Empresas y la ley de protección de datos

La ley de protección de datos ha cambiado mucho. Seguro que lo has notado cuando has tenido que solicitar información o cuando has tenido que dar tus datos. Pero sobre todo las que se tienen que andar con mucho cuidado son las empresas a la hora de manejar este tipo de cuestiones. Existen ahora nuevas sanciones que se elevan sustancialmente, pudiendo alcanzar hasta 20.000.000 € o el 4% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la sanción de mayor cuantía. Afortunadamente, es fácil evitar esto, pero tienes que ponerte en manos de profesionales. Hablamos con Dposa para que nos cuenten qué tienen que hacer las empresas para no llevarse las manos a la cabeza.

“El objetivo principal que se busca con esta nueva legislación es que el usuario pueda conocer quién tiene sus datos personales y qué uso se está haciendo de ellos, teniendo la última decisión al respecto, todo enmarcado en el principio básico de la transparencia, con una información clara y directa”, nos explican desde la empresa.

De esta manera, las empresas, los autónomos, las asociaciones, e incluso las administraciones públicas, tendrán que pedir a los ciudadanos su consentimiento expreso y específico para cada acción que quieran llevar a cabo que implique el uso o tratamiento de sus datos. De no hacerlo, puedes incurrir en una sanción muy grave. Y es que hasta ahora, era será válido con la aplicación del consentimiento tácito, es decir, considerar que un usuario acepta lo que no rechaza abiertamente. Tampoco se le podrá ofrecer casillas previamente macadas de asentimiento, y que el artículo 25 del reglamento hace referencia a la privacidad por diseño y defecto como principios obligatorios. Pero esto ha cambiado.

Para que tu empresa se encuentre enmarcada en el marco de la legalidad, una cuestión que es vital para que permanezca abierto sin tropiezos legales, puedes tomar nota aquí.

Impacto de privacidad

Algunas organizaciones ya realizan evaluaciones de impacto de privacidad como una buena práctica. Si es así, el concepto te resultará familiar, pero aún debes revisar tus procesos para asegurarse de que cumplan con los requisitos del RGPD. Las EIPD ahora son obligatorias en algunos casos, y existen requisitos legales específicos para el contenido y el proceso. Si aún no tienes un proceso de evaluación de impacto en protección de datos, debes diseñarlo e integrarlo en tus políticas y procedimientos. También debes revisar tus operaciones de procesamiento existentes y decidir si necesitas hacer una EIPD para cualquier cosa que pueda ser de alto riesgo.

Las empresas obligadas a hacer esta EIPD son:

  • Empresas que realicen un tratamiento automatizado como elaboración de perfiles
  •     Aquellas cuyas actividades consisten en un tratamiento a gran escala de datos sensibles o relativos a condenas o infracciones penales
  •     Si realizan un tratamiento sistemático a gran escala de zonas de acceso público
  • Delegado de Protección de Datos

Esta normativa europea introduce una figura de la que todo el mundo habla y es el Delegado de Protección de Datos. Será el encargado de supervisar en la empresa el cumplimiento de la normativa de Protección de Datos y de comunicarse con la AEPD. Ahora bien, no todas las empresas necesitan un DPO. Sólo será obligatorio en los siguientes casos:

Si se trata de Entidades u organismos públicos

  •     Cuando el tratamiento consista en realizar un seguimiento regular y sistemático del interesado a gran escala
  •     Empresas que realicen tratamientos a gran escala de categorías especiales de datos

Preguntas y dudas

¿Puedo realizar envíos masivos de mail sin autorización expresa?

No puedes realizar mailing masivo sin tener el consentimiento expreso de los afectados. En nuevo Reglamento hace hincapié en que deberás obtener el consentimiento de forma libre, específica, informada y que no presente ambigüedad.

¿Se pueden instalar cámaras de videovigilancia con la finalidad de control empresarial?

Sí es posible instalar esas cámaras pero solo cuando exista una relación de proporcionalidad entre la finalidad perseguida y el modo en que se traten las imágenes y no haya otra medida más idónea. Asimismo, se deberá informar personalmente a los trabajadores, o en su caso, a través de la representación sindical, por cualquier medio que garantice la recepción de la información.

Las tarjetas identificativas de los trabajadores ¿Pueden incluir nombre, apellidos y DNI?

Sólo podrán incluirse estos datos cuando la finalidad que justifica esa inclusión es precisamente garantizar su identificabilidad en el desempeño de sus funciones. Aquí el tratamiento de los datos puede considerarse amparado en el marco de la ejecución de un contrato.

Ahora solo queda esperar cuál va a ser la actitud que van a adoptar las empresas ante estos nuevos derechos que ahora les asisten. Entre todos podemos hacerlo para que no haya sustos ni por un lado ni por otro.