¿Hablamos? 958 806 760
En el año 2018 entró en vigor el Reglamento Europeo de Protección de Datos que supuso cambios significativos para las pequeñas y medianas empresas.
En 2021 estas modificaciones se reforzaron con la Ley Orgánica 7/2021 que obligó a todas las empresas a actualizar sus contenidos y procedimientos para cumplir con la normativa.
Asimismo, en los últimos meses se han impuesto mayores restricciones, especialmente en lo relativo a la posibilidad de escanear el DNI de los clientes.
Desde la entrada en vigor del Real Decreto 933/2021 los alojamientos están obligados a recopilar, almacenar y enviar determinados datos de los viajeros a las autoridades.
Sin embargo, la Ley Orgánica 7/2021 prohíbe registrar más información de la debida, lo que está generando un dilema para los pequeños negocios.
Entonces, ¿cómo afecta la Ley de Protección de Datos a las pymes?
Te contamos todos los detalles, a continuación:
Cambios más importantes de la Ley de LOPD
En primer, lugar vamos a resumir los principales cambios que trajo la Ley Orgánica 3/2018:
- Endurecimiento de sanciones: La Agencia Española de Protección de Datos, a partir de la entrada en vigor de la Ley, obtuvo el poder de imponer sanciones de hasta el 4% de la facturación anual. Además, adquirió responsabilidades de carácter civil, penal y laboral, en el caso de producirse hechos de gravedad, cuya responsabilidad se trasladaría a los administradores.
- Aplicación del Principio de Responsabilidad Activa (Accountability): Las empresas debieron adaptar sus procedimientos, documentación e instalaciones a la norma de LOPD. Ante cualquier reclamación o queja las empresas deben demostrar haber adoptado todas las medidas necesarias para evitar las incidencias, y para ello deberán ser capaces de probar que han realizado las gestiones oportunas. Por ejemplo, impartir formación a sus plantillas para que tengan conocimiento sobre cómo deben aplicar la normativa.
- Protección de datos desde el diseño y por defecto: La privacidad de los usuarios es fundamental. Las empresas deben determinar desde el primer momento qué medidas de seguridad tienen que implementar, según el tratamiento de datos que se vaya a realizar.
- Refuerzo de la exigencia del consentimiento: deben hacerse mediante una declaración o acción informativa.
A continuación, veremos cómo afectó esta Ley a la pequeña y mediana empresa.
¿Cómo afecta la normativa de Protección de Datos a las pymes?
A continuación, analizamos cómo afectan las normativas de protección de datos a las pymes:
Ley Orgánica 3/2018 (LOPDGDD)
Esta normativa regula la protección de datos personales y los derechos digitales. Las pymes deben:
- Garantizar la protección de datos personales de personas trabajadoras, clientes y proveedores.
- Actualizar sus políticas de privacidad y procedimientos internos conforme al RGPD.
- Informar y obtener consentimiento explícito de los interesados para el tratamiento de sus datos.
- Implementar medidas de seguridad técnicas y organizativas para proteger la información personal.
- Responder a los derechos de los interesados, como acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento.
- Mantener un registro de actividades de tratamiento si superan ciertos umbrales de actividad de datos.
Ley Orgánica 7/2021
Regula el tratamiento de datos personales con fines de prevención, investigación y enjuiciamiento de infracciones penales y la ejecución de sanciones penales.
Obligaciones principales para las pymes:
- No almacenar más información de la necesaria para fines de seguridad o legales.
- Cumplir estrictamente con los requisitos legales si se tratan datos para colaborar con autoridades judiciales o policiales.
- Garantizar confidencialidad y seguridad de los datos tratados con fines penales.
- Eliminar datos que no sean estrictamente necesarios y respetar plazos de conservación.
Real Decreto 389/2021 (Estatuto de la AEPD)
Regula la organización y competencias de la Agencia Española de Protección de Datos (AEPD).
Obligaciones indirectas para pymes:
- Facilitar las inspecciones y requerimientos de la AEPD cuando sea necesario.
- Cumplir las resoluciones y sanciones emitidas por la Agencia.
- Adoptar medidas correctoras en caso de incumplimiento detectado.
- Mantener canales de comunicación eficientes y transparentes con la AEPD para notificaciones o consultas.
¿Las pymes deben tener un Delegado de Protección de Datos?
El Delegado de Protección de Datos es la figura encargada de velar por el cumplimiento de las normativas en el seno de la empresa.
Esta persona podrá estar en plantilla o se podrá contratar a un consultor externo a la organización.
Existen algunos supuestos que obligan a tener a este responsable de forma obligatoria.
De todos los supuestos posibles, vamos a destacar algunos que sí pueden darse en las pymes.
Según el artículo 34 de la Ley Orgánica 3/2018 la pequeña empresa estará obligada a tener un Delegado de Protección de Datos en estos casos:
- Empresas que gestionen datos personales de forma habitual y masiva.
- Entidades de crédito, bancos, aseguradoras, empresas de servicios de inversión y similares, cuando cumplan funciones de gestión de datos sensibles y financieros.
- Gestión de información sensible de clientes, como centros sanitarios (excepto profesionales individuales), laboratorios o clínicas que mantengan historias clínicas de pacientes.
- Pymes que realicen publicidad personalizada y elaboración de perfiles de clientes basándose en sus datos personales o preferencias.
- Federaciones deportivas o empresas que traten datos de menores en actividades regulares.
Protección de datos aumenta las multas a autónomos y pymes por escanear el DNI de sus clientes
En los últimos meses se ha registrado un incremento de sanciones a autónomos y pequeñas empresas por escanear los datos del DNI de sus clientes sin un consentimiento expreso ni una justificación legal clara.
Esta práctica, habitual en sectores como inmobiliarias, hoteles o gimnasios, incumple la normativa de protección de datos.
No es posible solicitar a los clientes una copia de sus documentos ni como requisito administrativo ni como medida de seguridad.
El DNI contiene datos sensibles, como la firma o el número de soporte, que podrían facilitar la usurpación de identidad.
Casos recientes y sanciones destacadas
- La Agencia Española de Protección de Datos sancionó en verano a la empresa Suneris, dedicada al hospedaje, con 9.000 euros, reducidos a 5.400 euros tras el reconocimiento de responsabilidad.
- La empresa escaneaba los DNI de sus clientes como parte de su protocolo de registro. Además de la multa se le ordenó eliminar los documentos almacenados y modificar su sistema de recogida de datos.
- Otro caso reciente refleja la tensión existente: una empresa del sector fue sancionada con 70.000 euros (reducción a 42.000 euros por pago voluntario), a pesar de que afirmaba no almacenar imágenes y limitarse a una lectura automática equivalente a la revisión presencial de un recepcionista.
El panorama para autónomos y pequeñas empresas es de máxima incertidumbre. Cumplir con la normativa sin infringir las directrices de la AEPD se ha convertido en un reto complejo.
La AEPD ha recordado que copiar digitalmente documentos de identidad puede acarrear sanciones, en algunos casos superiores a 100.000 euros.
Aunque el Real Decreto 933/2021 obliga a los alojamientos a remitir determinados datos de los huéspedes no es necesario escanear ni fotocopiar los documentos para cumplir con esta obligación. Basta con:
- Comprobar visualmente el documento en el momento del registro inicial.
- Utilizar medios electrónicos seguros cuando el proceso sea online.
¿Qué derechos podrán exigir los clientes a las pymes sobre protección de datos?
Tus clientes tienen una serie de derechos ante los que podrán exigir su obligatorio cumplimiento.
En primer lugar, tienen el derecho a conocer para qué van a ser usados sus datos personales y de qué modo se van a conservar.
También podrán solicitar al responsable la suspensión o eliminación del tratamiento de sus datos personales y, por supuesto, tendrán derecho a que sus datos sean rectificados cuando estén incompletos o contengan algún error.
La pyme tiene que responder de forma inmediata ante estos sucesos y debe tener procesos internos claros para atender las solicitudes dentro de los plazos legales.
Novedades sobre el uso de datos biométricos en las pymes
La AEPD publicó hace meses una guía en la que cuestionaba el uso de tecnologías biométricas para el fichaje de la jornada laboral.
Prohibición del fichaje biométrico
- Fichar con huella dactilar o reconocimiento facial ya no es posible de manera obligatoria.
- Aunque el Tribunal Supremo en 2007 había respaldado estos sistemas, las directrices del Comité Europeo de Protección de Datos (abril 2023) obligaron a la AEPD a modificar su criterio.
- El motivo: los datos biométricos se consideran categorías especiales de datos (sensibles), por lo que su uso requiere consentimiento explícito, no obligación.
- Desde el 23 de noviembre de 2023 las empresas no pueden obligar a sus plantillas a ceder su huella dactilar para fichar.
Excepciones para el uso de datos biométricos
Sí existen casos específicos, siempre que:
- Esté justificado y sea la única alternativa viable.
- Se cuente con consentimiento explícito, libre, informado e inequívoco del interesado (RGPD, artículo 4.11).
- Se informe a la persona trabajadora sobre riesgos asociados, especialmente si se trata de personas vulnerables.
¿Qué sanciones existen por no cumplir con las normativas de protección de datos?
Según la Ley Orgánica 3/20218:
- Las infracciones leves pueden alcanzar los 40.000 euros. Un ejemplo de infracción leve sería no inscribirse en el fichero de datos en el Registro General de Protección de Datos o facilitar a la AEPD información incompleta.
- Las infracciones graves conllevan multas de entre 40.001 y 300.000 euros. Un ejemplo sería que la pyme tratara datos personales sin el consentimiento expreso del usuario o utilizar un certificado que ha expirado.
- Las infracciones muy graves supondrían multas de más de 300.00 euros. Un ejemplo para que la pyme se encontrara ante una sanción de esta cantidad sería recoger datos de forma fraudulenta o ignorar las solicitudes de cancelación.
Según la Ley Orgánica 7/2021:
- Las infracciones leves pueden ser de entre 6.000 y 60.000 euros.
- Las infracciones graves tienen multa de 60.001 a 360.000 euros.
- Las infracciones muy graves suponen una multa de 360.001 a 1.000.000 euros.
¿Conocías estas cuestiones sobre las normativas de protección de datos? No olvides dejar tus comentarios más abajo, ¡nos encanta leerte!
Grupo2000, centro de formación especializado en contratos de formación
Grupo2000 somos un centro de formación especializado en contratos de formación en alternancia.
Si estás interesado/a en ampliar tu plantilla el contrato de formación es una opción muy útil. Permite contratar durante 2 años y aplicar hasta tres bonificaciones mensuales durante su vigencia.
Para más información, ¡contáctanos! Puedes chatear online con nuestro equipo o llamarnos al 958 80 67 60.
GRUPO2000
SERVICIOS DE IGUALDAD
AGENCIA DE COLOCACIÓN
CUMPLIMIENTO OBLIGACIONES
¡NUEVO SERVICIO!
FORMACIÓN
CONTRATO DE FORMACIÓN
CÓMO TRAMITARLO
Muy importante no olvidar que la LOPD afecta tanto a la información digital como física. Que veo que nos centramos mucho en la primera. La segunda implica también una destrucción profesional esencial para no incurrir en incumplimiento y sufrir sanciones.
La nueva modificación obliga de alguna manera a la empresa a encriptar o proteger con contraseña de algún modo las nominas que se envían a través de correo electrónico?
Gracias
Buenos días, Luis Alberto. Respecto a la protección de los datos existen nuevas especificaciones que aunque no precisen exactamente el tipo de encriptación o cifrado, sí indican que se han de proteger debidamente este tipo de datos, así que es totalmente recomendable. Una buena opción es la que comentas, y además, te recomendamos recogerla por escrito junto al resto de medidas tomadas por vuestra empresa.
Un saludo
Buenas tardes.
Somos una empresa muy pequeña que distribuye accesorios para coches en otros países y en España.
Quisiera que me contactasen para solicitar un presupuesto formal y hacer frente a este cambio de Política.
Buenos días, Marisol. Gracias por contactar. Nos ponemos en contacto contigo para informarte. Un saludo