Protección de Datos para Empresas

Es obligatorio siempre que se traten datos de carácter personal, no importando si quien los trata es una empresa/persona jurídica o un profesional/autónomo. Tampoco importa el número de empleados o si los datos se tratan de forma manual/papel o de forma automatizada.

Los servicios relacionados con el RGPD y LOPDGDD son servicios de carácter jurídico y altamente especializados. La valoración de los tratamientos y los riesgos jurídicos y técnicos deben ser analizados por quien tengan conocimiento profundo de la normativa y de las resoluciones y jurisprudencia, por lo tanto, lo más recomendable es contar con asesoría especializada.

Es obligatorio contar con un DPO en los siguientes tratamientos/actividades:

1. Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10. Sería el caso, por ejemplo de una clínica, de un centro deportivo o de una aplicación que trate datos especiales, como podrían ser datos de salud.
2. Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala. Sería el caso de videovigilancia en grandes espacios.
3. Los colegios profesionales y sus consejos generales.
4. Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
5. Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
6. Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
7. Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
8. Los establecimientos financieros de crédito.
9. Las entidades aseguradoras y reaseguradoras.
10. Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
11. Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
12. Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
13. Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
14. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
15. Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
16. Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
17. Las empresas de seguridad privada.
18. Las federaciones deportivas cuando traten datos de menores de edad.
19. Si el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.

En primer lugar, y para descartar que su actividad/tratamientos no se encuentra en los supuestos de designación obligatoria, se recomienda la valoración de un profesional cualificado que así lo determine.

Luego, se tendrá que valorar la conveniencia de una designación voluntaria de DPO. Existen sectores y tratamientos, que por su propia naturaleza presentan una casuística muy compleja y  con incidencias frecuentes en materia de datos personales, especialmente cuando se trata de productos y servicios que se prestan a usuarios finales. Por esta razón, y aunque no exista obligatoriedad de nombramiento, éste se recomienda de forma especial, ya que un Delegado de Protección de Datos:

1. Informa y asesora al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento, de las obligaciones del RPGD y demás normativa aplicable en protección de datos.
2. Supervisa el cumplimiento del RGPD y demás normativa aplicable en protección de datos, y de las políticas del responsable o encargado del tratamiento en dicha materia, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en operaciones de tratamiento, y las auditorías correspondientes.
3. Ofrece el asesoramiento que se solicita acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación conforme al artículo 35 del RGPD.
4. Cooperar con la autoridad de control, actuando como punto de contacto con la Agencia Española de Protección de Datos para cuestiones relativas a los tratamientos. Se estima que tener un DPO es un indicio de buena fe, cuestión que puede ser especialmente importante ante requerimientos de la Agencia de Protección de Datos.

El RGPD y la LOPDGDD se basan en un sistema de carácter Preventivo. Esto significa que el enfoque que se debe dar a los tratamientos de datos personales siempre debe ser desde su Diseño, para así determinar qué riesgos conllevan y cómo deben gestionarse. De esta manera, nos alejamos del modelo Reactivo, es decir, el de reaccionar y aplicar controles una vez que nos encontremos con los riesgos convertidos en incidencias, reclamaciones o requerimientos y sanciones por parte de la Agencia Española de Protección de Datos.

En este contexto, el Principio de “responsabilidad activa” o “responsabilidad demostrada” obliga a los responsables a mantener diligencia debida de manera permanente para proteger y garantizar los derechos y libertades de las personas físicas cuyos datos son tratados. Y lo más importante: no sólo obliga a mantener esa diligencia debida y consecuentemente a adoptar las medidas para tratar y mitigar los riesgos, sino que, además, el responsable tiene la carga de demostrar que ha actuado y que ha adoptado medidas.

Implementarlo en la empresa requiere de apoyo especializado para analizar los tratamientos de datos personales, valorarlos desde el punto de vista de los riesgos jurídicos y plantear una estrategia de mitigación y control.

Aunque no nos gusta el término “adecuación”, ya que nos parece antiguo y poco acertado, somos conscientes de que muchas veces se pregunta por este tipo de servicios, denominándolos de esa forma.

En lugar de “adecuación” Nosotros preferimos hablar de Cumplimiento, para referirnos a todas las acciones que deben adoptarse a nivel legal y técnico para dar cumplimiento efectivo a las obligaciones que establece el RGPD y la LOPDGDD.

El responsable del tratamiento debe velar por la perfecta trazabilidad de los datos personales que trata, especialmente si existen terceros que deben acceder a la información para prestar un servicio. El RGPD obliga a seleccionar a proveedores que presten garantía de cumplimiento en materia de protección de datos, y además que se les supervise/audite durante todo el ciclo de vida de los datos. Por lo anterior, es necesario contar con un sistema objetivo que permita valorar la calidad de los proveedores, así como un servicio permanente que permita controlar con regularidad la idoneidad de ese proveedor desde el punto de vista del RGPD y la LOPDGDD.

La formación en materia de protección de datos es esencial, especialmente si hablamos de personal, directivos, responsables de datos y delegados de protección de datos internos.

La formación y concienciación es parte del enfoque preventivo, basado en el principio de responsabilidad proactiva, ya que son las personas quienes dan aplicación práctica a la norma. Por anterior, este tipo de acciones son imprescindibles si se quiere cumplir de forma adecuada con los retos normativos que plantea el RGPD y la LOPDGDD.

La capacitación en esta materia se puede realizar a través de formaciones y talleres especializados, eminentemente prácticos.

Puede consultar nuestra oferta de formación y workshops en materia de protección de datos.

La normativa exige que los servicios en esta materia se realicen de forma personalizada y a la medida. Por ello, antes de ofrecer una valoración de los servicios, nos enfocamos en analizar el tipo de tratamiento y su intensidad para los derechos y libertades de los interesados; la tipología de los datos tratados; los medios y madurez de la empresa, entre otros factores.

Puede solicitarnos una valoración en contacto@elizabethtroncoso.com

Las evaluaciones de impacto sirven para evaluar los riesgos de un tratamiento, y en concreto, el origen, naturaleza, particularidad y gravedad de los mismos, cuando los tratamientos entrañen un alto riesgo para los derechos y libertades de los interesados. Es decir, si el tratamiento que se desea ejecutar resulta ser altamente riesgoso para las personas interesadas, se necesita valorar los riesgos en mayor profundidad, además de adoptarse las medidas adecuadas para mitigarlos, con el fin de demostrar que el tratamiento de los datos personales es conforme con el RGPD.
Con carácter general, existe la obligación de llevar a cabo la realización de una EIPD siempre que el tratamiento implique un alto riesgo para los derechos y libertades de las personas físicas. No obstante, con independencia de esta obligación, el responsable podrá llevar a cabo la EIPD cuando lo considere o valore necesario. 
Consulta nuestro servicio especializado si necesitas realizar una Evaluación de Impacto en la empresa.