¿Qué es la LOPD?, obligaciones de protección de datos personales
La LOPD, protección de datos personales, no solo afecta a las empresas digitales, afecta a la gran parte de los autónomos y pymes que deben cumplir con esta normativa.
Índice
¿Qué es la protección de datos personales, LOPD?
La protección de datos personales es la obligación que tienen autónomos y Pymes sobre los datos de carácter personal que recopilan en su actividad y que están sujetos a una serie de tratamientos y restricciones para la circulación y uso de los mismos.
Esta protección para los datos personales estaba sustentada en España hasta el 2018 por la Ley Orgánica de Protección de Datos de carácter personal, LOPD.
Aunque la obligación ya quedó nombrada como LOPD, el 6 de diciembre de 2018 fue sustituida por la normativa Europea, RGPD, Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales.
Así, aunque seguimos nombrando la obligación como LOPD, ya estaríamos hablando de las obligaciones de la nueva ley, la RGPD.
¿Qué se consideran datos de carácter personal?
Se entiende como dato de carácter personal cualquier información de una persona física, no jurídica, no una empresa, identificada o identificable.
Datos como, nombre y apellidos, dirección, teléfono, DNI, firma, correo electrónico, sexo, fecha de nacimiento….
Estos datos son recogidos en lo que se denomina ficheros, bien automatizados, soporte informático, bien no automatizados, en papel o soporte físico.
¿Quién está obligado a cumplirla?
Está obligado a cumplir con la normativa vigente de protección de datos personales todas las personas, físicas y jurídicas, y para las administraciones, que posean datos de carácter personal de personas físicas.
Los datos de personas jurídicas no están sujetos a esta obligación.
Se distinguen dos tipos de responsables y responsabilidades con respecto a los datos de carácter personal
- Responsable de los datos, el titular o propietario de los ficheros que contienen datos de carácter personal.
- Encargados del tratamiento, encargados o habilitados para el tratamiento de los datos de carácter personal.
Tipos de datos
Los datos de carácter personal se clasifican según la sensibilidad de los mismos dotándolos de diferentes niveles de protección.
- Nivel básico de protección, datos generales como nombre y apellidos, dirección, teléfono, email, datos bancarios, sexo, nacionalidad, edad…
- Nivel medio de protección, datos relativos a infracciones administrativas y penales, solvencia, datos de Hacienda …
- Nivel alto de protección, ideología política, afiliaciones sindicales, religión, datos de salud.
Obligaciones para PYMES y Autónomos de la LOPD
Las pymes y autónomos tienen una serie de obligaciones para el tratamiento de los datos personales.
Registro de Actividades de Tratamiento
Esta obligación está recogida en el artículo 30 del RGPD y el artículo 31 de la LOPDGDD.
Deberemos tener un documento donde recoger los protocolos, procedimientos y actividades relacionadas con el procesamiento de los datos de carácter personal.
Este registro, además de ser obligatorio, te servirá para poner en marcha un buen plan de acción que cumpla con las obligaciones de la protección de datos.
Este registro de actividad es obligatorio tanto para el responsable como para el encargado del tratamiento y debe contar con la siguiente información
- Datos de contacto de los responsables y encargados.
- Finalidad del tratamiento.
- Tipos de datos personales.
- Posibles destinatarios para la cesión de datos.
- Tiempo estimado de conservación de los datos.
- Medidas para la protección de los datos, herramientas, protocolos, medidas de seguridad, etc..
Información para los interesados
El RGPD regula la información que debemos facilitar a los interesados a la hora de recabar sus datos personales.
- Responsable del fichero
- Fines del tratamiento
- Destino de los datos
- Derecho de los interesados, acceso, rectificación, supresión, limitación, portabilidad, y oposición.
- Base jurídica del tratamiento
- Tiempo de conservación de los datos
- Identificación del Delegado de Protección de Datos DPO, si existiera.
- Transferencias internacionales de datos, si los hubiera.
Consentimiento para el tratamiento
La normativa de Protección de Datos vigente exige un consentimiento EXPRESO para el tratamiento de los datos.
La LOPDGDD y el RGPD fijan que el consentimiento debe ser inequívoco y conllevar una acción afirmativa de aceptación.
Además, la normativa otorga derecho específico a retirar el consentimiento y obliga a informar del derecho y a habilitar procedimientos sencillos para ejercitar este derecho en cualquier momento.
Encargados de tratamiento y sus contratos
Es obligatorio reflejar en un contrato cualquier acuerdo con un tercero que implique el tratamiento de los datos de carácter personal.
Aquí están incluidas las empresas que podamos contratar para gestionar estas obligaciones o la empresa encargada de asesorarnos o llevarnos la contabilidad, así como cualquier empresa a la que necesitemos dar acceso a estos datos.
Este contrato reflejará las instrucciones de uso del fichero que el responsable fija para el encargado de su uso.
- Seguridad para su uso.
- Confidencialidad de los datos aportados.
- Obligación y procedimiento de comunicación de incidencias de seguridad.
- Procedimiento para el destino de los datos una vez finalizada la prestación de servicio.
Análisis de riesgos
Todos los obligados por la protección de datos personales deben realizar un análisis de riesgo y desarrollar soluciones para evitar estos riesgos.
Este análisis debe ser renovado de manera periódica y debe adaptarse a las nuevas circunstancias y cambios que se produzcan en la organización.
- Identificar amenazas y debilidades
- Evaluar los riesgos para la protección de los datos que gestionamos.
- Medicas correctivas y preventivas.
Evaluación de impacto en Protección de Datos
Esta evaluación es obligatoria cuando el tratamiento de los datos por su tipo, alcance o fines de uso tenga un alto riesgo para los derechos y libertades de las personas.
Las empresas obligadas son las que realicen
- Tratamientos automatizados.
- Tratamientos a gran escala de datos sensibles.
- Tratamientos sistemáticos a gran escala de zonas de acceso público.
Y el documento debe contar con.
- Tratamientos realizados.
- Justificación de la necesidad y proporcionalidad.
- Análisis de riesgos.
- Medidas para afrontar los riesgos detectados.
Delegado de Protección de Datos, DPO
Esta persona será la encargada de supervisar el cumplimiento de la Ley de Protección de datos y de comunicarse con la Agencia Española de Protección de Datos, la AEPD.
Importante saber que el DPO es obligatorio en los siguientes casos.
- Para entidades y organismos públicos.
- Empresas con tratamiento de datos de categoría especial.
- Cuando el tratamiento de los datos implique seguimiento regular sistemático del interesado.
Notificación de incidentes de seguridad
Si se produjera una fuga de datos, el responsable del tratamiento está obligado a comunicar el incidente de seguridad a la autoridad competente y a los afectados.
La comunicación deberá incluir:
- Número de afectados y tipo de datos comprometidos.
- Circunstancias del suceso.
- Posibles consecuencias.
- Medidas adoptadas para minimizar el impacto.
Consecuencias de no cumplir la LOPD
No cumplir con esta normativa puede tener consecuencias graves para las Pymes y autónomos obligados a ello.
La cuantía de las sanciones se gradúa por la naturaleza de los derechos personales afectados, el volumen de tratamiento, los beneficios obtenidos, la reincidencia, los daños y perjuicios provocados, etc..
- Infracciones leves: hasta 40.000€
- Infracciones graves: de 40.001 a 300.000€
- Infracciones muy graves: entre 300.001€ a 20.000.000€
Video LOPD, Ley de Protección de Datos
Todo lo que necesitas saber las obligaciones de protección de datos.