En el año 2018 entró en vigor el Reglamento Europeo de Protección de Datos que supuso cambios significativos para las pequeñas y medianas empresas.

Posteriormente, en 2021 este marco se vio reforzado con la Ley Orgánica 7/2021 que obligó a todas las empresas a revisar y actualizar sus políticas, contenidos y procedimientos para adaptarse a la normativa.

La cuestión es que siguen produciéndose novedades. En este sentido, la AEPD ha recordado que, en caso de producirse una brecha de seguridad, es fundamental notificarla en un plazo máximo de 72 horas. De lo contrario, podrían imponerse sanciones elevadas.

Para ayudarte a comprender mejor todas estas obligaciones, a continuación te explicamos cómo afecta la Ley de Protección de Datos a los autónomos y empresas?

Te contamos todos los detalles, a continuación:

Estas son las claves más importantes que incluye la Ley de LOPD

En primer lugar, resumimos los principales cambios que trajo la Ley Orgánica 3/2018:

Endurecimiento de sanciones

Con la entrada en vigor de la Ley, la Agencia Española de Protección de Datos adquirió la capacidad de imponer sanciones de hasta el 4% de la facturación anual.

Además, en los casos más graves pueden derivarse responsabilidades de carácter civil, penal y laboral, que incluso podrían afectar a los administradores de la empresas.

Aplicación del Principio de Responsabilidad Activa (Accountability)

Las empresas debieron adaptar sus procedimientos, documentación e instalaciones a la norma de LOPDGDD.

Asimismo, están obligadas a demostrar, ante cualquier reclamación, que han adoptado las medidas necesarias para prevenir incidencias.

Esto implicaría, por ejemplo, formar a sus plantillas en materia de protección de datos y poder acreditar dichas acciones.

Protección de datos desde el diseño y por defecto

La privacidad debe integrarse desde el inicio en cualquier tratamiento de datos. Las empresas tienen que definir, desde el primer momento, las medidas de seguridad adecuadas en función del tipo de datos que vayan a tratar.

Refuerzo de la exigencia del consentimiento

El consentimiento del usuario debe ser expreso, informado e inequívoco, otorgado mediante una declaración o una acción clara que refleje su aceptación.

¿Cómo afecta la normativa de Protección de Datos a las pymes?

A continuación, analizamos cómo impactan las principales normativas de protección de datos en las pequeñas y medianas empresas:

Ley Orgánica 3/2018 (LOPDGDD)

Esta normativa regula la protección de datos personales y la garantía de los derechos digitales. En este contexto, las pymes deben:

• Garantizar la protección de datos personales de personas trabajadoras, clientes y proveedores.
• Mantener actualizadas sus políticas de privacidad y procedimientos internos conforme al RGPD.
• Informar adecuadamente y obtener el consentimiento explícito de los interesados para el tratamiento de sus datos.
• Implementar medidas de seguridad técnicas y organizativas para proteger la información personal.
• Responder a los derechos de los interesados, como acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento.
• Mantener un registro de actividades de tratamiento si superan ciertos umbrales de actividad de datos.

Ley Orgánica 7/2021

Esta normativa regula el tratamiento de datos personales con fines de prevención, investigación y enjuiciamiento de infracciones penales, así como la ejecución de sanciones.

Obligaciones principales para las empresas:

• Limitar el almacenamiento de datos a lo estrictamente necesario para fines legales o de seguridad.
• Cumplir rigurosamente los requisitos legales cuando se traten datos en colaboración con autoridades judiciales o policiales.
• Garantizar la confidencialidad y seguridad de los datos tratados con fines penales.
• Suprimir los datos que no sean estrictamente necesarios y respetar los plazos de conservación establecidos.

Real Decreto 389/2021 (Estatuto de la AEPD)

Este Real Decreto regula la organización y competencias de la Agencia Española de Protección de Datos (AEPD).

Obligaciones indirectas para las pymes:

• Atender y facilitar las actuaciones de inspección o requerimientos de la AEPD.
• Cumplir las resoluciones y, en su caso, las sanciones impuestas por la Agencia.
• Adoptar medidas correctoras ante posibles incumplimientos.
• Mantener canales de comunicación eficaces y transparentes con la AEPD para notificaciones o consultas.

¿Las pymes deben tener un Delegado de Protección de Datos?

El Delegado de Protección de Datos es la persona encargada de velar por el cumplimiento de las normativas de protección de datos dentro de la empresa.

Esta persona puede formar parte de la plantilla o, en su defecto, tratarse de un profesional externo contratado para desempeñar estas funciones.

La obligación de designar un Delegado de Protección de Datos no afecta a todas las empresas, sino únicamente a determinados supuestos previstos en la normativa. En el caso de las pymes esta obligación puede surgir en situaciones concretas.

Según el artículo 34 de la Ley Orgánica 3/2018 una pequeña empresa estará obligada a tener un Delegado de Protección de Datos en estos casos:

• Empresas que gestionen datos personales de forma habitual y masiva.
• Entidades de crédito, bancos, aseguradoras, empresas de servicios de inversión y similares, cuando cumplan funciones de gestión de datos sensibles y financieros.
• Gestión de información sensible de clientes, como centros sanitarios (excepto profesionales individuales), laboratorios o clínicas que mantengan historias clínicas de pacientes.
• Pymes que realicen publicidad personalizada y elaboración de perfiles de clientes basándose en sus datos personales o preferencias.
• Federaciones deportivas o empresas que traten datos de menores en actividades regulares.

Brechas de seguridad: ¿qué debe hacer un autónomo o empresa en las primeras 72 horas?

Las brechas de seguridad de datos personales son uno de los incidentes más graves que puede sufrir cualquier empresa.

No es necesario que se trate de un ciberataque: también puede deberse a una pérdida de información o al envío de un email con datos personales a un destinatario incorrecto.

En definitiva, una brecha de seguridad puede producirse incluso por un error humano.

Por este motivo, autónomos, empresas y pymes deben actuar con rapidez cuando se produce una situación de este tipo.

En este sentido, la AEPD establece la obligación de notificar la brecha de seguridad en un plazo máximo de 72 horas desde que se tiene constancia de la misma.

¿Qué hacer una vez detectada la brecha de seguridad?

Tras detectar una brecha de seguridad es necesario seguir estos pasos:

• Identificar el incidente y evaluar su posible impacto.
• Adoptar medidas para contener la brecha (por ejemplo, cambiar contraseñas o aislar equipos afectados).
• Analizar qué datos han sido comprometidos, cuántas personas pueden verse afectadas y si se trata de información sensible.
• Documentar internamente el incidente, incluyendo la fecha, el tipo de brecha, las personas afectadas, los datos comprometidos y las medidas adoptadas.
• Notificar la brecha a la AEPD en un plazo máximo de 72 horas cuando exista riesgo para los derechos y libertades de las personas.
• Informar a las personas o entidades afectadas, cuando sea necesario.

¿Cuáles son los casos más frecuentes en los que se producen brechas de seguridad?

Las brechas de seguridad pueden producirse por diferentes causas, muchas de ellas relacionadas con errores humanos o fallos técnicos. Entre los casos más habituales se encuentran:

• Accesos no autorizados a bases de datos o sistemas de información.
• Envío de información confidencial a un destinatario incorrecto por error.
• Ataques informáticos o hackeo de sistemas.
• Robo o pérdida de dispositivos corporativos (ordenadores portátiles, teléfonos móviles o tablets) que contienen datos personales o de clientes.

¿Deben los autónomos y empresas notificar a la AEPD cualquier brecha de seguridad?

La notificación de la brecha de seguridad a la AEPD es obligatoria cuando exista un riesgo para los derechos y libertades de las personas afectadas. Por ejemplo, en casos de exposición de información financiera o datos especialmente sensibles.

¡Ojo! La notificación debe realizarse en un máximo de 72 horas desde que se tiene conocimiento del incidente. En caso de superar dicho plazo será necesario justificar el retraso.

El incumplimiento de esta obligación (ya sea por no notificar la brecha dentro del plazo, no documentarla adecuadamente o no haber aplicado las medidas de seguridad necesarias) puede dar lugar a sanciones muy elevadas, que pueden alcanzar hasta 20 millones de euros o el 4% del volumen de negocio anual global de la empresa.

¿Cómo prevenir brechas de seguridad?

Para reducir el riesgo de sufrir brechas de seguridad es fundamental implementar una serie de medidas preventivas, entre las que destacan:

• Cifrar la información sensible para protegerla frente a accesos no autorizados.
• Realizar auditorias periódicas que permitan detectar posibles vulnerabilidades en los sistemas.
• Formar a las personas trabajadoras en materia de ciberseguridad. En Grupo2000 contamos con un Curso de Ciberseguridad muy completo que ayuda a identificar vulnerabilidades y las amenazas online más habituales.

Asimismo, disponemos del Curso de Protección de datos y garantías de los derechos digitales, esencial en un entorno empresarial donde la gestión de la información personal es clave y las sanciones por incumplimientos pueden ser muy graves.

¿Pueden los autónomos escanear el DNI de sus clientes?

En los últimos meses se ha registrado un aumento de sanciones a autónomos y pequeñas empresas por escanear o conservar copias del DNI de sus clientes sin una base legal adecuada o sin un consentimiento expreso válido.

Esta práctica, habitual en sectores como inmobiliarias, hoteles o gimnasios, puede suponer un incumplimiento de la normativa de protección de datos.

En término generales, no es recomendable solicitar una copia del DNI ni utilizarlo como requisito administrativo o medida de control si no existe una justificación legal clara.

El DNI contiene datos personales especialmente sensibles, como la firma o el número de soporte, cuya exposición puede facilitar la suplantación de identidad.

Casos y sanciones recientes

La Agencia Española de Protección de Datos ha sancionado en diferentes ocasiones a empresas por este tipo de prácticas.

En uno de los casos más recientes, una empresa del sector del alojamiento fue sancionada con 9.000 euros (reducidos a 5.400 euros tras el reconocimiento de responsabilidad) por escanear y almacenar los DNI de sus clientes como parte del proceso de registro. Además, se le ordenó eliminar la documentación almacenada y adaptar sus procedimientos.

En otro procedimiento, una empresa fue sancionada con 70.000 euros (reducidos a 42.000 euros por pago voluntario) por prácticas similares relacionadas con la recopilación y tratamiento de documentos de identidad.

La AEPD ha reiterado que la copia o almacenamiento de documentos de identidad puede dar lugar a sanciones elevadas, en algunos casos superiores a 100.000 euros, si no está debidamente justificado.

¿Qué ocurre con la normativa de registro de viajeros?

Aunque el Real Decreto 933/2021 obliga a determinados establecimiento a comunicar ciertos datos de los huéspedes esto no implica la necesidad de escanear o fotocopiar el DNI.

Para cumplir con esta obligación es suficiente con:

• Comprobar visualmente el documento en el momento del registro inicial.
• Utilizar medios electrónicos seguros en los procesos de registro online, garantizando la mínima recogida de datos necesaria.

¿Qué derechos podrán exigir los clientes a las empresas y autónomos sobre protección de datos?

Los clientes cuentan con una serie de derechos en materia de protección de datos que las empresas y los autónomos deben respetar y atender.

En primer lugar, tienen derecho a ser informados sobre el uso que se dará a sus datos personales, así como sobre el modo en que serán tratados y conservados.

Asimismo, pueden solicitar la supresión o limitación del tratamiento de sus datos, e incluso oponerse a su uso en determinados casos. También tienen derecho a la rectificación de sus datos cuando sean inexactos, incompletos o estén desactualizados.

Por último, pueden ejercer el derecho de acceso para conocer qué datos personales está tratando la empresa, y el derecho a la portabilidad, que les permite recibir sus datos en un formato estructurado y de uso común.

Las empresas y los autónomos deben disponer de procedimientos internos claros para atender estas solicitudes de forma ágil dentro de los plazos establecidos por la normativa.

¿Está prohibido el uso de datos biométricos en las empresas?

La AEPD publicó hace meses una guía en la que cuestionaba el uso de tecnologías biométricas para el fichaje de la jornada laboral.

Prohibición del fichaje biométrico

• Fichar con huella dactilar o reconocimiento facial ya no es posible de manera obligatoria.
• Aunque el Tribunal Supremo en 2007 había respaldado estos sistemas, las directrices del Comité Europeo de Protección de Datos (abril 2023) obligaron a la AEPD a modificar su criterio.
• El motivo: los datos biométricos se consideran categorías especiales de datos (sensibles), por lo que su uso requiere consentimiento explícito, no obligación.
• Desde el 23 de noviembre de 2023 las empresas no pueden obligar a sus plantillas a ceder su huella dactilar para fichar.

Excepciones para el uso de datos biométricos

El uso de este tipo de datos solo es posible en supuestos muy concretos, siempre que:

• Exista una justificación clara y sea la única alternativa viable.
• Se disponga de consentimiento explícito, libre, informado e inequívoco del interesado, conforme al artículo 4.11 del RGPD.
• Se informe adecuadamente a la persona trabajadora sobre los riesgos asociados al tratamiento, especialmente en el caso de colectivos vulnerables.

¿Qué sanciones existen por no cumplir con la normativa de protección de datos?

El incumplimiento de la normativa de protección de datos puede conllevar sanciones económicas importantes. Estas varían en función de la gravedad de la infracción y de la normativa aplicable.

Según la Ley Orgánica 3/2018:

• Infracciones leves: hasta 4.000 euros. Ejemplo: no facilitar información completa a la AEPD o incumplir obligaciones formales de registro o comunicación.
• Infracciones graves: entre 40.001 y 300.000 euros. Ejemplo: tratar datos personales sin la base legal adecuada o utilizar certificados o sistemas caducados.
• Infracciones muy graves: más de 300.00 euros. Ejemplo: recopilación fraudulenta de datos o incumplimiento reiterado de los derechos de los interesados, como ignorar solicitudes de supresión.

Según la Ley Orgánica 7/2021:

• Infracciones leves: entre 6.000 y 60.000 euros.
• Infracciones graves: entre 60.001 y 360.000 euros.
• Infracciones muy graves: entre 360.001 y 1.000.000 euros.

¿Conocías estas cuestiones sobre las normativas de protección de datos? No olvides dejar tus comentarios más abajo, ¡nos encanta leerte!

Grupo2000, centro de formación especializado en contratos de formación

Grupo2000 somos un centro de formación especializado en contratos de formación en alternancia.

Si estás interesado/a en ampliar tu plantilla el contrato de formación es una opción muy útil. Permite contratar durante 2 años y aplicar hasta tres bonificaciones mensuales durante su vigencia.

Para más información, ¡contáctanos! Puedes chatear online con nuestro equipo o llamarnos al  958 80 67 60.

Fuentes: Ley Orgánica 3/2018 (LOPDGDD), Reglamento (UE) 2016/679 (RGPD), Ley Orgánica 7/2021.