Obligaciones relativas a la protección de datos de carácter personal - Portal de Emprendimiento

La Ley distingue entre el responsable del fichero, es decir, la persona titular o propietaria del mismo, y el encargado del tratamiento del fichero, que es la persona encargada de utilizar los datos por cuenta del anterior. Es posible que sólo exista el Responsable, que es el titular y el que hace uso de los datos directamente, pero también son típicos casos como los de las asesorías que se encargan de realizar las nóminas con los datos de las personas trabajadoras facilitados por una empresa determinada. En este caso el Responsable del fichero es la empresa y el encargo del tratamiento será la asesoría y deberá existir un contrato de encargo de tratamiento entre el Responsable (la empresa) y el encargado del tratamiento (asesoría), en el que se indique la forma de tratar los datos y las medidas de seguridad a adoptar.

En todo caso, es importante tener en cuenta que es el responsable o persona titular del fichero, el obligado a cumplir la gran mayoría de las obligaciones impuestas en la ley.

El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán incluso después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Por dato de carácter personal se entiende cualquier información referida a personas físicas (no jurídicas) identificadas o identificables: Nombre y apellidos, dirección, teléfono, DNI, número de la Seguridad Social, fotografías, firmas, correos electrónicos, datos bancarios, edad y fecha de nacimiento, sexo, nacionalidad, etc. Es decir, datos personales son todos aquellos que permiten identificar a una determinada persona.

Aquí te contamos brevemente los aspectos esenciales. En la sede electrónica de la Agencia Española de Protección de Datos tienes guías y materiales que te facilitarán la tarea.

Sólo se pueden recabar datos personales cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. Además, no podrás usarlos para finalidades incompatibles con aquellas para las que las hubieras recogido. Cuando hayan dejado de ser necesarios para la finalidad para la que los hubieras recogido, deberás cancelarlos.

Los datos de carácter personal se clasifican en función de su «sensibilidad»:

• Datos personales de nivel básico son: nombre y apellidos, dirección, teléfono, DNI, número de la Seguridad Social, fotografías, firmas, correos electrónicos, datos bancarios, edad y fecha de nacimiento, sexo, nacionalidad, etc.
• Los datos incluidos en el nivel alto y medio (afiliación sindical, ideología, origen racial, etc.) están especialmente protegidos, por lo que, en caso de no ser absolutamente necesarios para el ejercicio de tu actividad, es recomendable NO solicitarlos.

Ficheros de datos de carácter personal

Normalmente, a la hora de mencionar los datos de carácter personal se habla de ficheros, ya sean automatizados (en soporte informático) o no automatizados (en papel). Los ficheros son aquellas bases de datos que recogen de forma organizada los datos de carácter personal que tienen cierta relación entre sí (una empresa puede tener fichero de clientes, otro fichero de proveedores, otro de curriculums, de usuarios web, etc.).

Por ejemplo, a un fichero en excel con datos de clientes (nombre, apellidos, teléfono, email, etc.) le será de aplicación la ley y las obligaciones que veremos a continuación, ya que se trata de datos de personas físicas; pero si tenemos otro fichero con datos de proveedores (nombre de empresa, NIF, dirección, etc.) no le será de aplicación ya que son datos de personas jurídicas. Ahora bien, si en este último fichero hubiese datos de personas físicas (por ejemplo, de personas trabajadoras autónomas o los datos de una persona de contacto), sí sería de aplicación la ley.

Uno de los aspectos más importantes de la normativa de protección de datos de carácter personal es que su tratamiento requiere el consentimiento inequívoco de la persona. Es decir, la persona deberá realizar una acción afirmativa que nos permita tratar los datos, como por ejemplo poniendo un tick en una casilla o firmando un documento.

Además, hay que informar a la persona quién trata sus datos, para qué se tratan y cómo será ese tratamiento. Esta información debe darse de forma clara y entendible y debe ser fácil de encontrar. Puede incluirse, por ejemplo, en el aviso legal web de la empresa (si tienes una página donde ofreces tus servicios o una tienda online).

Esta información, como mínimo, contendrá:

• Identificación del responsable o encargado del tratamiento o sus representantes
• Existencia de un fichero o tratamiento de los datos
• Finalidad para la que se recogen los datos
• Si los datos se cederán a terceros
• Cómo y dónde ejercer los derechos ARCO: Acceso, Rectificación, Cancelación, Oposición.
   

Cuando recogemos datos de carácter personal, hay que tener en cuenta que las personas afectadas tienen una serie de derechos:

• Derecho de acceso: Derecho a conocer toda la información referente a sus datos personales de los que dispone la empresa. Esta debe responder en el plazo máximo de 1 mes; si no lo hace así, la persona afectada podrá recurrir ante la Agencia de Protección de Datos.
• Derecho de rectificación y modificación de sus datos. La empresa tiene 10 días para hacer las modificaciones solicitadas. Transcurrido este plazo sin recibir respuesta o siendo esta insatisfactoria, puede recurrir ante la Agencia de Protección de Datos.
• Derecho de cancelación de sus datos, que la empresa debe eliminar, salvo que por disposición legal deban conservarse.
• Derecho de oposición, negándose a que un tercero trate sus datos de carácter personal, salvo que exista disposición legal que obligue a su tratamiento.
   

Los responsables y encargados del tratamiento de datos personales deberán mantener un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Este registro deberá contener una información mínima respecto de los responsables del tratamiento y los encargados.

Respecto a los responsables:

• el nombre y los datos de contacto de la persona responsable y del delegado de protección de datos;
• los fines del tratamiento;
• una descripción de las categorías de personas interesadas y de datos personales;
• las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales;
• cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
• cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.

Respecto a los encargados:

• el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y del delegado de protección de datos;
• las categorías de tratamientos efectuados por cuenta de cada responsable;
• cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.

Según la Ley, no están obligadas a configurar este registro de actividades las organizaciones que empleen a menos de 250 personas trabajadoras, a menos que el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de las personas interesadas, no sea ocasional o incluya categorías especiales de datos o datos relativos a condenas e infracciones penales.

Pero hay que indicar que estas excepciones se aplican en casos muy limitados, puesto que en la práctica todos los tratamientos pueden suponer un riesgo para los derechos y libertades de las personas interesadas, aunque sea ocasional, lo que viene a implicar que en la práctica, que la mayoría de los responsables o encargados del tratamiento que empleen a menos de 250 trabajadoras están obligadas a llevar un registro de actividades de tratamiento.

Los datos de carácter personal sólo podrán ser comunicados o cedidos a una tercera persona o entidad para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento de la persona interesada. Por lo tanto, para ceder los datos personales es necesario que se den los dos requisitos anteriores: finalidad directamente relacionada y previo consentimiento de la persona interesada.

Para que el consentimiento se considere válido, debe informarse claramente a la persona interesada de la finalidad a la que se destinarán los datos cuya comunicación se autoriza. Este consentimiento en ocasiones no resulta preciso según la Ley, por ejemplo, si la cesión ya está autorizada por Ley, si se trata de datos recogidos de fuentes accesibles al público, entre otros.

El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.

El Reglamento General de Protección de Datos establece un catálogo de las medidas que los responsables, y en ocasiones los encargados, deben aplicar para garantizar que los tratamientos son conformes al citado Reglamento, así como que están en condiciones de demostrarlo. Estas medidas de responsabilidad se refieren esencialmente a la seguridad de los datos y las medidas adoptadas para su garantía.

Las medidas de seguridad a adoptar dependerán del riesgo que los tratamientos que realizan supongan para los derechos y libertades de las personas interesadas.

Es decir, cuando iniciemos un nuevo tratamiento, como por ejemplo la puesta en marcha de una página web con formulario de contacto, deberemos hacer un ANÁLISIS PREVIO DE LOS RIESGOS que conlleva para las personas que dejan sus datos en él. Para ello hay que realizar las siguientes tareas:

• Identificar los factores de riesgo o amenazas para los derechos y libertades.
• Analizar los mismos, en su impacto y probabilidad, para poder llevar a cabo la evaluación del nivel de riesgo inherente que se deriva de cada uno de los factores de riesgo.
• Evaluar el nivel global del riesgo del tratamiento para los derechos y libertades del tratamiento.

Para IDENTIFICAR LOS FACTORES DE RIESGO en el tratamiento de los datos que realices, la Agencia Española de Protección de Datos ofrece una herramienta en su sede electrónica: EVALÚA_RIESGO RGPD. Con esta herramienta podrás hacer una primera evaluación de los riesgos, incluyendo la necesidad de realizar una Evaluación de Impacto de Protección de Datos.
La regulación europea señala cuándo hay que hacer obligatoriamente la Evaluación de Impacto de Protección de Datos:

• Alto riesgo: Cuando el tratamiento vaya a entrañar un alto riesgo para los derechos y libertades de las personas físicas. Por ejemplo, en el empleo de nuevas tecnologías, o si atendemos a su naturaleza, contexto y alcance.
• Evaluación sistemática: En el momento que, sistemáticamente, se evalúe aspectos personales de personas físicas basadas en un tratamiento automatizado. Por ejemplo, es el caso de la elaboración de perfiles.
• Tratamiento a gran escala de datos especialmente protegidos: Si se efectúa un tratamiento a gran escala de las categorías especiales de datos de salud, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 del RGPD. Incluimos en este apartado también los datos personales relativos a menores.
• Uso de tecnologías invasivas: Se vayan a utilizar tecnologías que se consideran especialmente invasivas con la privacidad, por ejemplo, videovigilancia a gran escala

Para ayudarte en la realización de esta Evaluación de Impacto, la Agencia Española de Protección de Datos ofrece una herramienta sencilla y gratuita: Gestiona_EIPD.

Una vez identificados los riesgos, a continuación debes TOMAR MEDIDAS E IMPLEMENTAR GARANTÍAS que disminuyan/eliminen específicamente los riesgos detectados.

Hay que destacar que, si bien lo ideal es la eliminación de los riesgos, en ciertos casos no será necesario, permitiendo la normativa reducirlos a un nivel aceptable que permita a la empresa tratar con seguridad los datos personales.

La realización de un análisis de riesgos no tiene por qué eliminar completamente los riesgos para la privacidad de los afectados, sino reducirlos a un nivel aceptable que permita para la organización la implementación del producto, servicio o tratamiento de datos personales.

Pero, aunque hayamos adoptado las medidas de seguridad necesaria, puede que se produzca una BRECHA DE SEGURIDAD. En caso de que se produzca una brecha o violación de seguridad, si ésta afecta a datos personales y constituye un riesgo para los derechos de las personas físicas, tienes que notificarlo a las personas interesadas y comunicarlo a la Agencia Española de Protección de Datos. Para poder valorar si la brecha la tienes que comunicar a las personas afectadas y a la Agencia, ésta ofrece una herramienta que te ayudará en la toma de decisiones sobre este tema: Comunica-Brecha RGPD.

En materia de protección de datos, al igual que en cualquier otra hay que estar siempre al día, por lo que se recomienda que establezcas unos procedimientos por los que se analice periódicamente que cumples con la ley y si no es así, permita ponerle remedio lo más rápidamente posible.

Estos informes son muy importantes, ya que nos servirán como demostración de cumplimiento de la ley y nos permitirán conocer el grado de seguridad de los datos que tratamos.