Todas las empresas de nuestro país se han visto afectadas, de una u otra forma, por las novedades en materia de protección de datos que se han ido implementando con el paso de los años. En este sentido, a lo largo de este post os queremos detallar los principales cambios que trajo la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y que, entre otros, pasan por:
- Se endurecen las sanciones. La Agencia Española de Protección de Datos, a partir de la entrada en vigor de la Ley, obtuvo el poder de imponer sanciones de hasta el 4% de la facturación anual. Además, adquirió responsabilidades de carácter civil, penal y laboral, en el caso de producirse hechos de gravedad, cuya responsabilidad se trasladaría a los administradores.
- Se aplica el Principio de Responsabilidad Activa (Accountability). Las empresas debieron adaptar sus procedimientos, documentación e instalaciones a la norma de LOPD. Ante cualquier reclamación o queja deben demostrar haber adoptado todas las medidas necesarias para evitar las incidencias, y para ello deberán ser capaces de probar que han realizado las gestiones oportunas. Por ejemplo, impartir formación a sus trabajadores para que estos tengan conocimiento sobre cómo deben aplicar la normativa. Para probar este hecho bastará con la factura del centro de formación, que acredita la formación impartida.
- Se establece la protección de datos desde el diseño y por defecto. La privacidad de los usuarios es fundamental. Las empresas deben determinar desde el primer momento qué medidas de seguridad tienen que implementar, según el tratamiento de datos que se vaya a realizar.
- Se refuerza la exigencia del consentimiento. Deben hacerse mediante una declaración o acción informativa. Ya no sirve deducir el silencio o inacción como consentimiento. Es por ello por lo que cada vez es más importante contar con un buen sistema de gestión documental, tal y como nos recuerdan los expertos profesionales de Git Doc.
En este sentido, al contrario de lo que muchos piensan, si tienes una pequeña empresa y no tienes datos de clientes, esto también te afecta. Para ello, a continuación, te mostramos varios ejemplos donde la pequeña empresa recoge datos habitualmente sin ser consciente y es que se trata de gestiones que implican tratamiento de datos en la pyme y que debemos revisar:
- Página web. Puede ser que tengamos cookies activadas en la página web y esto ocurre si la web tiene insertadas determinadas funciones para saber cómo navegan los usuarios, o haya registro de sus datos.
- Documentación, solicitudes, formularios.
- Cámaras de vigilancia. Si están siendo grabados usuarios o trabajadores.
- Datáfono. A través de éste se están usando los datos de las tarjetas de los clientes.
- Datos personales relativos a las nóminas y contratos de los trabajadores.
- Datos personales o de proveedores.
- Datos de menores. Por ejemplo, si tenemos una pequeña academia y asisten menores a clase, estos datos son considerados de alta sensibilidad, lo que nos obligaría incluso a tener un delegado.
- Datos de salud. Los negocios de estética y salud habitualmente recogen datos relativos a la salud de sus clientes, algunos de ellos también pueden verse obligados a tener un delegado.
¿A qué sanciones se enfrentan las empresas por no cumplir con la Ley de Protección de Datos?
Este es un tema serio y es que tan solo basta con volver al año 2021 para ver como España batió un récord en cuanto a sanciones por parte de la Agencia Española de Protección de Datos (AEPD), que propuso un 47% más de sanciones que en el año 2020. En este sentido, los servicios de internet y los ficheros de morosos son los servicios frente a los que se han impuesto más sanciones. Esto se debe a que algunas empresas tratan los datos personales sin el consentimiento de sus titulares, otras usan de manera indebida cámaras de videovigilancia, etc. Por todo ello, las sanciones impuestas a las empresas por no cumplir con las obligaciones que supone la Ley de Protección de Datos pueden ser de 3 tipos: leves, graves o muy graves.
Las infracciones leves oscilan de entre 900 y 40.000 euros. Un ejemplo de infracción leve sería no inscribirse en el fichero de datos en el Registro General de Protección de Datos o facilitar a la AEPD información incompleta. Por su parte, las infracciones graves conllevan multas de entre 40.001 y 300.000 euros. Un ejemplo sería que la pyme tratara datos personales sin el consentimiento expreso del usuario o utilizar un certificado que ha expirado. Por último, las infracciones muy graves supondrían multas de entre 300.001 y 600.000 euros. Un ejemplo para que la empresa se encontrara ante una sanción de esta cantidad sería recoger datos de forma fraudulenta o ignorar las solicitudes de cancelación.