EL PORTAL DE AHORRO PARA EMPRESAS
Y PROFESIONALES
Atención al cliente
937.127.310
Suscríbete a nuestra newsletter
Promociona tu empresa en Doiser
 > Outsourcing > LOPD y protección de datos > Artículos de LOPD y protección de datos > ¿Cuáles son las obligaciones de tu empresa en materia de protección de datos?
 
Artículo relacionado con la sección de LOPD y protección de datos

¿Cuáles son las obligaciones de tu empresa en materia de protección de datos?

Artículo sobre LOPD y protección de datos publicado por Doiser

¿Cuáles son las obligaciones de tu empresa en materia de protección de datos?

En Doiser tenemos expertos en LOPD y protección de datos que han realizado este artículo para ti. Recuerda que si necesitas un servicio de LOPD y protección de datos puedes solicitar presupuesto y te pondremos en contacto con hasta 3 empresas para que te hagan un presupuesto sin compromiso.

Solicitar presupuesto

He leído y acepto la Política de Protección de Datos
Ver detalles de nuestra protección de datos +
Quiero recibir las novedades de Doiser
Todas las empresas, independientemente de su tamaño o actividad, tienen la necesidad de gestionar datos personales, ya sea de clientes, de colaboradores, de empleados o de proveedores. La actual normativa en esta materia, la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD-GDD) a nivel nacional y el Reglamento General de Protección de Datos (RGPD) en el marco de la Unión Europea, obliga al responsable del tratamiento de los datos a proteger los derechos de las personas físicas que se los han confiado.

Antes de nada, es importante dejar claros un par de conceptos. El responsable del tratamiento es quien procesa y utiliza los datos personales de personas físicas, y toma decisiones sobre los mismos, como para qué fines se utilizan o dónde se almacenan. Por otro lado, la figura del encargado del tratamiento es quien almacena o gestiona estos datos siguiendo las instrucciones del responsable del tratamiento. Esta es una diferenciación importante a nivel conceptual ya que, aunque ambas figuras están sujetas al cumplimiento de la ley, es el responsable sobre quien recae la obligación principal.

Principios básicos que fija la LOPD-GDD


Como te puedes imaginar, una ley tan importante como la LOPD-GDD es muy extensa y exhaustiva en todos los aspectos, pero se basa en unos conceptos o principios que es importante que la empresa tenga claros. Son los siguientes:

  • Solo se deben pedir y tratar los datos estrictamente necesarios para cada uno de los fines del tratamiento, y se debe limitar la accesibilidad a los mismos de manera análoga. Al mismo tiempo, es importante minimizar su tiempo de conservación, limitándolo al necesario para cumplir con los fines para los que fueron confiados. Pasado este tiempo, los datos deben ser borrados o, en caso de que esto no sea posible, anonimizados para que estos no permitan identificar a ninguna persona física.
  • La gestión de los datos debe hacerse de manera legítima, justa y transparente.
  • El responsable del tratamiento tiene la obligación de mantener los datos actualizados, ya sea mediante su modificación o eliminación total o parcial en caso de que se detecten inexactitudes en relación a los fines del tratamiento.
  • El responsable del tratamiento debe tomar acciones de manera proactiva y mantenida en el tiempo para garantizar que se respetan los derechos de las personas cuyos datos son tratados. Esto incluye un análisis de los riesgos de que estos derechos se vean vulnerados en cualquier momento, que debe servir para garantizar que se cumplen con los parámetros establecidos en la LOPD-GDD y en el RGPD.
  • Los datos deben ser tratados exclusivamente para el el fin o a los fines concretos para los que fueron cedidos, que deben ser expuestos de manera clara y legítima.
  • El responsable del tratamiento debe contar con las medidas técnicas y organizativas necesarias para garantizar la seguridad, confidencialidad y accesibilidad a los datos.

Principales obligaciones que fija la LOPD-GDD


  • Obtener el consentimiento expreso de los interesados para el tratamiento de sus datos: el concepto de consentimiento expreso es troncal en la LOPD-GDD, y de manera sintética implica que los interesados deben expresar de manera informada, libre y explícita el consentimiento para el tratamiento de sus datos, y deben hacerlo de mediante una acción activa o afirmativa, excluyendo el consentimiento tácito. A la práctica, esto se traduce en que el interesado debe tener acceso fácil y claro a todos los detalles sobre el tratamiento de sus datos, y deberá hacer una acción activa como, por ejemplo, marcar un checkbox que está desmarcado por defecto, para que se considere que el responsable del tratamiento ha recabado su consentimiento. No son válidos consentimientos ofrecidos de manera pasiva como, por ejemplo, que el checkbox de aceptación esté marcado por defecto.
  • Registro de actividades del tratamiento: se trata de un documento de uso interno que debe mantenerse siempre actualizado y a disposición de la AEPD en caso de que fuera requerido. En el mismo se detallan los detalles sobre la gestión e los datos personales por parte del responsable y del encargado del tratamiento, y debe incluir aspectos como el nombre y datos de contacto del responsable, los fines del tratamiento, los plazos de conservación (cuando sea posible) o una descripción de las medidas de seguridad, entre otros. Este registro es solo obligatorio para empresas de más de 250 empleados o, independientemente de tamaño, en aquellos casos en que hay un riesgo para los derechos de los interesados, el tratamiento no sea ocasional o se traten de datos de categorías especiales.
  • Designación de un Delegado de Protección de Datos (DPD): La LOPD-GDD especifica en su artículo 34 los casos en los que las empresas están obligadas a contar con esta figura. No obstante, aunque una organización no se encuentre en alguno de estos casos, es altamente recomendable contar con uno, ya sea externo o interno, especialmente si estamos hablando de un volumen de datos a tratar importante.
  • Establecer medidas técnicas y organizativas necesarias: este punto lleva a la práctica el principio comentado en el anterior apartado, según el cual el responsable del tratamiento debe diseñar todas las medidas necesarias para el tratamiento de los datos, tanto desde antes de llevar a cabo cualquier tratamiento, como durante su puesta en marcha y durante la ejecución del procedimiento habitual, y revisarlas de manera preventiva para garantizar que se cumplen las directrices establecidas en la LOPD-GDD.
  • Adaptación de la página web: este es uno de los puntos más sensibles para muchas empresas, especialmente en aquellos casos en los que esta tiene un peso importante en la actividad empresarial, ya sea porque concentra un elevado volumen de tráfico, porque se utiliza para recoger datos personales de clientes o porque directamente permite la compra o contratación online de productos o servicios. La página web debe contar con su correspondiente política de cookies actualizada y accesible, la política de privacidad, el aviso legal y, en caso de que se trata de un ecommerce, de los términos y condiciones de contratación.
  • Firma de los contratos con los diferentes encargados del tratamiento: las empresas o profesionales a los que confiamos los datos personales de nuestros clientes, empleados, colaboradores o proveedores en el desarrollo de nuestra actividad empresarial, como gestorías, servicios de hosting o almacenamiento en la nube o softwares de gestión, actúan en calidad de encargados del tratamiento, concepto que hemos explicado al inicio de este artículo. Estos encargados deben firmar un contrato según el cual se comprometen a utilizar estos datos exclusivamente para los fines concretos que especifica el mismo, según las indicaciones del responsable del tratamiento.
  • Dar respuesta a las solicitudes de los interesados: el responsable del tratamiento tiene la obligación de dar respuesta a cualquier solicitud de los interesados referente sus derechos de protección de datos, hacerlo en un plazo razonable y comunicarlo a través del mismo canal a través del que se ha hecho la solicitud. Todas estas solicitudes y respuestas deberán registrarse para dar constancia de ellas ante el propio interesado o ante la autoridad competente en caso de que las requiera.
  • Informar a los afectados en caso de cualquier incidencia: en caso de que se detecte una brecha de seguridad que pueda suponer un riesgo para los derechos de protección de datos de los interesados, el responsable del tratamiento deberá informar a los afectados y a la AEPD en un plazo máximo de 72 horas del mismo, aportando información sobre aspectos como el volumen y tipo de datos afectados, los detalles de la incidencia, qué consecuencias puede tener y qué medidas se han tomado para subsanarlas o minimizarlas.
Hacer frente a estas obligaciones puede llegar a ser complejo, por lo que es más que recomendable contar con la ayuda y asesoramiento de una empresa especialista en protección de datos, que por una inversión relativamente ajustada te garantizará un cumplimiento ágil y eficaz, evitando potenciales problemas de seguridad y multas que pueden llegar a los 20 millones de euros en aquellos casos más graves.
Ver la sección de LOPD y protección de datos

Servicios más demandados

En Doiser encontrarás todo lo que necesites para tu empresa, pero estos son los servicios TOP del momento