Protección de datos
La protección de datos es un derecho fundamental. Busca proteger la intimidad y privacidad de las personas físicas frente a la recogida, almacenamiento y uso indiscriminado de sus datos personales.
En la Unión Europea existe el RGPD, una normativa obligatoria que han de cumplir autónomos, startups y empresas que traten datos personales en el desarrollo de su actividad (datos de clientes, proveedores, contactos, suscriptores, usuarios de su web, etc.)
La protección de datos para startups es clave, dado que su modelo de negocio suele basarse precisamente en los datos. Datos que tratan de forma masiva, automatizada o que someten a tratamientos avanzados.
Muchas startups lo desconocen, pero están obligadas a tener un Delegado de Protección de Datos.
Si quieres saber si tu startup está obligada a tener un DPD, puedes leer este artículo.
En España, la normativa obligatoria que han de cumplir autónomos, empresas (y comunidades de propietarios) la forman:
1. El Reglamento Europeo de Protección de Datos (RGPD), que es de obligatorio cumplimiento desde el 25 de mayo de 2018.
2. La nueva Ley Orgánica de Protección de Datos y garantía de derechos digitales (LOPDGDD), que entró en vigor a finales de 2018.
3. Además, empresas y autónomos que realicen actividades económicas o vendan por Internet u otros medios telemáticos, deben cumplir con la LSSICE (Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico). Esto es fundamental para todas las tiendas online (ecommerce) y, en general, para todos los negocios que tengan su propia web.
El organismo que vigila y sanciona los incumplimientos de esta normativa es la Agencia Española de Protección de Datos (AEPD). Y sanciona tanto a empresas grandes como a pequeños negocios. Todos están obligados a cumplir la Ley.
Protección de datos
para autónomos
Protección de datos
para startups
Protección de datos
para empresas
Ayudamos a startups, empresas y emprendedores a cumplir al 100% con la normativa sobre Protección de Datos para evitar sanciones de la Agencia Española de Protección de Datos (AEPD).
¿Sabes si tu negocio cumple en materia de protección de datos?
Cada negocio debe llevar internamente un Registro de Actividades de Tratamiento. Ya no hay que registrar la inscripción de ficheros de datos en la AEPD.
Debes tener un Protocolo de seguridad, que ha sustituido al antiguo Documento de seguridad.
Calidad de los datos. Los datos deben ser adecuados y veraces, obtenidos lícita y legítimamente. Deben tratarse de modo proporcional a la finalidad para la que fueron recabados.
Se debe garantizar el cumplimiento de los deberes de secreto y seguridad.
Hay que informar a los titulares de los datos personales del fin para el que solicita su recogida.
El consentimiento se debe obtener de manera explícita de los titulares de los datos para su tratamiento.
Se debe facilitar y garantizar el ejercicio de los derechos de acceso, rectificación, supresión de los datos, oposición al tratamiento, así como portabilidad, limitación y derecho al olvido.
Los terceros que presten servicios al Responsable del Tratamiento, que comporten el acceso a datos personales, tienen que cumplir con el RGPD.
Hay que notificar a la AEPD y a los afectados las brechas de seguridad dentro de un plazo de 72 horas.
Cada vez más empresas están obligadas a tener un Delegado de Protección de Datos (DPD/DPO). ¿Quieres que seamos tu DPD?
FAQ: resolvemos tus dudas
¿Quiénes tienen que cumplir el Reglamento de Protección de Datos (RGPD)?
Todas las empresas, autónomos (freelances), organizaciones, cooperativas, asociaciones, entidades públicas que tengan su sede en un país de la Unión Europea o que traten datos de personas que residan en la Unión Europea. También las comunidades de propietarios.
¿El RGPD afecta los autónomos?
Sí, también los autónomos tienen que tratar los datos personales de sus clientes, proveedores, posibles clientes, leads, suscriptores, usuarios de su web, de la manera que indica el Reglamento Europeo de Protección de Datos (RGPD). Ser pequeños no les exime del cumplimiento de la normativa.
¿Qué sanciones puede recibir mi empresa por el RGPD y la nueva LOPDGDD?
Las sanciones máximas por incumplimiento llegan a los 20 millones de €. Quizá, siendo un autónomo o una pyme, las sanciones no serán tan elevadas, pero sí pueden llegar a una cuantía equivalente al 4% de su facturación. ¡Cuidado porque incumplir puede salir muy caro!
¿Cuáles son los principales cambios que ha traído el RGPD respecto a la normativa anterior?
– Ya no es obligatorio registrar los ficheros de datos en la AEPD. En su lugar, es obligatorio tener un Registro de Actividades de Tratamiento actualizado.
– El consentimiento para el tratamiento de los datos personales ha de ser siempre expreso por parte del titular. Ya no es válido el consentimiento tácito en ningún caso.
– Se reconoce a los titulares de los datos nuevos derechos sobre los mismos: limitación, portabilidad y derecho al olvido.
– La sanción máxima llega hasta los 20 millones de € (antes era de 600.000€).
– Aparece la figura del Delegado de Protección de Datos, que es obligatoria para algunas empresas.
– Existe la obligación de notificar las brechas de seguridad en 72 horas a la AEPD y a los afectados.
¿Cómo puedo estar seguro de que mi negocio cumple la normativa de protección de datos?
Para cumplir al 100% con la normativa actual y evitar el riesgo de recibir una sanción por parte de la AEPD, no es suficiente con insertar unos textos legales en la web de tu negocio. Para estar completamente seguro de que tu negocio cumple con la legalidad vigente (RGPD y LOPDGDD), déjate asesorar por profesionales Consultores de Protección de Datos, como Emprender Seguro. Somos socios de APEP (Asociación Profesional Española de Privacidad).
No delegues este asesoramiento en cualquier otro que no sea profesional de la Protección de Datos. Tu negocio puede sufrir las consecuencias.
¿Cómo tienen las empresas que proteger los datos personales?
De manera lícita, leal y transparente en relación con el titular de los datos.
Sólo podrán recogerse para unos fines determinados, de los que habrá que informar previamente. Esos fines, además, han de ser legítimos. Después, los datos recogidos no podrán utilizarse para fines distintos de los autorizados (excepto fines de investigación científica e histórica o fines estadísticos, para lo cual hay que guardar unos determinados requisitos).
Sólo han de pedirse y tratarse el mínimo de datos necesarios para el fin indicado.
Los datos tratados han de ser exactos, actualizados y se adoptarán todas las medidas razonables para suprimir o rectificar los datos personales inexactos.
Hay una limitación del plazo de conservación de los datos. No pueden conservarse permitiendo la identificación de los interesados de manera indefinida.
El negocio ha de aplicar medidas técnicas u organizativas para garantizar la seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental.