¿Qué son y qué importancia tienen los datos personales?
¿Qué obligaciones tengo como organización respecto a los datos de carácter personal?
¿Qué ocurre si no cumplo con la normativa? ¿Qué puedo hacer si ya me han sancionado?

¿Qué son y qué importancia tienen los datos personales?

Los datos personales son conocidos como el nuevo petróleo del siglo XXI, un negocio en alza y por tanto también una obligación de gestión para las empresas y entidades públicas. No vale tratarlos de cualquier forma y debemos tener en cuenta que ciertas infracciones de la normativa pueden conllevar sanciones económicas millonarias.

Por ello, si tu organización trata de alguna manera algún dato de carácter personal (de clientes, trabajadores, etc.) es necesario tener en cuenta el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD-GDD), que es la normativa aplicable a la materia. Este artículo tiene como objetivo explicar algunos aspectos fundamentales de ambas normas y ayudarte así en la buena marcha de tu organización y empresa, acercándote los puntos fundamentales que debes saber sobre la normativa de protección de datos de carácter personal, el RGPD y la LOPD-GDD.

Pero, ¿cómo sé si mi empresa está tratando algún dato de carácter personal o no? Pues bien, para empezar, si tienes clientes, la respuesta va a ser casi siempre que sí.

El RGPD define como dato personal, toda aquella información sobre una persona física identificada o identificable (“el interesado”). Además, se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. Es decir, estamos ante una definición muy amplia, en tanto en cuanto se establece que la persona puede ser identificada tanto directa como indirectamente, y porque el propio concepto nos habla de que será dato, toda aquella información sobre una persona física: datos de localización un identificador en línea, un nombre….

Y estos datos son los que las empresas no pueden tratar de cualquier manera, ya que existen unas obligaciones legales a cumplir y evitar multas y problemas de reputación garantizando el derecho a la intimidad de los interesados.

Cabe mencionar que las normas citadas, ambas aplicables desde el año 2018, vienen a garantizar un derecho fundamental de la Constitución Española que es el derecho a la intimidad. Entre sus novedades se encuentra la incorporación del derecho al olvido y la necesidad de obtener consentimiento para el tratamiento de datos. También recoge una serie de principios aplicables.

¿Qué obligaciones tengo como organización respecto a los datos de carácter personal?

De manera general, conviene analizar la responsabilidad de la organización con el siguiente esquema: entrada (los datos que acceden a la organización), uso (para qué se utilizan) y salida (si se ceden a terceros). Además, conviene aclarar que no sólo se trata de cumplir la normativa, hay que ser capaz de demostrar que efectivamente se está cumpliendo.

Más concretamente, las empresas y demás organizaciones deben adoptar medidas de responsabilidad proactiva. Y entre ellas, existe la obligación de realizar una valoración del riesgo de los tratamientos que realicen para poder determinar qué medidas se van a adoptar y cómo. Se deben tener en cuenta el tratamiento de datos sensibles, número de personas, elaboración de perfiles…

También deberán llevar un registro de tratamiento de datos respecto a cuestiones como nombre y datos del responsable de tratamiento o del Delegado de Protección de Datos; la finalidad del tratamiento; la descripción de categorías de interesados y categorías de datos personales tratados y la transferencia internacional de datos.

Además, es necesario tomar medidas desde un inicio sobre organización y técnicas respecto a la cantidad de datos tratados, extensión, periodos de conservación y la accesibilidad de datos (Protección de Datos desde el Diseño y por Defecto).

Las medidas de seguridad se establecen en función de los riesgos detectados y no sólo según los datos objeto de tratamiento. Otra obligación existente es la de avisar a la autoridad de protección de datos competente si hay probabilidad de riesgo para los derechos y libertades de los afectados en el plazo de 72 horas. También se realizará una evaluación de Impacto sobre la Protección de Datos y se designará un Delegado de Protección de Datos (DPD en adelante) en aquellos casos que establezca la ley. De todas maneras, aún en los casos donde no es obligatoria la designación, es muy recomendable como medida de responsabilidad proactiva.

Este DPD tiene entre sus funciones encomendadas tareas de información y asesoría a los trabajadores sobre protección de datos, supervisión, cooperación con la autoridad de control y en ocasiones actuar como punto de contacto de estos para cuestiones relativas al tratamiento de datos.

Los derechos que hay que respetar por parte de las organizaciones son los famosos antiguos Derechos Arco, que se amplían con la nueva regulación del Reglamento en 2018, pasando a ser así más garantistas.

Otra de las cuestiones fundamentales es gestionar de manera adecuada las relaciones con los encargados de tratamiento. Por un lado, los encargados tienen la obligación de mantener un registro de actividades de tratamiento de datos, determinar las medidas de seguridad aplicables y designar un Delegado de Protección de Datos en los supuestos explicados anteriormente.

¿Y cómo se escoge al encargado del tratamiento? Pues bien, el criterio de la ley se limita a decir es que se elegirán aquellos que ofrezcan garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas. El contrato no podrá tener remisiones genéricas a la ley y su contenido mínimo se regula de forma minuciosa.

¿Qué ocurre si no cumplo con la normativa? ¿Qué puedo hacer si ya me han sancionado?

El incumplimiento de estas medidas puede acarrear multas muy altas dependiendo de la gravedad de la infracción cometida. Cabe mencionar que el régimen sancionador se aplica a los responsables y encargados del tratamiento, no al delegado de protección de datos.

Es importante siempre adoptar las medidas correctoras y preventivas adecuadas para evitar la sanción.

Aunque es cierto que la normativa es mucho más extensa y compleja, esperamos que este artículo te haya servido para hacerte una idea de las obligaciones a las que estás sujeto.

Si tienes alguna duda, puedes consultarnos sin compromiso.

Imagen: Imagen de Pexels en Pixabay

Publicaciones Similares

BLOCKCHAIN

BLOCKCHAIN

PorAndoni García

¿Qué es Blockchain? y ¿cómo funciona?Cómo ganar dinero con BlockchainRegulación BlockchainPor qué es seguroDónde invertir: bitcoin ¿Qué es Blockchain? y ¿cómo funciona? Probablemente hayáis oído hablar de la tecnología Blockchain estos últimos años, pero no hay mucha gente que comprenda realmente lo que implica esto: su tecnología y las aplicaciones que pueda llegar a tener….

Derechos RGPD (Reglamento General de Protección de Datos)

Derechos RGPD (Reglamento General de Protección de Datos)

PorCodetechnic

¿En qué consisten? Derecho de acceso Derecho de rectificación Derecho de supresión (con la variante del derecho al olvido) Derecho de oposición Derecho de limitación Derecho de portabilidad Derecho a no ser objeto de decisiones individuales automatizadas ¿En qué consisten? Los derechos relativos a la protección de datos son sumamente importantes para cualquier persona que…

Teletrabajo: cómo adaptarnos a trabajar desde casa

Teletrabajo: cómo adaptarnos a trabajar desde casa

PorAndoni García

¿Qué es el teletrabajo? ¿Cómo hacer teletrabajo? Regulación del teletrabajo Control en el teletrabajo Teletrabajo y protección de datos ¿Quién puede solicitar el teletrabajo (covid 19)? ¿Qué es el teletrabajo? El teletrabajo es la realización remunerada de la jornada laboral fuera del centro de trabajo de la empresa, normalmente se realiza desde casa y aparece…

Estrenamos web

Estrenamos web

PorAndoni García

Bienvenidos a la nueva web de SEINALE, podrás conocer nuestros servicios tanto jurídicos como informáticos para tener tu web protegida y defender tus derecho en la red. A través de nuestras FAQs tendrás respuesta a esas cuestiones que siempre te has preguntado, y si quieres saber más, en CONTACTO podrás ponerte en contacto con nosotros,…