Seleccionar página
¿Cómo afecta la Ley de Protección de Datos a los autónomos y empresas?

¿Cómo afecta la Ley de Protección de Datos a los autónomos y empresas?

por | Abr 14, 2026 | LOPD, RGPD

En el año 2018 entró en vigor el Reglamento Europeo de Protección de Datos que supuso cambios significativos para las pequeñas y medianas empresas.

Posteriormente, en 2021 este marco se vio reforzado con la Ley Orgánica 7/2021 que obligó a todas las empresas a revisar y actualizar sus políticas, contenidos y procedimientos para adaptarse a la normativa.

La cuestión es que siguen produciéndose novedades. En este sentido, la AEPD ha recordado que, en caso de producirse una brecha de seguridad, es fundamental notificarla en un plazo máximo de 72 horas. De lo contrario, podrían imponerse sanciones elevadas.

Para ayudarte a comprender mejor todas estas obligaciones, a continuación te explicamos cómo afecta la Ley de Protección de Datos a los autónomos y empresas?

Te contamos todos los detalles, a continuación:

 

Estas son las claves más importantes que incluye la Ley de LOPD

En primer lugar, resumimos los principales cambios que trajo la Ley Orgánica 3/2018:

Endurecimiento de sanciones

Con la entrada en vigor de la Ley, la Agencia Española de Protección de Datos adquirió la capacidad de imponer sanciones de hasta el 4% de la facturación anual.

Además, en los casos más graves pueden derivarse responsabilidades de carácter civil, penal y laboral, que incluso podrían afectar a los administradores de la empresas.

Aplicación del Principio de Responsabilidad Activa (Accountability)

Las empresas debieron adaptar sus procedimientos, documentación e instalaciones a la norma de LOPDGDD.

Asimismo, están obligadas a demostrar, ante cualquier reclamación, que han adoptado las medidas necesarias para prevenir incidencias.

Esto implicaría, por ejemplo, formar a sus plantillas en materia de protección de datos y poder acreditar dichas acciones.

Protección de datos desde el diseño y por defecto

La privacidad debe integrarse desde el inicio en cualquier tratamiento de datos. Las empresas tienen que definir, desde el primer momento, las medidas de seguridad adecuadas en función del tipo de datos que vayan a tratar.

Refuerzo de la exigencia del consentimiento

El consentimiento del usuario debe ser expreso, informado e inequívoco, otorgado mediante una declaración o una acción clara que refleje su aceptación.

Curso de Protección de datos y Garantía de los Derechos Digitales

¿Cómo afecta la normativa de Protección de Datos a las pymes?

A continuación, analizamos cómo impactan las principales normativas de protección de datos en las pequeñas y medianas empresas:

 

Ley Orgánica 3/2018 (LOPDGDD)

Esta normativa regula la protección de datos personales y la garantía de los derechos digitales. En este contexto, las pymes deben:

  • Garantizar la protección de datos personales de personas trabajadoras, clientes y proveedores.
  • Mantener actualizadas sus políticas de privacidad y procedimientos internos conforme al RGPD.
  • Informar adecuadamente y obtener el consentimiento explícito de los interesados para el tratamiento de sus datos.
  • Implementar medidas de seguridad técnicas y organizativas para proteger la información personal.
  • Responder a los derechos de los interesados, como acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento.
  • Mantener un registro de actividades de tratamiento si superan ciertos umbrales de actividad de datos.

 

Ley Orgánica 7/2021

Esta normativa regula el tratamiento de datos personales con fines de prevención, investigación y enjuiciamiento de infracciones penales, así como la ejecución de sanciones.

Obligaciones principales para las empresas:

  • Limitar el almacenamiento de datos a lo estrictamente necesario para fines legales o de seguridad.
  • Cumplir rigurosamente los requisitos legales cuando se traten datos en colaboración con autoridades judiciales o policiales.
  • Garantizar la confidencialidad y seguridad de los datos tratados con fines penales.
  • Suprimir los datos que no sean estrictamente necesarios y respetar los plazos de conservación establecidos.

 

Real Decreto 389/2021 (Estatuto de la AEPD)

Este Real Decreto regula la organización y competencias de la Agencia Española de Protección de Datos (AEPD).

Obligaciones indirectas para las pymes:

  • Atender y facilitar las actuaciones de inspección o requerimientos de la AEPD.
  • Cumplir las resoluciones y, en su caso, las sanciones impuestas por la Agencia.
  • Adoptar medidas correctoras ante posibles incumplimientos.
  • Mantener canales de comunicación eficaces y transparentes con la AEPD para notificaciones o consultas.

 

¿Las pymes deben tener un Delegado de Protección de Datos?

El Delegado de Protección de Datos es la persona encargada de velar por el cumplimiento de las normativas de protección de datos dentro de la empresa.

Esta persona puede formar parte de la plantilla o, en su defecto, tratarse de un profesional externo contratado para desempeñar estas funciones.

La obligación de designar un Delegado de Protección de Datos no afecta a todas las empresas, sino únicamente a determinados supuestos previstos en la normativa. En el caso de las pymes esta obligación puede surgir en situaciones concretas.

Según el artículo 34 de la Ley Orgánica 3/2018 una pequeña empresa estará obligada a tener un Delegado de Protección de Datos en estos casos:

  • Empresas que gestionen datos personales de forma habitual y masiva.
  • Entidades de crédito, bancos, aseguradoras, empresas de servicios de inversión y similares, cuando cumplan funciones de gestión de datos sensibles y financieros.
  • Gestión de información sensible de clientes, como centros sanitarios (excepto profesionales individuales), laboratorios o clínicas que mantengan historias clínicas de pacientes.
  • Pymes que realicen publicidad personalizada y elaboración de perfiles de clientes basándose en sus datos personales o preferencias.
  • Federaciones deportivas o empresas que traten datos de menores en actividades regulares.

 

Brechas de seguridad: ¿qué debe hacer un autónomo o empresa en las primeras 72 horas?

Las brechas de seguridad de datos personales son uno de los incidentes más graves que puede sufrir cualquier empresa.

No es necesario que se trate de un ciberataque: también puede deberse a una pérdida de información o al envío de un email con datos personales a un destinatario incorrecto.

En definitiva, una brecha de seguridad puede producirse incluso por un error humano.

Por este motivo, autónomos, empresas y pymes deben actuar con rapidez cuando se produce una situación de este tipo.

En este sentido, la AEPD establece la obligación de notificar la brecha de seguridad en un plazo máximo de 72 horas desde que se tiene constancia de la misma.

 

¿Qué hacer una vez detectada la brecha de seguridad?

Tras detectar una brecha de seguridad es necesario seguir estos pasos:

  • Identificar el incidente y evaluar su posible impacto.
  • Adoptar medidas para contener la brecha (por ejemplo, cambiar contraseñas o aislar equipos afectados).
  • Analizar qué datos han sido comprometidos, cuántas personas pueden verse afectadas y si se trata de información sensible.
  • Documentar internamente el incidente, incluyendo la fecha, el tipo de brecha, las personas afectadas, los datos comprometidos y las medidas adoptadas.
  • Notificar la brecha a la AEPD en un plazo máximo de 72 horas cuando exista riesgo para los derechos y libertades de las personas.
  • Informar a las personas o entidades afectadas, cuando sea necesario.

 

¿Cuáles son los casos más frecuentes en los que se producen brechas de seguridad?

Las brechas de seguridad pueden producirse por diferentes causas, muchas de ellas relacionadas con errores humanos o fallos técnicos. Entre los casos más habituales se encuentran:

  • Accesos no autorizados a bases de datos o sistemas de información.
  • Envío de información confidencial a un destinatario incorrecto por error.
  • Ataques informáticos o hackeo de sistemas.
  • Robo o pérdida de dispositivos corporativos (ordenadores portátiles, teléfonos móviles o tablets) que contienen datos personales o de clientes.

 

¿Deben los autónomos y empresas notificar a la AEPD cualquier brecha de seguridad?

La notificación de la brecha de seguridad a la AEPD es obligatoria cuando exista un riesgo para los derechos y libertades de las personas afectadas. Por ejemplo, en casos de exposición de información financiera o datos especialmente sensibles.

¡Ojo! La notificación debe realizarse en un máximo de 72 horas desde que se tiene conocimiento del incidente. En caso de superar dicho plazo será necesario justificar el retraso.

El incumplimiento de esta obligación (ya sea por no notificar la brecha dentro del plazo, no documentarla adecuadamente o no haber aplicado las medidas de seguridad necesarias) puede dar lugar a sanciones muy elevadas, que pueden alcanzar hasta 20 millones de euros o el 4% del volumen de negocio anual global de la empresa.

¿Cómo prevenir brechas de seguridad?

Para reducir el riesgo de sufrir brechas de seguridad es fundamental implementar una serie de medidas preventivas, entre las que destacan:

  • Cifrar la información sensible para protegerla frente a accesos no autorizados.
  • Realizar auditorias periódicas que permitan detectar posibles vulnerabilidades en los sistemas.
  • Formar a las personas trabajadoras en materia de ciberseguridad. En Grupo2000 contamos con un Curso de Ciberseguridad muy completo que ayuda a identificar vulnerabilidades y las amenazas online más habituales.

Asimismo, disponemos del Curso de Protección de datos y garantías de los derechos digitales, esencial en un entorno empresarial donde la gestión de la información personal es clave y las sanciones por incumplimientos pueden ser muy graves.

 

¿Pueden los autónomos escanear el DNI de sus clientes?

En los últimos meses se ha registrado un aumento de sanciones a autónomos y pequeñas empresas por escanear o conservar copias del DNI de sus clientes sin una base legal adecuada o sin un consentimiento expreso válido.

Esta práctica, habitual en sectores como inmobiliarias, hoteles o gimnasios, puede suponer un incumplimiento de la normativa de protección de datos.

En término generales, no es recomendable solicitar una copia del DNI ni utilizarlo como requisito administrativo o medida de control si no existe una justificación legal clara.

El DNI contiene datos personales especialmente sensibles, como la firma o el número de soporte, cuya exposición puede facilitar la suplantación de identidad.

 

Casos y sanciones recientes

La Agencia Española de Protección de Datos ha sancionado en diferentes ocasiones a empresas por este tipo de prácticas.

En uno de los casos más recientes, una empresa del sector del alojamiento fue sancionada con 9.000 euros (reducidos a 5.400 euros tras el reconocimiento de responsabilidad) por escanear y almacenar los DNI de sus clientes como parte del proceso de registro. Además, se le ordenó eliminar la documentación almacenada y adaptar sus procedimientos.

En otro procedimiento, una empresa fue sancionada con 70.000 euros (reducidos a 42.000 euros por pago voluntario) por prácticas similares relacionadas con la recopilación y tratamiento de documentos de identidad.

La AEPD ha reiterado que la copia o almacenamiento de documentos de identidad puede dar lugar a sanciones elevadas, en algunos casos superiores a 100.000 euros, si no está debidamente justificado.

 

¿Qué ocurre con la normativa de registro de viajeros?

Aunque el Real Decreto 933/2021 obliga a determinados establecimiento a comunicar ciertos datos de los huéspedes esto no implica la necesidad de escanear o fotocopiar el DNI.

Para cumplir con esta obligación es suficiente con:

  • Comprobar visualmente el documento en el momento del registro inicial.
  • Utilizar medios electrónicos seguros en los procesos de registro online, garantizando la mínima recogida de datos necesaria.

 

¿Qué derechos podrán exigir los clientes a las empresas y autónomos sobre protección de datos?

Los clientes cuentan con una serie de derechos en materia de protección de datos que las empresas y los autónomos deben respetar y atender.

En primer lugar, tienen derecho a ser informados sobre el uso que se dará a sus datos personales, así como sobre el modo en que serán tratados y conservados.

Asimismo, pueden solicitar la supresión o limitación del tratamiento de sus datos, e incluso oponerse a su uso en determinados casos. También tienen derecho a la rectificación de sus datos cuando sean inexactos, incompletos o estén desactualizados.

Por último, pueden ejercer el derecho de acceso para conocer qué datos personales está tratando la empresa, y el derecho a la portabilidad, que les permite recibir sus datos en un formato estructurado y de uso común.

Las empresas y los autónomos deben disponer de procedimientos internos claros para atender estas solicitudes de forma ágil dentro de los plazos establecidos por la normativa.

 

¿Está prohibido el uso de datos biométricos en las empresas?

La AEPD publicó hace meses una guía en la que cuestionaba el uso de tecnologías biométricas para el fichaje de la jornada laboral.

Prohibición del fichaje biométrico

  • Fichar con huella dactilar o reconocimiento facial ya no es posible de manera obligatoria.
  • Aunque el Tribunal Supremo en 2007 había respaldado estos sistemas, las directrices del Comité Europeo de Protección de Datos (abril 2023) obligaron a la AEPD a modificar su criterio.
  • El motivo: los datos biométricos se consideran categorías especiales de datos (sensibles), por lo que su uso requiere consentimiento explícito, no obligación.
  • Desde el 23 de noviembre de 2023 las empresas no pueden obligar a sus plantillas a ceder su huella dactilar para fichar.

Excepciones para el uso de datos biométricos

El uso de este tipo de datos solo es posible en supuestos muy concretos, siempre que:

  • Exista una justificación clara y sea la única alternativa viable.
  • Se disponga de consentimiento explícito, libre, informado e inequívoco del interesado, conforme al artículo 4.11 del RGPD.
  • Se informe adecuadamente a la persona trabajadora sobre los riesgos asociados al tratamiento, especialmente en el caso de colectivos vulnerables.

 

¿Qué sanciones existen por no cumplir con la normativa de protección de datos?

El incumplimiento de la normativa de protección de datos puede conllevar sanciones económicas importantes. Estas varían en función de la gravedad de la infracción y de la normativa aplicable.

Según la Ley Orgánica 3/2018:

  • Infracciones leves: hasta 4.000 euros. Ejemplo: no facilitar información completa a la AEPD o incumplir obligaciones formales de registro o comunicación.
  • Infracciones graves: entre 40.001 y 300.000 euros. Ejemplo: tratar datos personales sin la base legal adecuada o utilizar certificados o sistemas caducados.
  • Infracciones muy graves: más de 300.00 euros. Ejemplo: recopilación fraudulenta de datos o incumplimiento reiterado de los derechos de los interesados, como ignorar solicitudes de supresión.

Según la Ley Orgánica 7/2021:

  • Infracciones leves: entre 6.000 y 60.000 euros.
  • Infracciones graves: entre 60.001 y 360.000 euros.
  • Infracciones muy graves: entre 360.001 y 1.000.000 euros.

¿Conocías estas cuestiones sobre las normativas de protección de datos? No olvides dejar tus comentarios más abajo, ¡nos encanta leerte!

Ante cualquier brecha de seguridad (robo de datos, pérdida de dispositivos o errores humanos), autónomos y empresas deben notificar a la AEPD en un plazo máximo de 72 horas desde que tengan constancia del incidente. Es obligatorio cuando exista un riesgo para los derechos de las personas y requiere documentar el suceso, evaluar el impacto y tomar medidas correctivas inmediatas para evitar sanciones de hasta 20 millones de euros.

Grupo2000, centro de formación especializado en contratos de formación

Grupo2000 somos un centro de formación especializado en contratos de formación en alternancia.

Si estás interesado/a en ampliar tu plantilla el contrato de formación es una opción muy útil. Permite contratar durante 2 años y aplicar hasta tres bonificaciones mensuales durante su vigencia.

Para más información, ¡contáctanos! Puedes chatear online con nuestro equipo o llamarnos al  958 80 67 60.

Banners Blog 2025 Grupo2000 (1280 X 720 Px)

Fuentes: Ley Orgánica 3/2018 (LOPDGDD), Reglamento (UE) 2016/679 (RGPD), Ley Orgánica 7/2021.

Publicado en el BOE el régimen sancionador e inspección para protección de datos

Publicado en el BOE el régimen sancionador e inspección para protección de datos

por | Ago 1, 2018 | blog, Delegado de LOPD, LOPD, negocios, Nueva Ley LOPD, nueva ley protección datos

El 30 de julio se ha publicado en el BOE el régimen sancionador y cómo será la inspección para protección de datos. El Real Decreto Ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, en el BOE, contiene las especificaciones para las infracciones y sanciones de adaptar esta normativa europea que entró en vigor el pasado 25 de mayo.

A continuación os contamos que novedades aporta este Real Decreto Ley que ya es de aplicación desde el día 31 de julio:

Se regula la Inspección en materia de protección de datos

El Capítulo I de la norma está dedicado a definir el ámbito y personal competente para realizar la actividad de investigación e inspección en relación a la nueva normativa europea.

Se estipula que esta labor la realice la Agencia Española de Protección de Datos. Los funcionarios que realicen las actividades de investigación tendrán la consideración de agentes de la autoridad.

Podrán requerir todos los datos y documentación necesarios, incluso examinarlos en el lugar donde se procesen, así como inspeccionar tanto los equipos físicos, como lógicos. Siembre, obviamente, conforme a las normas procesales y solicitando autorización judicial previa cuando sea necesario.

Quiénes podrán ser sancionados 

Podrán ser considerados como sujetos responsables frente a una infracción contra el Reglamento Europeo 2016/279 y Ley de LOPD:

  • Los responsables de los tratamientos.
  • Los encargados de los tratamientos.
  • Los representantes de los anteriores no establecidos en la Unión Europea.
  • Las entidades de certificación.
  • Las entidades acreditadas que supervisen los códigos de conducta de LOPD.

Una novedad importante es que excluye al Delegado de Protección de Datos del régimen sancionador. Sin embargo las empresas y sus responsables del tratamiento sí podrían verse afectados en caso de cometerse una infracción de este tipo.

Nuevo Régimen Sancionador en materia de protección de datos

Las infracciones son las establecidas en el nuevo Reglamento Europeo 2016/279, en el artículo 83. Lo que precisa el nuevo RDL es su prescripción:

  1. Las infracciones relativas a los derechos de los interesados, consentimiento, o transferencias de datos (que podrían ser sancionadas con multas administrativas de hasta 20.000.000 euros o un 4% sobre la facturación anual) prescribirán a los 3 años.
  2. Las infracciones como el incumplimiento de las obligaciones del responsable y encargado, o de los organismos de certificación (que recibirían una sanción de 10.000.000 o el 2% sobre su facturación anual), prescribirían a los 2 años.

La iniciación del procedimiento sancionador interrumpirá la prescripción. Y si el expediente estuviese paralizado por motivos ajenos al infractor, volvería a iniciarse el plazo de prescripción.

Así mismo, se especifican el plazo para prescripción de las sanciones por la aplicación del RGPD:

  • Las sanciones iguales o inferiores a 40.000 euros prescriben en 1 año.
  • Las sanciones entre 40.001 y 300.000 euros prescriben a los 2 años.
  • Las sanciones de más de 300.000 euros lo harán a los 3 años.

Cómo será el procedimiento en caso de una infracción

El procedimiento se iniciará con una reclamación. Antes de iniciar el trámite, se pondrán en contacto con el Delegado de Protección de datos o con el responsable, y éste deberá dar respuesta a la reclamación en el plazo de un mes.

Si dicha reclamación se ha planteado ante la AEPD, el organismo decidirá si se admite a trámite. Si se admite, podrá haber una fase de investigación. El procedimiento tendrá una duración máxima de 9 meses desde que se decide iniciar el procedimiento.

En el caso de que transcurra dicho plazo, se producirá su caducidad y por tanto, se archivarán las actuaciones.

Tras ser notificada la reclamación a trámite, habrá un plazo de 6 meses desde esa fecha para resolver el procedimiento.

También indican que las reclamaciones podrán ser inadmitidas para aquellos casos en que el responsable del tratamiento hubiese adoptado las medidas correctivas que le hubiesen indicado desde la Agencia Española de Protección de Datos, siempre que no se haya causado un perjuicio al afectado.

En el caso de que la AEPD considere que los hechos son graves podrá ordenar el bloqueo de los datos e incluso su inmovilización.

 

¿Te gustaría saber cómo afecta el nuevo Reglamento de protección de datos a tu empresa?

Inscríbete a nuestro curso online «Ley de Protección de Datos 2018. Reglamento y nueva ley» y aprende todo lo necesario para conocer esta nueva normativa y qué debes revisar en tu empresa.

¡Apúntate ya!

Ver curso

 

 

Si quieres seguir leyendo más sobre el nuevo Reglamento Europeo de Protección de Datos y cómo afecta a tu empresa, te recomendamos los siguientes artículos:

Cómo afecta el Reglamento de Protección de Datos a las Pymes

Qué empresas están obligadas a tener un Delegado de Protección de Datos

Qué repercusión tiene el RGPD para un despacho profesional

6 hábitos que debes cambiar tras la nueva normativa de protección de datos

 

Fuente: BOE.

Nuevo curso sobre cómo implantar el nuevo RGPD en tu negocio

Nuevo curso sobre cómo implantar el nuevo RGPD en tu negocio

por | Jun 13, 2018 | blog, cursos, empresas, formación, LOPD, nueva ley protección datos, RGPD

El 25 de mayo de 2018 entró en vigor la nueva normativa en materia de Protección de Datos, y con ella las nuevas obligaciones para tu empresa. Para ayudarte a la adaptación, te ofrecemos un nuevo curso sobre cómo implantar el nuevo RGPD en tu negocio.

Se trata de varias una Master class presencial en la que se tratarán todas las novedades que trae el nuevo Reglamento Europeo de Protección de Datos y cuáles son los puntos en los que debes prestar especial atención. Más abajo puedes ver todos los detalles del curso, lugar de impartición e información para inscribirte:

Curso sobre cómo implantar el nuevo RGPD en tu negocio

En esta Master class de carácter práctico veremos todo lo que debes saber sobre los ficheros, quién debe ser la persona encargada del tratamiento de datos, qué tipo de documentos tiene que cambiar la empresa, en qué afecta a tu página web, emails y contratos. Y además se resolverán vuestras dudas.

El curso será impartido por consultores jurídicos expertos en protección de datos, con años de experiencia en el asesoramiento y adecuación de las empresas y despachos profesionales.

A continuación te indicamos fechas y ubicación de cada curso:

  • Granada:

Fecha: 25 de junio de 2018.

Horario: 17:00 a 20:00 horas.

Lugar: Academia Grupo2000 en Granada. C/Ciego de Arjona, 2. Esquina con Avda. Constitución, 32.

CERRADO EL PLAZO DE INSCRIPCIÓN

  • Almería: 

Fecha: 26 de junio de 2018.

Horario: 17:00 a 20:00 horas.

Lugar: Academia Grupo2000 de Almería. C/Profesor Tierno Galván, 40. Huércal de Almería.

CERRADO EL PLAZO DE INSCRIPCIÓN

 

  • Murcia:

Fecha: 27 de junio de 2018.

Horario: 17:00 a 20:00 horas.

Lugar: Academia Grupo2000 de Murcia. C/Federico García Lorca, 5. Murcia.

CERRADO EL PLAZO DE INSCRIPCIÓN

Reservar curso

Las plazas son limitadas, así que no te lo pienses más y ¡reserva hoy mismo tu plaza! Si tienes alguna duda, puedes llamarnos al 958 806 760

Se aprueba el Proyecto de Ley de Secretos Empresariales

Se aprueba el Proyecto de Ley de Secretos Empresariales

por | May 29, 2018 | blog, empresas, Legal, LOPD, Nueva Ley LOPD

En pleno revuelo por la entrada en vigor de la nueva normativa en materia de protección de datos, esta novedad ha pasado completamente desapercibida: el pasado viernes se aprobó el Proyecto de Ley de Secretos Empresariales por el Gobierno.

El fin de esta nueva normativa es reforzar la protección de la información empresarial frente a su obtención o utilización y revelación ilícita, además de transponer a nuestro ordenamiento jurídico la Directiva UE 2016/943, de 8 de junio de 2016, relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y revelación ilícitas.

Esta nueva normativa guarda bastante relación con el ya vigente RGPD, y da cobertura a una necesidad existente en el área empresarial, ya que las empresas están cada vez más expuestas a prácticas desleales por el incremento del uso de las nuevas tecnologías y la globalización de los mercados.

En este Proyecto de Ley se recogen aquellas conductas que supondrían violación de secretos profesionales, y las distingue de aquellas que sí serían lícitas.

La nueva normativa recogería también las posibles acciones de defensa del titular del secreto profesional, entre las que destaca la regulación de la indemnización por daños y perjuicios.

También entraría a regular los aspectos procesales, de forma que se pueda ejecutar el proceso en un plazo de tiempo más reducido. Así mismo, se agravarían las sanciones que los tribunales podrían aplicar.

Esta nueva normativa establecería una serie de reglas a implementar para velar por un tratamiento confidencial de la información que se genere durante el proceso.

Este Proyecto de Ley de Secretos Empresariales en este momento estaría en la fase de tramitación parlamentaria, así que habrá que esperar todavía un tiempo para su entrada en vigor. Sin duda constituirá un avance en materia legal para adaptarse al entorno tecnológico y competitivo de las empresas.

Si deseas consultar la Directiva Europea 2016/943 que ya es de aplicación, puedes acceder al texto completo aquí.

 

Estos son algunos de los últimos artículos de nuestro blog:

Sanciones de 3000 euros por no hacer el alta previa de los autónomos.

El Tribunal Supremo se pronuncia sobre la acumulación del permiso de lactancia.

¿Cómo debe adaptarse un despacho al Reglamento de Protección de Datos?

Novedades en la devolución de cuotas a los autónomos

¿Qué formación es obligatoria para las empresas hosteleras?

¿Hasta qué hora puede trabajar un trabajador con un contrato de formación?

Fuente: Prensa del Gobierno.

 

 

¿Cómo debe adaptarse un despacho al Reglamento de Protección de Datos?

¿Cómo debe adaptarse un despacho al Reglamento de Protección de Datos?

por | May 10, 2018 | blog, empresas, Graduados Sociales, LOPD, Nueva Ley LOPD

Comienza la cuenta atrás para la entrada en vigor de la nueva normativa en materia de Protección de Datos, este cambio afectará a todas las empresas y su forma de trabajar. Pero, ¿qué ocurre con las asesorías y abogados que se encargan de hacer los trámites para ellas? ¿Cómo debe adaptarse un despacho profesional al Reglamento Europeo de Protección de Datos?

¿Por qué es urgente la adaptación de un despacho a la RGPD? Fundamentalmente porque gestionan información con datos personales relevantes e información sensible de clientes. Además, el hecho de ya estar adaptados, dará más tranquilidad a las empresas que trabajan con éste.

En este artículo os ofrecemos algunos consejos para ir adaptando vuestra actividad al nuevo Reglamento:

Elaborar un registro de actividades

Un primer paso recomendable es elaborar un registro de actividades que contenga toda la información sobre el despacho: descripción de su actividad, quiénes sois, que tipo de actividades y datos manejáis, qué tratamientos de datos hacéis y cómo se gestiona todo en relación a vuestros clientes.

Así mismo, se deberán enumerar todas las medidas de seguridad que vuestra empresa va a adoptar.

En la web de la Agencia Española de Protección de Datos existe un test que te ayudará a realizar un primer diagnóstico sobre el tratamiento de los datos que hace tu empresa y posibles mejoras.

Revisar todas las cláusulas en documentación

Seguramente tu despacho ya tenga en sus emails y documentos cláusulas específicas destinadas a cumplir con la normativa actual de Protección de Datos.

Es aconsejable elaborar un listado de toda la documentación que se genera en el despacho, tanto impresa, como digital y actualizar toda esta documentación incluyendo las nuevas referencias informativas y cláusulas que exigen los artículos 13 y 14 del Reglamento.

Los contratos de todo tipo se ven afectados por esta normativa y deberán incluir cláusulas específicas. Así que también toca revisarlos.

Y por supuesto, si tenéis página web y utilizáis diferentes aplicaciones, tendréis que incluir consentimientos expresos. Recordamos que ya no servirá suponer la inacción como consentimiento, ahora hay que realizar una acción informativa para todos vuestros usuarios.

 

Análisis de riesgos y evaluación de impacto

Deberás realizar un análisis de los puntos de riesgo frente a la protección de datos y cuáles son las medidas a implementar para evitarlos o reducirlos. Igualmente, se deberán contemplar los mecanismos y procedimientos de notificación en caso de que se produzca una brecha de seguridad en el despacho.

Actualmente existe un alto riesgo para toda aquella documentación que se almacena online, que es susceptible de ser víctima de hackers. Si lo utilizas, asegúrate de que cumple unos estándares de seguridad y que el servicio esté encriptado para su protección.

También hay que corregir los hábitos respecto al uso y almacenamiento de datos, servidores, routers, creando un protocolo para velar por la seguridad de toda la documentación impresa, el procedimiento para su destrucción, etc..

En caso de incidencia, con el nuevo Reglamento, tu despacho estará obligado por el principio de responsabilidad activa a demostrar que ha tomado todas las medidas necesarias para evitarlo. Por eso es fundamental que conserves justificantes y registros de todas las acciones realizadas para este fin.

Una acción necesaria es informar a tus clientes sobre las repercusiones de la nueva normativa y los posibles riesgos. A partir de la entrada en vigor también necesitarás que te firmen un consentimiento inequívoco, no tácito, sobre el uso que vas a dar a sus datos (esto se aplicará a tus clientes y a sus trabajadores).

Lo ideal es conservar un justificante o recibí para poder acreditarlo posteriormente. Puedes leer nuestro artículo sobre cómo afecta el RGPD a las pymes.

El el caso de que trabajes con terceros, que te presten un servicio para tus clientes, debes asegurarte que presten un servicio adecuado, puedes solicitar un certificado de cumplimiento de la normativa.

 

¿Qué ocurre con la documentación que tengo que conservar?

Muchos estaréis pensando en la cantidad de datos y documentos que tenéis sobre las empresas, contratos, nóminas, etc.. existen obligaciones legales para la conservación de la mayoría de documentos, puesto que tienen que estar a la disposición de las diferentes autoridades frente a posibles requerimientos.

Es imprescindible informar previamente a los clientes sobre estas obligaciones y sus plazos. Este plazo puede ser de 4 a 10 años, e incluso hasta por 10 años, por prevención de blanqueo de capitales. El plazo variará según el tipo de datos. Según el artículo 8, es admisible que los datos se puedan conservar durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica, o de la ejecución de un contrato o de la aplicación de medidas pre-contractuales solicitadas por el interesado.

Por ejemplo, si un cliente solicita que cancelemos sus datos porque ya no va a contratar nuestros servicios, pero todavía nos debe facturas, no podremos borrar sus datos. En estos casos, los datos se quedarán «bloqueados» y no se podrán usar para ninguna finalidad, a la espera del pago.

Una vez que ya no sean necesarios, deberán ser cancelados, según establece el artículo 4.

¿Tengo que contratar a un Delegado de Protección de Datos?

Esta nueva figura que no siempre será obligatoria, dependerá del tipo de empresa y los datos que ésta maneje.

Será obligatorio para todas las empresas que realicen un tratamiento de datos de naturaleza especial (afiliación sindical, datos referentes a la salud, etc..).

También para aquellas que trabajen con datos que requieran una observancia habitual y sistemática de interesados a gran escala, por ejemplo si realizas campañas de email o manejas datos a través de tu web de un número considerable de usuarios.

Puedes ampliar información sobre las empresas obligadas a tener el Delegado aquí. En el caso de que tu despacho esté obligado, puedes optar por contratar a alguien en plantilla o a una empresa externa.

Los despachos de abogados deberán contar con la figura del Delegado siempre que por las actividades que realicen sean sujetos obligados de la Ley de Prevención de Blanqueo de Capitales.

Aunque no estés obligado a tener un Delegado, sí tendrás que designar siempre una persona responsable de privacidad, aunque ya no exista la obligación de comunicar ficheros, esta será la encargada de velar por el cumplimiento de esta normativa en el seno de la empresa.

Formación para adaptarse a un gran cambio

Los despachos profesionales son sin duda uno de los negocios más afectados por el nuevo Reglamento de Protección de Datos, por el alto volumen de datos que manejan y su naturaleza.

Por este motivo, tu plantilla debe estar formada, para poder realizar un tratamiento de los datos según la nueva normativa y evitar puntos de riesgo.

Además, la formación se contempla como una de las vías para reforzar las medidas tomadas por la empresa, y demostrar que ha cumplido con el principio de responsabilidad activa.

Nuestro centro de formación ha diseñado diferentes acciones formativas para ayudarte en esta transición:

Curso sobre la Ley de Protección de Datos 2018. Reglamento y nueva normativa. Duración 40 horas.

Curso sobre el nuevo Reglamento Europeo de Protección de Datos. Duración: 20 horas.

Curso de Delegado de Protección de Datos en el RGPD, Certificado por SGS. Duración: 180 horas.

 

Sin duda, son muchos frentes los que abarcar en esta transición. Puedes realizar todas las gestiones tú mismo, o contratar a una empresa experta para que realice el servicio de implantación. Si optas por esta última opción, comprueba previamente su experiencia, si disponen de seguro de responsabilidad civil, o realizan un seguimiento y mantenimiento.

 

Ir al contenido