Cómo afecta la nueva Ley de Protección de Datos a las empresas

Desde el año 2018 las pymes enfrentan una serie de cambios cruciales debido al Reglamento Europeo de Protección de Datos. Sin embargo, en 2021, estas transformaciones se intensificaron con la Ley Orgánica 7/2021. ¿Qué implica realmente esta nueva normativa para las empresas? 

Descubre cómo la nueva Ley de Protección de Datos está redefiniendo el panorama empresarial y cómo puedes prepararte para cumplir con sus exigencias.

La nueva Ley de Protección de Datos en España en el ámbito empresarial

La nueva Ley de Protección de Datos en España impone estrictas obligaciones a las empresas para garantizar la privacidad y seguridad de la información personal que manejan de sus clientes. En este sentido, las organizaciones deben implementar políticas de privacidad claras, realizar auditorías de protección de datos y garantizar la encriptación y anonimización de datos sensibles. 

Además, se exige obtener el consentimiento informado de los usuarios y proporcionarles derechos como el acceso, rectificación, y portabilidad de sus datos. 

Las empresas también deben estar preparadas para notificar violaciones de datos de manera oportuna y enfrentar sanciones severas en caso de incumplimiento, reforzando así la transparencia y responsabilidad en el manejo de datos personales.

Cómo afecta el nuevo Reglamento a las empresas: cumplimiento y obligaciones

Con la nueva normativa, el envío de ficheros quedó obsoleto, pero esto no significa que las pequeñas empresas estén libres de cumplir con la regulación.

El impacto del Reglamento de Protección de Datos en una empresa varía según su actividad, la cantidad de datos que maneje y el tipo de datos procesados. Por lo tanto, las obligaciones difieren.

Las pymes, sin importar su tamaño o facturación, deben implementar ciertas medidas. Analicemos algunas de ellas:

Mantener un registro de actividades

De acuerdo al artículo 30 del Reglamento Europeo de Protección de Datos, las empresas deben llevar un registro detallado de todas las actividades de tratamiento de datos si cumplen con alguno de los siguientes criterios:

• Tienen más de 250 empleados.
• Realizan tratamientos de datos con riesgo.
• Tratan datos regularmente, no de manera ocasional.
• Manejan categorías especiales de datos personales, como origen étnico, opiniones políticas, creencias religiosas, afiliación sindical, datos genéticos o biométricos, salud, vida sexual u orientación sexual. Estas categorías quedan recogidas en el artículo 9 de la Ley de Protección de Datos de la RGDP.
• Tratan condenas e infracciones penales.

Nombrar un delegado de protección de datos

La nueva Ley (art. 39 del reglamento GDPR) introduce la figura de delegado de protección de datos, responsable de garantizar el cumplimiento normativo dentro de la empresa. Este puede ser un empleado o un consultor externo.

Algunas situaciones que obligan a tener un delegado en pymes incluyen:

• Empresas que traten datos especiales (afiliación sindical, salud, etc.).
• Aquellas que requieran una observación habitual y sistemática de datos a gran escala (por ejemplo, captación de datos a través de una página web, envíos de campañas de email, etc.).
• Centros educativos privados.
• Proveedores de servicios de comunicaciones electrónicas.
• Entidades financieras y aseguradoras.
• Comercializadoras de energía.
• Empresas de publicidad y prospección comercial.
• Centros sanitarios.
• Empresas de seguridad privada.

Asignar un responsable de privacidad

Si una empresa no está obligada a tener un delegado de protección de datos, debe designar a un responsable de privacidad. 

Esta persona, que puede ser un autónomo o un empleado, se encargará de velar por la privacidad de los datos y asegurar que la empresa cumpla con la normativa y realice evaluaciones de impacto. Es recomendable que el responsable reciba formación adecuada para desempeñar esta tarea de manera efectiva.

Si tengo una pequeña empresa y no tengo datos de clientes, ¿cómo me afecta?

Tal vez pienses que, como pequeña empresa sin datos de clientes, esta normativa no te afecta. Sin embargo, aquí te mostramos varios casos donde las pymes recogen datos de manera habitual sin darse cuenta.

Si estás pensando en crear una pyme, pero aún no has dado el paso, te recomendamos que leas esta guía completa sobre cómo constituir una pyme paso a paso. 

Estas son algunas gestiones que implican el tratamiento de datos y que debes revisar:

• Documentación y formularios: solicitudes, contratos, y cualquier tipo de documentación que recoja datos personales.
• Datos de salud: empresas de estética y salud suelen recopilar información médica de los clientes, lo que puede obligar a tener un delegado de protección de datos.
• Nóminas y contratos: datos personales de empleados necesarios para la gestión laboral.
• Página web: puedes tener cookies activadas para rastrear la navegación de los usuarios o registrar sus datos.
• Cámaras de vigilancia: cuando se graba a usuarios o empleados, implicando el manejo de datos personales.
• Datáfono: al utilizarlo, se están procesando los datos de las tarjetas de los clientes.
• Proveedores: información personal de proveedores con los que colaboras.
• Datos de menores: si, por ejemplo, diriges una pequeña academia con menores, estos datos son de alta sensibilidad y requieren especial atención.

¿Cómo saber si tu empresa está obligada a cumplir con la nueva Ley de Protección de Datos? 

Es fundamental conocer qué datos se manejan para cumplir adecuadamente con el RGPD y la LOPD en las empresas, ya que no todos los tipos de datos personales requieren las mismas obligaciones. 

Conocer los datos personales que maneja la empresa es esencial para identificar los riesgos asociados y aplicar las medidas de seguridad necesarias para garantizar la integridad y privacidad de la información. También es crucial para evaluar el nivel de cumplimiento de la normativa de protección de datos y determinar si es necesario adoptar nuevas medidas para corregir deficiencias.

Las empresas deben ser proactivas en el cumplimiento del RGPD y la LOPD, lo que significa que las medidas de protección de datos deben aplicarse desde el diseño y por defecto, antes de realizar cualquier tratamiento de datos. Además, deben ser capaces de demostrar este cumplimiento.

¿A qué datos se aplica la LOPDGDD y el RGPD?

La LOPD-GDD y el RGPD se aplican a los datos personales, definidos como cualquier información que pueda identificar o permitir la identificación de una persona y que sea manejada por un tercero.

Estos reglamentos se aplican a:

1. Datos personales almacenados en soporte físico.

2. Datos susceptibles de ser tratados.

3. Cualquier uso posterior de estos datos por parte de sectores públicos y privados, en las siguientes situaciones:

• Tratamiento realizado en territorio español dentro de las actividades de una entidad responsable del tratamiento.
• Tratamiento realizado por responsables no establecidos en España, pero sujetos a la legislación española por normas de Derecho Internacional Público.
• Tratamiento realizado por responsables fuera de la UE, que utilicen medios situados en territorio español, excepto si estos medios se utilizan solo con fines de tránsito.

¿Qué datos quedan excluidos de la LOPDGDD y el RGPD?

Existen ciertos tipos de datos personales que, aunque identifiquen a una persona específica, están excluidos del alcance de esta normativa. Estos incluyen:

• Tratamiento de datos con fines domésticos: esta ley no se aplica a situaciones como el uso de la agenda personal de un teléfono móvil.
• Datos relacionados con personas jurídicas y sus contactos: la regulación no cubre el tratamiento de datos de personas jurídicas, ni de ficheros que solo incluyan información básica de personas físicas, como nombre, cargo, dirección y contacto profesional.
• Datos de empresarios individuales: la LOPDGDD y el RGPD no se aplican a datos relacionados con empresarios individuales en su capacidad comercial.
• Datos de personas fallecidas: la normativa de protección de datos no se extiende a información sobre personas fallecidas. Sin embargo, familiares pueden solicitar la corrección o eliminación de estos datos mediante la presentación de documentos adecuados que demuestren el fallecimiento.

¿Qué derechos pueden exigir los clientes a las empresas?

Los clientes tienen derechos que deben ser respetados y cumplidos por las empresas. En primer lugar, tienen derecho a saber cómo se utilizarán y almacenarán sus datos personales.

Además, pueden solicitar que se suspenda o elimine el tratamiento de sus datos personales, y tienen derecho a que se corrijan si están incompletos o incorrectos.

Asimismo, tus clientes también tienen derecho a saber si te han hackeado. La empresa dispone de 72 horas para notificarlo a las personas a las que sus datos han sido expuestos a la AEPD. 

Es responsabilidad de la empresa responder de manera rápida y efectiva a estas solicitudes.

Cambios relevantes a destacar que afectan a las pymes en relación a la nueva Ley de Protección de Datos

Los cambios más destacados introducidos por la Ley de LOPD pueden resumirse de la siguiente manera:

• Incremento en las sanciones: la Agencia Española de Protección de Datos ahora tiene autoridad para imponer multas de hasta el 4% de la facturación anual de una empresa, con responsabilidades en los ámbitos civil, penal y laboral.
• Aplicación del Principio de Responsabilidad Activa (Accountability): las empresas deben adaptar sus procesos y documentación para cumplir con la normativa de LOPD y demostrar ante reclamaciones su diligencia en la protección de datos.
• Privacidad por diseño y por defecto: las empresas deben considerar desde el principio qué medidas de seguridad son necesarias según el tipo de tratamiento de datos.
• Refuerzo del consentimiento informado: el consentimiento debe ser claro y obtenido a través de acciones explícitas, no se considera válido el silencio como consentimiento.

Además, la Ley afectó a las pequeñas y medianas empresas (pymes) de varias maneras:

• La comunicación con los clientes y el tratamiento de datos biométricos (huellas dactilares) se vieron afectados por cambios introducidos en la Ley Orgánica 7/2021. Estos datos se considerarán de categoría especial, son capaces de identificar a una persona de manera única e inequívoca.
• La Ley de teletrabajo, específicamente el artículo 18 sobre el derecho a la desconexión digital, establece obligaciones para las pymes en relación con el tiempo de descanso y la intimidad de los trabajadores. Las empresas no pueden contactar a los empleados fuera de su horario laboral.
• Se espera que este año Google elimine las cookies de terceros de su navegador Chrome para mejorar la seguridad y privacidad de los usuarios. Esto significa que las pequeñas empresas ya no podrán seguir los movimientos de los usuarios en línea ni recopilar sus datos para dirigirles publicidad personalizada.

Sanciones por no cumplir con la Ley de Protección de Datos

Las sanciones por incumplir la Ley de Protección de Datos pueden ser clasificadas en tres categorías: leves, graves y muy graves.

• Para las infracciones leves, las multas oscilan entre 900 y 40.000 euros. Por ejemplo, no registrarse en el fichero de datos del Registro General de Protección de Datos o proporcionar información incompleta a la AEPD.
• Las infracciones graves conllevan multas de 40.001 a 300.000 euros. Un ejemplo sería el tratamiento de datos personales por parte de una empresa sin el consentimiento expreso del usuario o el uso de un certificado caducado.
• Por último, las infracciones muy graves pueden resultar en multas de 300.001 a 600.000 euros. Un ejemplo sería la recopilación fraudulenta de datos por parte de una empresa o la negativa a atender solicitudes de cancelación.

La Ley de Protección de Datos en España es una normativa que afecta a todos los negocios, independientemente de su tamaño. Es crucial adaptarse a ella para evitar posibles sanciones y proteger la privacidad tanto de los clientes como de los empleados. 

En Flesip nos comprometemos con la seguridad y privacidad de nuestros clientes, trabajando con proveedores certificados y utilizando los estándares de seguridad más avanzados. Todos los datos almacenados en nuestra plataforma están encriptados en la nube y protegidos. Puedes encontrar más información en nuestra política de privacidad.Esperamos que este artículo te haya resuelto tus dudas relacionadas sobre la protección de datos en el ámbito empresarial. Si quieres estar al tanto de todo esto, visítanos en nuestro blog para estar informado sobre las novedades que vayan surgiendo sobre el tema.