Protección de datos para autónomos

La protección de datos personales se ha convertido en un factor fundamental en todos los ámbitos. En el caso de los autónomos, el tratamiento de los datos de los clientes se ha endurecido, debido al gran volumen de información que tratan a diario, para lo cual se acuña el término «Big Data». Los negocios deben proceder a una adaptación al RGPD, ya que en caso contrario podrás verte sometido a multas muy endurecidas.

La no adaptación a la nueva LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales) puede requerir graves sanciones. Así, el tratamiento de datos que efectúes en tu negocio deberá adecuarse perfectamente a la norma. Más adelante te explicamos los puntos más importantes. No obstante, por ahora, queremos resumirte el artículo 83.2 del RGPD (Reglamento General de Protección de Datos), que se refiere al régimen sancionador.

Para conocer la cuantía de las multas, el RGPD opta por atender los casos particulares. Las multas podrán ser de hasta 20.000.000 euros. Partiendo de esa base, se tendrá en cuenta la duración de la infracción cometida, la naturaleza y la gravedad, el número de afectados, la negligencia existente, las medidas que el encargado del tratamiento o el responsable haya tomado, así como su grado de responsabilidad.

A su vez, se tendrán en cuenta los tipos de datos que han sido afectados a causa de la infracción que hayas cometido, si informaste y cómo a la autoridad de control, que es la Agencia Española de Protección de Datos (AEPD), y si cooperaste con ella. Además, todo tipo de posibles agravantes o atenuantes serán tenidos en cuenta, como que te hayas adherido a mecanismos de certificación del RGPD o a códigos de conducta.

Como puedes ver, la protección de datos no solo atañe a las grandes organizaciones. También, los autónomos recaban datos en su día a día, los cuales deben ser debidamente tratados y gestionados. Un ejemplo de dicho tratamiento es cuando se abre una ficha en la que incluyes los datos de tus clientes o cuando le pides información personal por teléfono, así como cuando alguien se identifica en la página web de tu negocio. Estos son los puntos más importantes.

En cuanto a la captación de datos, si los recopilas por ti mismo tendrás que prestar atención a todos los mecanismos que utilizas. Por ejemplo, los formularios web, los correos electrónicos de soporte, las fichas de contacto o las llamadas de teléfono, entre otros. En todos los casos deberás cumplir adecuadamente con el RGPD.

Esto significa que deberás identificarte ante el cliente, informarle de cuál es la finalidad principal del tratamiento de sus datos, recabar su consentimiento de manera explícita e inequívoca y nunca presumirlo, darle la opción de rechazar finalidades adicionales que no sean esenciales (por tanto, si es vía web, nunca incluir casillas premarcadas), así como ofrecerle un canal de comunicación fácil y accesible para que pueda ejercer sus derechos ARCO (acceso, rectificación, cancelación y oposición).

La normativa del RGPD se ha implantado en todos los países que forman parte de la Unión Europea. Por tanto, como autónomo tendrás que almacenar los datos solo el tiempo realmente necesario para su tratamiento.

Además, tu cliente deberá conocer la política de conservación. Es decir, todas las personas deben saber si el tratamiento será continuado o esporádico y cómo se van a borrar los datos del fichero. El protocolo que crees deberá ser también conocido por los clientes, además de fácilmente accesible y bien detallado.

Para ceder los datos de tus clientes deberás tener el consentimiento previo de los mismos, que además deberá ser inequívoco y específico. La cesión deberá ser necesaria para el desarrollo del contrato o para la ejecución del mismo, y crear una obligación legal. Además, si hay cesión a terceros, está deberá obedecer a otros intereses que prevalezcan y que sean legítimos y del responsable o de dichos terceros. Por último, podrá haber cesión si con ella se salvaguardan intereses vitales del cedente.

Si tienes empleados, puedes poner grabaciones de imágenes sin el consentimiento de los empleados. No obstante, deberás informarlos, así como decirles para qué van a ser tratadas esas imágenes. Las imágenes deberán estar sin voz. Además, deberán ser proporcionadas y no afectar a la intimidad de tu empleado. Por ejemplo, no se podrán poner en lugares de recreo o de descanso, y si se quieren poner enfocando a una caja registradora, enfocará exclusivamente eso.

Los protocolos suelen estar básicamente enfocados a los derechos ARCO. En primer lugar, el derecho de acceso es el que tiene tu cliente a saber si sus datos se están tratando, para qué y de qué información dispones exactamente. No necesita justificártelo, salvo que ya haya ejercitado este derecho en el año anterior y deberás responder como máximo en un mes. La denegación deberá ser con la tutela de la AEPD y motivada.

El derecho de rectificación es el que tus clientes tienen a modificar sus datos incompletos o inexactos. Deberá indicar la corrección y los datos a los que se está refiriendo y aportar documentación. El plazo será de diez días y la denegación debe ser bajo tutela de la AEPD y motivada. Lo mismo ocurre con la denegación en el derecho de cancelación, de diez días de plazo. Es el derecho de tus clientes a que se supriman los datos excesivos.

Por último, el derecho de oposición es el que tiene el cliente a que ceses el tratamiento de sus datos cuando sean ficheros comerciales o si su fin es adoptar decisiones referidas a tu cliente. Deberá justificar este derecho y el plazo será de diez días.

Si quieres una adecuada protección de datos, te recomendamos que contactes con una consultoría que te preste estos servicios. Así, te asegurarás de que la adaptación al RGPD sea completa y adecuada y evitarás futuros sustos y problemas.