directamente).
  • Encargado del tratamiento: la persona física o jurídica que, solo o conjuntamente con otros, trate datos de carácter personal por cuenta del responsable del tratamiento (p.ej asesorías, empresas informáticas, etc.), como consecuencia de una relación jurídica entre ambos.
  • Datos de carácter personal: cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo que se refiera a personas físicas identificadas o identificables (de forma directa o indirecta sin necesidad de actividades desproporcionadas).
  • Afectado o interesado: la persona física que es titular de los datos que sean objeto de tratamiento.

El responsable del tratamiento, es decir el empresario, va a asumir toda la carga en materia de protección de datos. Uno de los elementos destacados de la nueva regulación, es el elevado incremento de las sanciones administrativas (hasta 20 millones de euros o el 4% del volumen de negocio anual) que podrá imponer la Agencia Española de Protección de Datos (AEPD).

La diferencia, en materia de sanciones, es elevada, teniendo en cuenta que el máximo anterior eran de 600.000 euros. No obstante, hay que tener en cuenta que existen diferentes criterios en la graduación de la sanción, todos ellos condicionados a la política que adopte la empresa en materia de protección de datos.

Además de sanciones administrativas, puede existir responsabilidades por daños y perjuicios e incluso responsabilidades penales.

Con la nueva regulación desaparecen ciertas obligaciones formales, como era la inscripción de los ficheros en la AEPD, pero por contra se impone una obligación genérica en la empresa a tener en cuenta la protección de datos en cualquier proceso, política o decisión empresarial en la que pueda existir un riesgo en la infracción de los derechos de los interesados.

El consentimiento informado es esencial con la nueva regulación y debe ser siempre de forma expresa, existen determinadas excepciones derivadas del contrato, Ley o interés legitimo del responsable, pero no se podrán usar en cualquier caso, por lo que el análisis de cada situación habrá que hacerlo de forma individualizada para evitar que la empresa se exponga a riesgos.

Es muy importante que la información  que se aporta a los interesados sea completa y conforme al nuevo Reglamento, para que el consentimiento expreso sea valido y pueda ser aportado en caso de ser necesario.

Existen obligaciones comunes para todas las empresas en la protección de datos personales, pero no todas las obligaciones de la nueva normativa se aplican a cualquier empresa de cualquier tamaño. Así mismo existen diferencias en función del tipo de datos personales tratados, por lo que habrá de tenerse en cuenta para las medidas técnicas y organizativas que tenga que realizar la empresa.

Uno de los elementos que no es obligatorio para todas las empresas, es la figura del Delegado de Protección de Datos (DPD) que es una figura interna o externa de la empresa que actúa de forma independiente a la misma y cuyas funciones son el asesoramiento, la vigilancia y control del cumplimiento de la normativa de protección de datos,  ser el enlace entre la empresa y la AEPD, así como gestionar cualquier cuestión de terceros (interesados) con la empresa en materia de protección de datos personales.

El Reglamento(UE) 2016/679 establece unos supuestos en que es obligatorio el tener un DPD, los supuestos serían:

  • Tratamiento realizado por organismo o autoridad pública. (por ejemplo un Ayuntamiento)
  • Si la actividad principal consiste en realizar operaciones de tratamiento de datos que requieran una observación habitual y sistemática de interesados. (por ejemplo una empresa de seguridad)
  • Si implican un tratamiento a gran escala de datos especiales (salud, ideología, religión, etc.) o personales referidos a condenas o delitos.

No obstante, se establece que cada Estado pueda desarrollar el Reglamento Comunitario, respetando los mínimos establecidos en el mismo y así se va a realizar en nuestro caso, mediante un nuevo proyecto de Ley Orgánica que sustituye la anterior regulación.

En esta nueva normativa, además de los supuestos indicados se amplían los casos en que se va a requerir la existencia de un DPD en la empresa.

Así se establece, entre otros, los siguientes supuestos: Colegios Profesionales, centros docentes, centros sanitarios, operadores de juego electrónico, entidades aseguradoras, servicios de inversión, empresas de seguridad privada, etc.

En el caso de no ser obligatorio un Delegado de Protección de Datos, si sería recomendable contar con un asesoramiento interno o externo en protección de datos, debido a las importantes consecuencias de su incumplimiento. Puede ser realizado por un especialista interno de la empresa o por abogados de empresa externos con especialidad en protección de datos personales, puede ponerse en contacto con nosotros en caso de querer conocer posibles servicios.

La figura del Delegado de Protección de Datos en aquellos casos en que no sea obligatorio, puede valer para poder acreditar el cumplimiento del principio de responsabilidad proactiva, obligación esta última que debe cumplir todo responsable de tratamiento de datos personales.

En este momento se puede decir que el cambio legislativo es claro en materia de protección de datos y que aunque faltan muchos elementos por precisar, existen importantes novedades que cualquier empresa debe conocer y que su desconocimiento puede tener consecuencias graves.

El planteamiento que ha realizado el legislador es similar al que se adoptó con la prevención de riesgos laborales en la empresa, queriendo realizar un cambio general en el conjunto de la empresa, de manera que todos los miembros de la empresa deben colaborar en el cumplimiento, siempre que traten datos personales.

La formación en materia de protección de datos, debe aplicarse no solo al responsable del tratamiento sino también a aquellos empleados que por sus funciones realicen un tratamiento de datos personales, para que se realice correctamente el tratamiento y evite exponer a posibles responsabilidades del responsable del tratamiento (empresario).

Los interesados o afectados cada vez tienen más conciencia de sus derechos respecto a la protección de sus datos personales y con la nueva regulación se han incrementado, como son la limitación en el tratamiento, la portabilidad de los datos o el derecho al olvido. Y se siguen manteniendo los derechos de acceso, rectificación, supresión (antes cancelación) y oposición.

Esta nueva realidad hay que tenerla presente y tomar medidas preventivas si no se quiere asumir importantes sanciones administrativas, responsabilidades civiles por daños y perjuicios o incluso penas de prisión por una responsabilidad penal.

En casa de cualquier duda o aclaración se pueden poner en contacto por las diferentes vías de que disponemos.