¿Es aplicable a los autónomos el RGPD y la LOPD? ¿Entra la actividad realizada por los autónomos en el ámbito material de la normativa de protección de datos personales?
Es inevitable no concluir que los autónomos tratan datos personales de clientes, de proveedores, de posibles usuarios, empleados, colaboradores, etc. Importa saber ahora si ese tratamiento de datos debe cumplir el RGPD por entrar en su ámbito de aplicación.
Los autónomos son por definición empresarios individuales. A diferencia de los empleados o trabajadores por cuenta ajena, los autónomos llevan a cabo actividades empresariales o comerciales en nombre propio, pero actividades empresariales al fin y al cabo. Libertad de empresa en el marco de una economía de mercado, como dice la Constitución Española.
Desde ese punto de vista, la naturaleza de la actividad realizada por los autónomos cumple los mismos requisitos que hace inevitable la aplicación de la normativa de protección de datos en una empresa.
Si cuando hablábamos de protección de datos para empresas decíamos que la normativa entraba en juego con independencia del tamaño de la empresa, de los recursos de la organización, o de su volumen de facturación, y que lo determinante de la aplicación del RGPD era el procesamiento de datos personales realizados por la compañía, el criterio no puede ser diferente porque hablemos de un empresario individual o autónomo. Cumplirá la protección de datos de igual manera.
En este sentido, a pesar de que en la gran mayoría de ocasiones el trabajador autónomo no tiene asalariados, arriesga sus propios recursos y aporta a la actividad emprendedora su propio trabajo personal, no se puede entender que el ámbito de actuación de los trabajadores por cuenta propia, los profesionales y los autónomos esté comprendido en una actividad doméstica o privada.
No es infrecuente que los trabajadores autónomos ignoren que tienen obligaciones que cumplir en materia de protección de datos. Muchas veces, las gestorías administrativas de este tipo de empresarios individuales no advierte con rigor o con el suficiente detalle al autónomo de las cuestiones derivadas de la normativa sobre privacidad y de unas obligaciones parejas en responsabilidad a las que derivadas de Hacienda o de la Seguridad Social.
Al objeto de evitar sanciones de la Agencia de Protección de Datos es conveniente que el empresario autónomo se ocupe proactivamente de los tratamientos de datos personales llevados a cabo a través de su actividad emprendedora.
En la propia web de la AEPD, los trabajadores por cuenta propia y los profesionales liberales tienen mucha información disponible, guías o, incluso, tienen la posibilidad de enviar una consulta a la autoridad española de protección de datos.
Autónomos y LOPD
¿Se refiere expresamente la nueva LOPD a los autónomos?
La LOPD (Ley Orgánica 3/2018, de 5 de enero) menciona en una ocasión a los “empresarios individuales”
Lo hace en relación a la presunción de que el tratamiento de los datos de contacto y en su caso los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica se entenderá amparado por la base de legitimación del interés legítimo (art. 6.1 letra f del RGPD).
Como hemos dicho, la aplicación de la normativa de protección de datos a los autónomos ya venía determinada por el propio RGPD, que no prevé exclusiones por razones subjetivas.
La aplicación del RGPD viene determinada por estar circunscrita la actividad empresarial por cuenta propia en el ámbito material de la norma: “se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.”
Profesionales y LOPD
Como emprendedores individuales, o trabajadores autónomos, los profesionales liberales también están sometidos a la ley de protección de datos y al RGPD. No están excluidos del ámbito de aplicación de esta norma.
Aunque estemos hablando de personas físicas, la actividad profesional que implique tratamiento de datos personales tendrá que cumplir los principios relativos a la protección de datos y adaptarse a los requisitos impuestos por el RGPD.
La LOPD menciona expresamente a los profesionales por el mismo motivo y en la misma ocasión que a los empresarios individuales, en relación con la presunción de interés legítimo para tratar los datos de contacto (art. 19 LOPD).
También cita la LOPD a los profesionales en la Disposición Adicional decimoctava, en relación con la obligación que impone la Ley a la Agencia Española de Protección de Datos de desarrollar “… las herramientas, guías, directrices y orientaciones que resulten precisas para dotar a los profesionales, microempresas y pequeñas y medianas empresas de pautas adecuadas para el cumplimiento de las obligaciones de responsabilidad activa establecidas en el…” RGPD.
La adaptación al RGPD de empresarios individuales
El proceso de adaptación a la ley de protección de datos de la actividad empresarial de los autónomos no debe variar demasiado de la manera en que una microempresa o pyme se adapta al RGPD.
Serán elementos básicos de esa adaptación:
El Registro de Actividades de Tratamiento.
El Registro de Actividades de Tratamiento de los autónomos cumplirá los requisitos previstos en el artículo 30 del RGPD, como en el caso de cualquier empresa u organización cuya actividad deba someterse a la normativa de protección de datos.
El empresario autónomo debe hacer un inventario de todos los tratamientos de datos personales que realiza y proceder a constatar los mismos en esta pieza documental con el debido grado de agregación o desagregación.
Cada tratamiento incluirá la recogida, registro, organización, estructuración, consulta o utilización de los datos
Esta pieza documental, el Registro de Actividades de Tratamiento estará disponible en caso de ser requerida por la inspección de la Agencia de Protección de Datos.
“Post: ¿Por qué es conveniente entregar al cliente el Registro de Actividades de Tratamiento en formato electrónico?”
Legitimación
El consentimiento no es la única base jurídica que permite a los empresarios autónomos tratar datos personales de sus clientes, proveedores, empleados, usuarios web, etc. Junto al consentimiento, el artículo 6 del RGPD permite acogerse a distintas legitimaciones, como la obligación legal o los intereses legítimos (del propio empresario o de terceros) que se traten de satisfacer con el tratamiento de datos personales.
El Análisis de Riesgos
El autónomo o pequeño empresario, como cualquier otra empresa, debe acometer un proceso consistente en el análisis de los riesgos contra la confidencialidad, la integridad y la disponibilidad de los datos personales que conciernen a los tratamientos que llevan a cabo.
Si los tratamientos entrañan un alto riesgo para los derechos y libertades de las personas físicas, el autónomo tendrá que realizar una Evaluación de Impacto relativa a la protección de datos o EIPD.
La situación más frecuente en la práctica es que los autónomos acometan tratamientos de datos personales de escaso o bajo riesgo. En este caso los empresarios individuales acometerán un análisis de riesgos de mínimos, donde se identificarán los riesgos y se establecerán medidas técnicas y organizativas para controlar dichos riesgos, en un proceso de monitorización continua, fruto del deber de responsabilidad proactiva que el RGPD impone a los empresarios.
Protección de datos desde el diseño y por defecto
El proceso de análisis de riesgos tiene que arrojar una serie de medidas técnicas y organizativas para controlar dichos riesgos aunque los mismos revistan escasa complejidad.
Pero no basta tener por escrito esa lista de medidas de seguridad. Hay que aplicarlas proactivamente a los tratamientos estableciendo también los procesos idóneos para llevarlas a cabo y también para revisar su utilidad, vigencia o idoneidad de forma continua.
Es por eso que el RGPD no va de que un consultor de protección de datos nos dé unos papeles o un certificado de cumplimiento de la LOPD
Conocimiento y respeto de los plazos de conservación
No siempre los autónomos caen en la cuenta de este punto relavante de la protección de datos personales. Los datos de los clientes, empleados, usuarios, colaboradores, etc no pueden conservarse eternamente.
Los datos personales pueden tratarse mientras se mantenga la finalidad o finalidades para las que fueron recogidos. Si la finalidad o las finalidades del tratamiento ya se han cumplido y ya no existe un plazo legal de conservación de los datos de obligatorio cumplimiento, los datos deberán ser destruidos o anonimizados con las suficientes garantías.
Igualmente, hay muchos autónomos que desconocen que los datos personales deben conservarse durante ciertos plazos establecidos por las diferentes normativas para el cumplimiento de determinadas obligaciones o durante la prescripción de acciones de responsabilidad.
Consideramos esencial que los autónomos y empresarios individuales conozcan los plazos de conservación de datos específicos que sea oportuno cumplir en función de sector o normativa específica.
Correcta documentación de las relaciones de encargo de tratamiento
Los autónomos no se libran de este requisito de la adaptación a la normativa de protección de datos.
Sus relaciones con encargados de tratamiento (proveedores que le prestan un servicio al autónomo que requiere el acceso a datos personales de los que es responsable el empresario individual) deben quedar reflejadas en un contrato o acuerdo que cumpla los requisitos del artículo 28 del RGPD
Tener un protocolo de gestión y notificación de brechas de seguridad
Es muy conveniente que el empresario autónomo disponga de una política de notificaciones de quiebras en la seguridad. Se trata de tener claro desde un principio cómo actuar con agilidad en el caso de que suceda la brecha sobre los datos personales, valorando si es preciso notificar dicha brecha a la Agencia Española de Protección de Datos o incluso si hay que comunicarla a los interesados.
Atención de los derechos de los interesados
Cuando valoramos el grado de adaptación de un determinado autónomo al articulado del Reglamento de Protección de Datos también evaluamos cómo sería su reacción ante un eventual ejercicio de los derechos de protección de datos por parte del interesado.
Los empresarios individuales también deben conocer sus responsabilidades en estos aspectos y saber cómo responder ante ese ejercicio y hacerlo, en su caso, cumpliendo los plazos. Poner a disposición de los interesados modelos de ejercicio de derechos, es una buena medida de cumplimiento proactivo del RGPD.
Protección de datos y autónomos con empleados
Cuando el autónomo tiene trabajadores a su cargo, hay ciertas repercusiones en materia de protección de datos.
Es responsable de más tratamientos, fruto de la relación con los empleados. Esos tratamientos de datos personales se reflejarán en el Registro de Actividades de Tratamiento, por lo que esta pieza de documentación y cumplimiento proactivo del RGPD tendrá un poco más de complejidad o de amplitud.
Igualmente, el empresario autónomo deberá recabar de los empleados que tengan acceso a los datos de los que es responsable el oportuno compromiso de confidencialidad, compromiso que formará parte de la documentación esencial demostrativa del cumplimiento de la ley de protección de datos (accountability).
Otros factores que debe tener en cuenta el empresario individual al afrontar el proceso de adaptación al RGPD de su actividad empresarial o comercial son, por ejemplo:
El tratamiento de imágenes por videovigilancia
Si cuenta con una página web, deberá tener unos textos legales y deberá avisar al usuario de la existencia de cookies y facilitar su configuración por tipologías.
El tratamiento de datos sensibles
El tratamiento de datos de menores de edad
La protección de los datos de los autónomos
Hay datos personales que tienen una cierta naturaleza mixta. Y eso pasa con los datos de los autónomos: son datos personales en el sentido que sirven para identificar a una persona física, titular de derechos respecto a la protección de datos personales. Y a la vez esos datos personales son la seña de identidad de un profesional o empresario en el mercado o en el tráfico económico.
¿Se ve un tanto reducida la protección de datos personales del autónomo por esta circunstancia?
Si es inevitable utilizar los datos del autónomo para poder localizarlo, contactar con él y tener relaciones de este tipo, podemos concluir que las organizaciones y empresas, u otros empresarios y autónomos que contratan con el autónomo tienen un interés legítimo para tratar esos datos.
El propio artículo 19 de la LOPDGDD nos abre el camino para pensar así.
Lo cual no obsta para la empresa, organización u otro empresario individual o profesional que trate de entrar en contacto con nuestro autónomo no tenga que respetar la dimensión privada, la vertiente no empresarial o no profesional de esta persona. Por ejemplo, no escribiéndole a su email personal o no contactándole a través de un número de teléfono privado y no utilizado por el autónomo para sus relaciones comerciales.