¿Conoces las sanciones por el incumplimiento de la normativa en materia de protección de datos? Como ya sabrás, el año pasado se comenzó a aplicar una nueva normativa de protección de datos que ha modificado radicalmente la materia. Muchas empresas consideran los riesgos que puede tener para su reputación una mala gestión de los datos personales pero desconocen las sanciones que se pueden imponer por incumplir. Las sanciones podrían alcanzar, en el caso de infracciones muy graves, multas de hasta 20 millones de euros. 

¿Cómo se regula la protección de datos en España?

La protección de datos se regula en dos instrumentos: 

• Uno de carácter europeo, que es el Reglamento General de Protección de Datos, que es aplicable desde mayo de 2018. 
• Otro español, que es la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales que se aprobó en diciembre de 2018. Con esta ley se adapta el reglamento al ordenamiento jurídico español y se regulan los derechos digitales de los ciudadanos. 

Principales obligaciones para las empresas en materia de protección de datos

Con independencia del tamaño de tu empresa o de la actividad a la que te dediques, si manejas datos personales de personas físicas vas a tener que cumplir con la ley porque: 

• Se refiere tanto a personas físicas como jurídicas. 
• Se aplica siempre que se manejen datos personales de personas físicas. 

Los datos personales son todos aquellos que permiten identificar a una determinada persona. 

Las principales obligaciones que deben cumplir las empresas en relación a la protección de datos son las siguientes: 

• Recogida de datos. Los datos personales solo podrán ser recogidos cuando sean adecuados en función de la finalidad para la que se quieren utilizar. 
• Información. En el caso en que para la recogida de datos se utilice un formulario, deberá aparecer de forma visible la siguiente información: 
  1. Existencia de un fichero, finalidad para la que se recogen los datos y destinatarios de la información. 
  2. Carácter obligatorio o facultativo de las preguntas que se realicen a la persona. 
  3. Consecuencia de la obtención de los datos o de la negativa a proporcionarlos. 
  4. Posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. 
  5. Identidad y dirección del responsable del tratamiento y de su representante. 
• Consentimiento. El consentimiento de la persona que da sus datos debe ser inequívoco y podrá ser revocado sin necesidad de justificación. 
• Datos con mayor protección. No se pueden almacenar datos que revelen la ideología, afiliación sindical, creencias etc. 
• Secreto. El responsable del fichero y todas las personas que intervengan en el tratamiento de los datos deben guardar secreto sobre los mismos. 
• Comunicación y cesión. Los datos solo pueden ser comunicados o cedidos a un tercero con la autorización del afectado. 
• Contrato de encargo. En el caso en que tu empresa sea el responsable del fichero pero, por ejemplo, una asesoría sea quien se encargue del tratamiento, deberá existir un contrato entre ambos. 
• Derechos. Al igual que en normativas sobre protección de datos anteriores, en la actual se regulan los derechos de los usuarios al acceso, rectificación, cancelación y oposición. 
• Medidas de seguridad. Tanto el responsable del fichero como quien se encarga del tratamiento, deberán adoptar medidas para garantizar la seguridad de los datos personales. 

Pasos para adaptarte a la Ley de Protección de Datos

La adaptación de las empresas a la nueva normativa en materia de protección de datos requiere dar una serie de pasos que pueden ser los siguientes: 

• Nombrar a un Delegado de Protección de datos que se encargue del cumplimiento de la normativa vigente. 
• Registrar el tratamiento de datos. Se trata de un documento que especifica qué tipos de datos recoge tu empresa, con qué finalidad, qué medidas se adoptan, el tipo de fichero que se utiliza y si los datos son cedidos a terceros. 
• Analizar los riesgos. Es un documento en el que tu empresa debe evaluar el impacto sobre el tratamiento de los datos personales que manejes. Este documento te ayudará a establecer las medidas de seguridad a implementar en la empresa. 
• Recabar el consentimiento explícito. Siempre que se recojan datos personales con fines comerciales o para enviar correos electrónicos, por ejemplo, se debe conseguir el consentimiento expreso de los usuarios. Esto afecta también a los trabajadores de tu empresa. 
• Ajustar las medidas de seguridad. El análisis de riesgos que hemos citado anteriormente es fundamental para adaptar las medidas de seguridad de la empresa y reducir los riesgos en caso de que exista un problema. 
• Establecer la forma de notificación. Tu empresa deberá regular un mecanismo para, en el caso en que se produzca una vulneración, se informe de ello a los afectados. Si no se realiza es notificación a tiempo, se podrán imponer sanciones. 
• Adaptar formularios de recogida de datos. Es habitual que tengamos formularios para la recogida de datos de clientes y potenciales clientes en nuestra web y deberán estar adaptados a la normativa y recoger la información que hemos visto en el anterior apartado. 
• Formar al personal. Si quieres que tu empresa cumpla de forma rigurosa con la normativa en materia de protección de datos, es fundamental que formes a tu equipo para que conozcan las obligaciones y cómo se deben cumplir. 

En el caso en que quieras adaptar tu empresa a la normativa sobre protección de datos y hacerlo tú mismo, puedes utilizar Facilita, que es una herramienta elaborada por la Agencia Española de Protección de Datos que permite a las empresas de forma gratuita y sin descargas, adaptarse a la ley. Simplemente, tendrás que rellenar un cuestionario online con datos como: 

• Sector de actividad. 
• Datos que manejas en tu empresa.
• Tratamiento que haces de la información. 

Una vez que aportes la información se generará un documento con el listado de las acciones a realizar para cumplir con la normativa y simplemente tendrás que revisarlo y hacer los cambios que correspondan. 

En definitiva, cumplir con la protección de datos personales requiere conocer las obligaciones que impone la ley y tomar medidas para adaptar las acciones de la empresa a esas obligaciones. 

Alejandro Betancourt