El pasado 7 de diciembre de 2018 entró en vigor la nueva Ley Orgánica 3/2018 de Protección de Datos y Garantía de los derechos digitales. Esta nueva normativa es relevante en cuanto al tratamientos de los datos personales de usuarios y clientes y todas las empresas de Europa deben tener en cuenta los principios que exige esta ley.
En este post vamos a resumir qué es la protección de datos, quien debe aplicarla y cómo se introduce en una empresa.
¿Qué es la Protección de Datos Personales?
Todas las normativas que regulan la protección de datos se basan en que los datos personales de los usuarios deben estar protegidos por los legisladores europeos.
Antes de conocer más detalles, es necesario saber que es aquello que se considera dato personal. Este tipo de información es todo apunte capaz de hacer identificada o identificable a una persona física, es decir, cualquier dato que por sí mismo o en consonancia con otros pueda llevar a la identificación de alguien.
Si tienes una empresa te preguntarás: ¿debo aplicarlo en mi negocio? La respuesta es sí. En primer lugar, es necesario saber que hay dos normativas a nivel europeo y a nivel estatal. Por un lado, el Reglamento General de Protección de Datos deben cumplirlo todos los países miembros de la Unión Europea y es vinculante a todas aquellas empresas del mundo que vayan a tratar datos personales de ciudadanos pertenecientes a estos países.
Además, existe la Ley orgánica de Protección de Datos que hemos mencionado anteriormente se aplica a todas las empresas españolas que gestionen datos personales de clientes o de cualquier otro usuario.
Existen unos principios generales a los que las empresas deben acogerse cuando aplican esta regulación:
- Minimización de los datos personales de los usuarios, debiéndose trabajar con la información justamente necesaria.
- Limitación de la finalidad del tratamiento, es decir, que se utilicen esos datos para un hecho en concreto.
- Limitación del plazo de conservación de esos datos. Esto hace referencia a que será necesario destruir los datos en un plazo de tiempo determinado.
- Transparencia en relación a la información que se proporciona a aquellos interesados en cómo se tratan sus datos personales.
- Uso de medidas de seguridad ante brechas en los sistemas que se utilizan.
- Veracidad en los datos cuando no hayan sido proporcionados por la persona en concreto.
- Obtención del consentimiento por parte de la persona para que se utilicen sus datos personales.
¿Cómo se aplica la Ley de Protección de Datos en una empresa?
En primer lugar, una empresa que se vea afectada por la normativa en materia de protección de datos debe considerar dos figuras principales en el tratamiento de la información. Estas figuras suelen ser personas externas a la empresa.
Por un lado, estará el responsable de tratamiento de datos personales que será la figura que tome decisiones sobre el tipo de actuación y finalidad de la información en una relación comercial. Por otro lado, el encargado del tratamiento de datos personales será el que tenga acceso a las bases de datos y trabaje con esos datos.
Una vez estén diferenciadas estas dos figuras, es necesario crear un estándar al que tengan acceso todos aquellos que manejen los datos para que estén informados a nivel legal. Las empresas deben reflejar qué datos manejan, dónde se almacenan, con qué fin y qué se debe proporcionar al cliente final. Por eso, debe aparecer por escrito cómo se va a garantizar el cumplimiento de la ley.
En este punto, el registro de actividades de tratamiento de datos personales varía dependiendo de si la empresa es una PYME o si tiene más de 250 empleados. Las empresas con más de 250 trabajadores deben tener un Delegado de Protección de Datos y deberán incluirse el contacto de dicho empleado, la finalidad del tratamiento de los datos y una descripción de categorías de interesados y de datos personales tratados. Sin embargo, en una empresa pequeña, no es necesario contar con un Delegado de Protección de Datos aunque si tendrá que haber un responsable de coordinación.
Medidas de seguridad en el tratamiento de los datos
Como se están tratando datos personales de clientes o usuarios, es fundamental establecer medidas de seguridad que se aplican sobre esa base de datos según el grado de riesgo que supondría una brecha de seguridad.
El Reglamento General de Protección de Datos indica una serie de medidas necesarias para garantizar la seguridad de los datos. Estas normas van desde el cifrado, garantía de la confidencialidad, la capacidad de restaurar la disponibilidad y el acceso a los datos de forma rápida en caso de incidente y una eficacia de las medidas que garanticen la seguridad.
Los datos personales de los usuarios será necesario someterlos a un proceso de protección según se comienzan a recabar.
Para finalizar, es necesario recordar que la ley también dice que se ha de establecer que por defecto solo se trate aquella información estrictamente necesaria en cada finalidad, la mínima cantidad de datos posibles, durante el mínimo tiempo y se almacenen solo el tiempo necesario.