| - Escrito por:

Obligaciones de la pyme en la protección de datos

Las pequeñas y medianas empresas tienen la responsabilidad legal de velar por la información confidencial que reciben de sus clientes.

Datos bancarios, contraseñas, números de teléfono… La información confidencial que los clientes facilitan a las pequeñas y medianas empresas -de forma más o menos habitual según el tipo de negocio– debe ser custodiada y mantenida en la confidencialidad. Así lo indica la Ley Orgánica del Protección de Datos (LOPD), que regula precisamente, entre otros aspectos, las obligaciones de la pyme en la protección de datos.

informacion-en-la-empresa

Si eres empresario o gerente de una pyme, te interesa saber cómo cumplir con la LOPD. Puedes descubrirlo en las próximas líneas.

El responsable del fichero en la pyme

Especifica la citada norma legal que sobre el responsable del fichero o del tratamiento de datos recaen las principales obligaciones establecidas en la LOPD y a él le corresponde velar por el cumplimiento de la legalidad en su organización. Sus responsabilidades figuran a continuación.

El Registro General de Protección de Datos

Siempre que se proceda al tratamiento de datos personales, definidos en el art. 3.a) de la LOPD, como «cualquier información concerniente a personas físicas identificadas o identificables», que suponga la inclusión de dichos datos en un fichero, considerado por la propia norma, artículo 3.b), como «el conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso», el fichero se encontrará sometido a la ley, siendo obligatoria su inscripción en el Registro General de Protección de Datos (RGPD).

No solicitar la inscripción de los ficheros de datos de carácter personal en el RGPD constituye infracción leve, con arreglo a lo dispuesto en el artículo 44.2.b) de la LOPD.

5 trucos de marketing para escalar tu negocio online

La inscripción de los ficheros deberá encontrase actualizada en todo momento, por lo que cualquier modificación que afecte al contenido de la inscripción, así como su supresión deberá ser notificada a la Agencia Española de Protección de Datos (AEPD) para proceder a la inscripción de la modificación o a la cancelación del fichero.

¿Quiénes están obligados a inscribir el fichero?

Están obligados a notificar la creación de ficheros para su inscripción en el RGPD, de acuerdo con lo dispuesto en la LOPD, aquellas personas físicas o jurídicas, de naturaleza pública o privada, u órgano administrativo, que procedan a la creación de ficheros que contengan datos de carácter personal.

Calidad y uso de los datos de los clientes

En la pyme debe tenerse en cuenta que:

  • Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
  • Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.
  • Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.
  • Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16 (derechos de rectificación y cancelación).
  • Cuando los datos hubieran sido comunicados previamente, el responsable del fichero o de su tratamiento deberá notificar al cesionario, en el plazo de diez días, la rectificación o cancelación efectuada, siempre que el cesionario sea conocido. En el plazo de diez días desde la recepción de la notificación, el cesionario que mantuviera el tratamiento de los datos, deberá proceder a la rectificación y cancelación notificada.

  • Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados. Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos.
  • También podrán conservarse los datos durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de la una relación u obligación jurídica o de la ejecución de un contrato o de la aplicación de medidas precontractuales solicitadas por el interesado. Una vez cumplido este período los datos sólo podrán ser conservados previa disociación de los mismos, sin perjuicio de la obligación de bloqueo prevista en la LOPD y en su reglamento de desarrollo.
  • Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.
  • Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.

La recogida de datos engañosa, una infracción muy grave

Desde la AEPD recuerdan que constituye infracción de carácter grave, de acuerdo con lo dispuesto en el artículo 44.3.c) de la LOPD «tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave». Por su parte «la recogida de datos en forma engañosa o fraudulenta» está tipificada como infracción muy grave en el artículo 44.4.a).

Deber de información a los afectados

El deber de información a las personas de las cuales se vaya a obtener cualquier tipo de información personal, previo al tratamiento de sus datos de carácter personal, es uno de los principios fundamentales sobre los que se asienta la LOPD.

canales-de-venta-externos

Este principio es, a la vez que una obligación para los responsables de los tratamientos, un derecho de los titulares de los datos y, muchas veces, constituye la primera ayuda que tiene el ciudadano para poder ejercitar el resto de derechos que marca la Ley (acceso, rectificación, cancelación y oposición).

Consentimiento del cedente

El artículo 6 de la LOPD señala que:
  1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.
  2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación de negocios, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
  3. El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.
  4. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.
Claves para encontrar un socio tecnológico para tu start up

En cuanto al consentimiento, el artículo 3.h) de la LOPD lo define como tal «toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen».

Cesión de datos de carácter personal

En cuanto a la cesión de datos, si la misma comporta identificación de concretas personas físicas constituye una comunicación de datos de carácter personal, definida en el artículo 3.i) de la LOPD, como «toda revelación de datos realizada a persona distinta del interesado». El régimen de las cesiones de datos se contiene en el artículo 11 de la citada Ley:

  • Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
  • El consentimiento exigido en el apartado anterior no será preciso:
    • Cuando la cesión está autorizada en una Ley.
    • Cuando se trate de datos recogidos de fuentes accesibles al público.
    • Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.
    • Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
    • Cuando la cesión se produzca entre administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
    • Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.
  • Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquél a quien se pretenden comunicar.
  • El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.
Gestión del tiempo en la pyme
  • Aquél a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley.
  • Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores.

Colaboración con la AEPD

Las autoridades de control podrán inspeccionar los ficheros a que hace referencia la LOPD, recabando cuantas informaciones precisen para el cumplimiento de sus cometidos. A tal efecto, podrán solicitar la exhibición o el envío de documentos y datos y examinarlos en el lugar en que se encuentren depositados, así como inspeccionar los equipos físicos y lógicos utilizados para el tratamiento de los datos, accediendo a los locales donde se hallen instalados. La falta de colaboración con la AEPD está considerada como infracción según el artículo 44 de la LOPD.

Deber de guardar secreto

Asimismo, el artículo 10 de la LOPD exige a quienes intervengan en cualquier fase del tratamiento de los datos, en un amplio sentido, guardar secreto profesional sobre los datos, subsistiendo la obligación aun después de finalizar su relación con el responsable del fichero.

Medidas de seguridad

Finalmente, el artículo 11 de la LOPD establece que:

  • El responsable del fichero, y, en su caso, el encargado del tratamiento, deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
  • No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

 

Publicaciones relacionadas:

  1. La pyme, atrasada en ciberseguridad
  2. La pyme, víctima preferida de los piratas informáticos
  3. Cómo funciona la Autenticación Reforzada de Cliente (SCA)
  4. Consejos para que las pymes aprovechen el ‘Black Friday’

Autor

admin

Publicidad