¿Conoces como se aplica la ley de protección de de datos en las empresas? El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (en adelante “RGPD”), entró en vigor el pasado 25 de mayo de 2016, si bien, y de acuerdo con su articulado, sus disposiciones resultan de aplicación desde el pasado 25 de mayo de 2018. En este sentido, y con el objetivo de adaptar nuestro ordenamiento jurídico a las disposiciones del RGPD, entró en vigor la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, la “LOPDGDD”), cuyo articulado es de obligado cumplimiento tanto personas físicas como para empresas que tratan datos personales.

¿Qué es la Ley de Protección de Datos para empresas?

El régimen de aplicación del RGPD para las personas jurídicas viene determinado de acuerdo con el artículo 2, en relación con el “tratamiento total o parcialmente automatizado de datos personales”; y el artículo 3, en relación con el “tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión” y el “tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión”.

De acuerdo con lo anterior, el RGPD y la LOPDGDD se configuran como una herramienta de control cuyo cumplimiento resulta obligatorio para las empresas que en su actividad traten de forma automatizada, parcial o totalmente, datos personales, o bien, que, sin hacerlo de forma automatizada, el destino de los datos sea el de ser incluidos en un fichero.

En este sentido, en caso de que una empresa trate datos personales de interesados que sean personas físicas (en caso de que todos los datos tratados fueran relativos a personas jurídicas, el régimen no resultaría de aplicación), estará sometida al ámbito de aplicación del RGPD y de la LOPDGDD.

¿Cómo le afecta a tu empresa?

El núcleo fundamental de la legislación en materia de protección de datos es la necesidad de otorgar un blindaje extra de protección y reforzar los niveles de seguridad en relación con la gestión de datos de los interesados. En este sentido, la empresa que trata datos personales debe tener en consideración, a modo enunciativo, pero, no limitativo, los siguientes elementos:

  • Aparición de la figura del Delegado de Protección de Datos.
  • Elaboración de evaluaciones impacto, en relación con los datos tratados.
  • Comunicación continua ante brechas de seguridad en el tratamiento de datos personales.
  • Eliminación del consentimiento tácito: importancia del otorgamiento del consentimiento.
  • Derecho de información de todos los afectados.

¿Cómo cumplirla?

Las actividades esenciales para que tu empresa esté alineada con lo establecido en el RGPD y la LOPDGDD serían las siguientes:

  • Elaboración de un registro de actividades de tratamiento, que incluya información relativa a los fines del tratamiento, los destinatarios, las medidas técnicas y organizativas, etc.
  • Instrumentación de procedimientos que den soporte a los nuevos derechos de portabilidad y limitación, los cuales, complementen a los tradicionales derechos de acceso, rectificación, supresión y oposición.
  • Instrumentar un procedimiento de detección y comunicación de brechas de seguridad en el tratamiento de datos personales.
  • Análisis de la base de legitimación en el tratamiento de datos personales: ya sea el consentimiento otorgado, alguna obligación legal, el interés legítimo, etc.
  • Revisar las cláusulas, y/o apartados de información al consumidor, en relación con el tratamiento de sus datos personales.
  • Análisis de los requisitos necesarios para nombrar a un Delegado de Protección de Datos, y en su caso, proceder a su nombramiento.

LETSLAW

Desde Letslaw hacemos un análisis de la situación de la empresa con respecto del RGPD y la LOPDGDD, al objeto de facilitar las claves para que estas elaboren todos los procedimientos que sean necesarios para cumplir con la normativa de protección de datos.