Ya hace unos días que se ha puesto en vigor el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 de protección de datos personales y cada día nuestros clientes nos asalta con dudas bastante habituales para los que no están familiarizados con el tema.
Por este motivo, hemos decidido hacer una recopilación de las dudas más habituales por si le son de ayuda al resto de empresarios.
Las dudas que hemos seleccionado, hemos querido exponerlas de lo más simple a lo más complejo, para ir entrar en calor antes de ahondar en los entresijos de la nueva legislación.
¿Por qué era necesario un nuevo reglamento de protección de datos personales?
Ya dimos respuesta a esta pregunta en otro post pero volveremos a contestar de una forma más escueta.
Hasta el momento, se ha hecho un uso de del todo ético y moral de los datos personales recopilados por las empresas y entidades públicas. Por este motivo se trata de regular el tratamiento y recogida de estos datos personales.
Por lo tanto la nueva ley de protección de datos personales pretende garantizar el buen uso de los datos personales recogidos, con el objetivo de proteger a las personas en sus derechos fundamentales, respetando su honor y libertad.
¿Quién debe adaptarse a la RGPD?
Como se ha explicado ya en post anteriores y seguramente conozcáis la mayoría. Cualquier persona o entidad pública o privada que disponga, acceda o trate datos de carácter personal con una finalidad empresarial.
Quedan exentos todos aquellos que recojan datos para actividades personales o domésticas.
¿Deben los autónomos tomar medidas de adaptación?
En la medida que usen datos personales para su actividad empresarial, sí. Si bien es cierto, que no se le exigen los mismos requisitos que a cualquier empresa, fundamentalmente por el nivel de seguridad de los datos con los que trabajan así como su volumen. En caso de duda, pueden contactar con nosotros.
¿Tienen que estar informadas las personas que facilitan datos personales? ¿De qué?
No solo tienen que estar informadas, sino que es un derecho. Por lo tanto a la hora de la recogida, hay que especificar e informar de los siguientes aspectos:
- Que sus datos pertenecerán a un fichero.
- Qué entidad tratará esos datos
- Si esos datos van a ser compartidos con otras entidades
- La finalidad y uso que se va a dar a los datos personales recogidos
- Información sobre sus derechos respecto a los datos que se le han recogido: Acceso, rectificación, cancelación y oposición, como explicamos en cómo adaptarse uno mismo.
Toda esta información debe facilitarse en el momento de recogida de los datos.
¿Qué es un dato personal?
Con datos personales nos referimos a cualquier tipo de información perteneciente a cualquier persona física identificada o identificable. Lo que quiere decir, que aunque no se identifique expresamente a esa persona, si te puede permitir acceder a su identificación también es considerado dato personal.
Este dato puede ser relativo a su identidad, ocupaciones, hábitos personales, formación, nivel socioeconómico… entre otras.
Es importante señalar que los datos relativos a personas jurídicas no se ven afectados por la nueva ley de protección de datos.
¿Cómo consigo el consentimiento para el uso de datos personales de mis posibles clientes?
Con el cambio en la normativa, la persona que cede sus datos debe dar un consentimiento expreso. ¿Qué quiere decir esto? Que debe realizar una acción que confirme que está cediendo sus datos, siempre teniendo acceso al uso que se va a hacer de los mismos, donde se van a registrar, etc.
Por ejemplo, en un formulario web, no será posible tener la casilla de consentimiento automarcada. La persona que cede sus datos deberá clicar esa casilla para poder recoger esos datos.
¿Cuáles son los datos personales especialmente protegidos?
Existen algunos datos personales que son más sensibles que otros. Por este motivo también existen varios niveles de seguridad en función del tipo de datos que se tratan en la entidad.
Estos datos suelen estar relacionados con aspectos muy íntimos de las personas que los ceden por lo que la seguridad en el tratamiento de los mismos será mucho mayor. Los datos personales especialmente protegidos son:
- Antecedentes personales
- Salud
- Origen racial
- Opción religiosa
- Orientación sexual
- Afiliación sindical
- Ideología
Un correo electrónico ¿es un dato personal?
Como comentábamos anteriormente, en el sentido en el que mediante este dato, podemos identificar a la persona a la que pertenece ese dato, estaríamos hablando de un dato personal. Por lo tanto la respuesta es SI. En esta línea, una lista de correo electrónico sería un fichero de datos personales.
¿Qué es un fichero de datos personales?
Se trata de un conjunto organizado de datos personales dedicado a su almacenamiento, organización y acceso. Estos ficheros siempre tienen un fin concreto para la empresa y esta será responsable del uso que se le dé a los mismos.
Si no tengo los ficheros informatizados ¿debo cumplir la ley igualmente?
La nueva ley afecta por igual tanto a registros electrónicos como en papel. Por lo tanto la respuesta es SI, debe ajustarse a lo establecido en la nueva regulación.
¿Debo inscribir todos mis ficheros en la Agencia Española de Protección de Datos (AEPD)?
Si no se cumple la nueva normativa de protección de datos personales ¿Quién es el responsable, la empresa o el empleado?
El establecimiento de nuevas figuras como el delegado de protección de datos y el mayor control de recogida, almacenamiento de los datos por parte de la empresa, hace que la responsabilidad en el incumplimiento de la normativa, sea del responsable de los ficheros. Por lo tanto, la responsabilidad sería de la empresa.
Por lo tanto, es muy importante mantener informado a todo el personal de las entidades con respecto a las buenas prácticas en el tratamiento de datos personales. En este sentido, la inversión en formación puede ser la mejor solución para prevenir posibles sanciones.
Si existe algún tipo de amenaza o vulnerabilidad ¿Debo informar a los afectados? ¿En cuánto tiempo?
Se ha comentado ya en anteriores post, que en caso de existir una vulnerabilidad, debe comunicarse a la autoridad de protección de datos personales competente en un plazo no superior a 72 horas.
Cuando esta vulnerabilidad pueda poner en riesgo las libertades o derechos de los usuarios, estos deben ser informados. El objetivo de este informe es que puedan tomar medidas preventivas para evitar que se vean afectados.
¿Se puede comerciar con bases de datos para usos publicitarios?
Siempre y cuando que estos datos personales hayan sido recogidos con consentimiento de las personas que los ceden. Además se debe informar del uso que se va ha hacer de los mismos.
Por lo tanto, no existe ningún impedimento para hacer este uso de los datos personales. Siempre y cuando se respeten las condiciones expuestas en la nueva legislación.
Hasta aquí la recopilación de las principales dudas
Con esto respondemos a todas las dudas que nos han ido planteando nuestros clientes durante estos meses de adaptanción. Además, esperamos ayudar a muchos otros que todavía se encuentren en proceso.
Si tu duda no se resuelve en este post, puedes contactar con nosotros , te la resolveremos encantados.
Recuerda que también puedes recibir tu guía de novedades RGPD rellenando el formulario que aparece al principio del articulo en el lateral. Esperamos que te haya servido de ayuda.