Qué deben conocer pymes y autónomos sobre el nuevo Reglamento General de Protección de Datos

La nueva normativa otorga mayor control de los datos personales a los ciudadanos, ampliando sus derechos a decidir cómo desean que sus datos sean tratados y cómo quieren recibir información de las empresas. Sin embargo, el desconocimiento sobre cómo este reglamento afecta a pequeñas y medianas empresas sigue siendo una asignatura pendiente. Según un estudio de la empresa de software de gestión Sage, el 52% de las pymes no está familiarizada o desconoce su existencia, mientras que el 37% de las compañías encuestadas no entiende bien el efecto que tendrá en su negocio. Para el asesor legal de Fundación Caja de Burgos, Fernando Blanco, los autónomos y pymes deben saber que cambia «sustancialmente»  la forma de concebir la protección de datos y destaca que desde la entrada en vigor de la normativa europea, ésta se ha convertido en un procedemiento que requiere «medidas de responsabilidad activas» . El RGPD contempla que las empresas tengan una actitud consciente, diligente y proactiva del tratamiento de los datos. Entre otros aspectos, el abogado destaca las siguientes novedades: –Incorporación de un DPO (delegado de protección de datos) o persona responsable dentro de la organización de implantar todos los procesos relativos al RGPD. La Agencia Española de Protección de Datos (AOPD) dispone de una práctica guía para los responsables de los tratamientos de datos. -Notificación por parte del DPO de las violaciones de seguridad de datos a la autoridad competente (AEPD) cualquier brecha de seguridad que se haya producido en el plazo de 72 horas. -Desaparece la obligatoriedad de noticicar ficheros a la AOPD, pero la pyme debe mantener un registro de actividades de tratamiento en el se apuntará todo lo que se hace con cada grupo de datos del negocio. -Se incrementan las sanciones cuando se incumpla la normativa.

No importa el tamaño de la empresa, importa la naturaleza de los datos que gestiona

Por su parte, el responsabe jurídico de la consultora con sede en Burgos Valora Asociados, Sergio Carpio, recuerda que por el simple  hecho de que una organización o compañía «gestione datos personales de terceros» -independientemente del tamaño de la empresa, facturación, o número de clientes- queda obligada a una correcta aplicación del nuevo Reglamento de Protección de Datos. Por ello, las pymes y autónomos deberán tener en cuenta, en primer lugar,  la naturaleza o tipología de los datos antes de enfocar sus procedimientos de Protección de Datos. «Se trata de analizar el tipo de datos que nuestra empresa capta como paso previo a establecer medidas que garanticen y establezcan un nivel de seguridad adecuado al riesgo».  Así se determinarán diferentes niveles de riesgo como bajo (por ejemplo, los datos identificativos como nombre, dirección, etc); medio (información sobre la solvencia patrimonial de una persona o cliente) y alto (datos sensibles como los relacionados con la salud, ideología política). «Tras este análisis,  se aplicarán medidas enfocadas a garantizar su seguridad», defiende el abogado. Otro de los aspectos novesodad en los que incide el responsable de Valora Asociados es la no obligatoriedad de registrar los ficheros de datos ante la AEPD tal y como recogía nuestra Ley Orgánica. En cambio, el nuevo reglamento demanda que la empresa ponga en conocimiento a la Agencia «un registro de tratamiento o la actividad que vamos a hacer con esos datos de carácter personal».  

  Tal y como refleja el artículo 30 de la normativa europea, el registro, que se debe inscribir a través de la web de la AEPD, debe contener la siguiente información:

1. El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
2. Los fines del tratamiento;
3. Una descripción de las categorías de interesados y de las categorías de datos personales;
4. Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
5. Las transferencias de datos personales a un tercer país o una organización internacional (en su caso) incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
6. Los plazos previstos para la supresión de las diferentes categorías de datos, cuando sea posible
7. Una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32

Finalmente, el abogado recuerda que las pymes “deben recabar un consentimiento inequívoco o expreso» de las personas o clientes a los que se deseer enviar información puntual o publicidad”.  Para ello, en el caso de que no tengamos esta autorizazión –matiza- debemos enviar un mail con devolución de copia o respuesta en el que se exprese el tratamiento que vamos a realizar con esos datos para obtener su consentimiento.