Los servicios de protección de datos para empresas procuran brindar soluciones de adaptación al RGPD y a la LOPDGDD a empresas y empresarios individuales en cuyas respectivas actividades mercantiles se traten datos de carácter personal.
Veremos cómo la protección de datos para empresas requiere completar una serie de pasos que aseguren el cumplimiento de la ley de protección de datos a estas organizaciones empresariales cualquiera que sea su forma societaria o el ejercicio de su comercio o actividad profesional.
Aplicación de la ley de protección de datos a las empresas
La ley de protección de datos es aplicable al tratamiento de datos personales realizados por empresas y organizaciones en el ejercicio de sus actividades.
La adaptación al RGPD es una de las principales preocupaciones de las empresas en la actualidad, desde el punto de vista de cumplimiento normativo.
Dicha inquietud relativa al compliance empresarial se ha visto incrementada desde que el Reglamento General de Protección de datos ha consolidado un modelo de responsabilidad proactiva que supone que el cumplimiento ha de ser diligente y constante en el análisis de los riesgos y en el establecimiento de medidas de seguridad adecuadas para evitar las elevadas sanciones que prevé la nueva ley de protección de datos.
En el proceso de adaptación a la normativa de protección de datos de las empresas cobra especial importancia la figura del Delegado de Protección de Datos (cuyo nombramiento es preceptivo en determinados supuestos) o, en su defecto, la del asesor jurídico RGPD que ayude a las organizaciones en esas tareas de adaptación constante.
¿Qué empresas tienen que adaptarse a la ley de protección de datos?
El RGPD y la LOPDGDD son aplicables a todas las empresas que lleven a cabo el tratamiento de datos personales, con independencia del tamaño de su organización, del volumen de su facturación o de la cantidad de actividades que llevan a cabo.
Para saber qué son los datos personales, hemos de acudir a las “Definiciones” previstas en el artículo 4 del Reglamento 2016/679:
“toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.”
La actividad de las empresas están excluidas del ámbito puramente doméstico, por lo que cualquier tratamiento de datos personales que se realice deberá cumplir lo dispuesto en la ley de protección de datos.
Para saber qué es tratamiento de datos personales, el RGPD nos indica que constituye tratamiento “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.”
Con estas dos coordenadas, «tratamiento de datos personales» y «exclusión del ámbito doméstico» configuraremos el perímetro de la adaptación al RGPD de cada empresa.
Roles de las empresas al cumplir el RGPD
La empresa será “responsable del tratamiento” a efectos del RGPD si determina los fines y los medios del tratamiento. Cuando haya más de una persona implicada en ese proceso de determinar los fines y los medios del tratamiento, hablaremos de supuestos de “corresponsabilidad”, donde habrá dos o más “corresponsables del tratamiento”.
La existencia de unos derechos de protección de datos que ostentan los interesados (los titulares de los datos) determina también la existencia de una persona física o jurídica “responsable” de cumplir los principios de la ley de protección de datos y de atender esos derechos de los interesados.
El concepto de “responsable del tratamiento” sirve para identificar a la persona o personas (físicas o jurídicas) obligadas a atender en primer lugar los deberes de compliance impuestos por la normativa de protección de datos, pero también sirve para identificar qué ley nacional de protección de datos es aplicable.
La empresa será “encargado del tratamiento” cuando preste un servicio a otra persona física o jurídica y dicha prestación requiera el acceso a datos personales que se encuentran bajo la responsabilidad de esa persona física o jurídica.
Ejemplos de empresas que son encargados de tratamiento más habituales: asesorías laborales, fiscales y contables, empresas de mantenimiento de hardware o software, empresas que prestan el servicio de destrucción documental o de soportes automatizados, empresa que gestiona la página web, etc.
No obstante, el contexto económico, empresarial y social en el que surgieron los conceptos de “responsable” y “encargado” de tratamiento ha evolucionado de manera vertiginosa y ahora surgen muchísimos escenarios donde es difícil delimitar si una empresa es responsable del tratamiento o encargado de tratamiento conforme a lo dispuesto en el RGPD.
Por otra parte la diversificación del riesgo y el surgimiento de interminables operaciones de adquisiciones, fusiones y segregaciones de empresas, hace que en ocasiones presenciemos complejas cadenas de encargados de tratamiento que podrían revestir alguna consideración especial de cara al cumplimiento diligente de la ley de protección de datos.
Adaptación al RGPD de una empresa
¿Qué debe hacer una empresa para cumplir el Reglamento General de Protección de Datos?
La Agencia Española de Protección de Datos ha aclarado bastante el proceso de adaptación al RGPD de las empresas a través de Guías Prácticas, Directrices o incluso infografías que revelan el iter con las etapas a completar.
También cabe destacar el papel interpretativo y aclaratorio jugado por las guidelines del Grupo de Trabajo del Artículo 29 (WP29, y hoy ya Comité Europeo de Protección de Datos) al arrojar luz sobre los Considerandos y Artículos del Reglamento General de Protección de Datos.
Ahora analizaremos las distintas etapas del cumplimiento del RGPD, pero sin duda, la parte más importante de la adecuación a la ley de protección de datos tal como es el nuevo modelo normativo es la actitud de la empresa.
La empresa debe tener una actitud consciente, diligente y proactiva de querer adaptarse al RGPD y de que querer hacerlo de forma continuada a lo largo del tiempo (y no meramente en un momento inicial).
Etapas de la adaptación al RGPD para empresas
La hoja de ruta de la adaptación al RGPD de una empresa seguiría estos pasos fundamentales.
Nombramiento del Delegado de Protección de Datos
En los supuestos que el RGPD determine o cuando la LOPDGDD lo exija una organización o entidad deberá designar un Delegado de Protección de Datos ante la autoridad de control
El Registro de Actividades de Tratamiento.
El Registro de Actividades de Tratamiento para las empresas deberá adaptarse a los requisitos previstos en el artículo 30 del RGPD.
En este caso, la organización debe hacer un inventario de todos los tratamientos de datos personales que realiza y proceder a constatar los mismos en esta pieza documental con el debido grado de agregación o desagregación.
Cada tratamiento incluirá la recogida, registro, organización, estructuración, consulta o utilización de los datos personales.
Esta pieza documental, el Registro de Actividades de Tratamiento, estará disponible en caso de ser requerida por la inspección de la Agencia de Protección de Datos.
Bases jurídicas
Para poder tratar datos personales, el Responsable del tratamiento ha de tener al menos una de las bases jurídicas mencionadas en el artículo 6 del RGPD.
El papel del consentimiento como base jurídica sigue siendo importante, pero el consentimiento no es la base jurídica única para legitimar tratamiento de datos, y comparte protagonismo con otras como la ejecución de un contrato, la obligación legal, el cumplimiento de una misión de interés público o los intereses legítimos del responsable o de un tercero.
El Análisis de Riesgos
Toda empresa u organización debe acometer un proceso consistente en el análisis de los riesgos contra la confidencialidad, la integridad y la disponibilidad de los datos personales que conciernen a los tratamientos que llevan a cabo.
Si los tratamientos entrañan un alto riesgo para los derechos y libertades de las personas físicas, la empresa tendrá que realizar una Evaluación de Impacto relativa a la protección de datos o EIPD.
La situación más frecuente es que una empresa realice tratamientos de datos personales de escaso o bajo riesgo. En este caso, la compañía llevará a cabo un análisis de riesgos de mínimos, donde se identificarán los riesgos y se establecerán medidas técnicas y organizativas para controlar dichos riesgos, en un proceso de monitorización continua, fruto del deber de responsabilidad proactiva que el RGPD impone a toda persona física o jurídica que trate datos personales sin amparo en una excepción doméstica.
Protección de datos desde el diseño y por defecto
El proceso de análisis de riesgos tiene que arrojar una serie de medidas técnicas y organizativas para controlar dichos riesgos aunque los mismos revistan escasa complejidad.
Pero no basta tener por escrito esa lista de medidas de seguridad. Hay que aplicarlas proactivamente a los tratamientos estableciendo también los procesos idóneos para llevarlas a cabo y también para revisar su utilidad, vigencia o idoneidad de forma continua.
Por eso insistimos en que el RGPD no es papel, sino proceso diligente, un programa de mejora continua.
Conocimiento y respeto de los plazos de conservación
Los datos de los clientes, empleados, usuarios, colaboradores, etc no pueden conservarse eternamente.
Los datos personales pueden tratarse mientras se mantenga la finalidad o finalidades para las que fueron recogidos. Si la finalidad o las finalidades del tratamiento ya se han cumplido y ya no existe un plazo legal de conservación de los datos de obligatorio cumplimiento, los datos deberán ser destruidos o anonimizados con las suficientes garantías.
Igualmente, hay muchas entidades que desconocen que los datos personales deben conservarse durante ciertos plazos establecidos por las diferentes normativas para el cumplimiento de determinadas obligaciones o durante la prescripción de acciones de responsabilidad.
Consideramos esencial que organizaciones y compañías de toda índole conozcan los plazos de conservación de datos específicos que sea oportuno cumplir en función de sector o normativa específica.
Correcta documentación de las relaciones de encargo de tratamiento
Las relaciones de la empresa con encargados de tratamiento (proveedores que le prestan un servicio al autónomo que requiere el acceso a datos personales de los que es responsable el empresario individual) deben quedar reflejadas en un contrato o acuerdo que cumpla los requisitos del artículo 28 del RGPD
Tener un protocolo de gestión y notificación de brechas de seguridad
Saber cómo gestionar una brecha de seguridad y qué hacer en caso de que por normativa se exija a una empresa la notificación a la autoridad de control o su comunicación a las personas afectadas, es un punto fundamental de la adaptación al RGPD para empresas.
Muchas empresas se ven expuestas a elevadas sanciones por no haber planificado convenientemente estos puntos y se ven abocadas, en caso de brecha de seguridad o incidente de seguridad repentinos, a obrar con precipitación y no siempre de forma adecuada a sus intereses.
Atención de los derechos de los interesados
Cuando valoramos el grado de adaptación de una determinada empresa al articulado del Reglamento de Protección de Datos, también evaluamos cómo sería su reacción ante un eventual ejercicio de los derechos de protección de datos por parte del interesado.
Las empresas también deben conocer sus responsabilidades en estos aspectos y saber cómo responder ante ese ejercicio y hacerlo, en su caso, cumpliendo los plazos. Poner a disposición de los interesados modelos de ejercicio de derechos, es una buena medida de cumplimiento proactivo del RGPD.