Protección de Datos Pymes I: qué debes saber para adecuarte.

Corren ríos de tinta sobre el cumplimiento normativo y la cultura ética en las empresas. En estos momentos las grandes corporaciones ya están adecuando sus sistemas a las normativas europeas, que vienen cargadas de novedades. Pero…¿y si soy una pyme?, ¿qué debo tener en cuenta para adecuarme a las novedades de obligado cumplimiento sobre protección de datos pymes?. En este artículo intentaremos despejar vuestras dudas para que no perdáis la oportunidad de adaptaros durante el período transitorio.

Quiero adquirir CULTURA de Cumplimiento Normativo en materia de Protección de Datos Pymes ¿qué debo hacer ?:

Vamos a explicaros los pasos que desde AC Cumplimiento Normativo y Protección de Datos aconsejamos dar a nuestras pymes en una de las materias que más consultan. Y para ello comenzaremos con las aclaraciones previas más importantes o aquello que debes saber antes de empezar:

ACLARACIONES PREVIAS IMPORTANTES: ¿Que normas debemos aplicar?

Debes tener en cuenta que el RGPD está en vigor desde mayo de 2016 y será de obligado cumplimiento a partir del 25 de mayo de 2018. La normativa nacional y autonómica en materia de protección de datos, se aplicará siempre que no contravenga lo dispuesto por el RGPD. Así que, si o si, deberás convivir con el RGPD, la LOPD y su RD 1720/2007.
Además, nuestra autoridad de control nos da pautas y recomendaciones para que la adaptación al RGPD por parte de las empresas y de las PYMES sea efectiva. Toma nota: deberás tener muy presentes las recomendaciones, informes y resoluciones de la AEPD.
Por supuesto, las sentencias que dictan los Tribunales interpretan la normativa y resuelven conflictos importantes. Estaremos pendientes de las necesarias cuestiones prejudiciales que se plantearán al TJUE. Tu mismo, tu asesoría o el abogado de tu empresa deberéis tener en cuenta las sentencias que se dicten en vía judicial.
Mucho ojo a los tratamientos transfronterizos, que merecen una especial mención: te interesa conocer las decisiones que deriven del procedimiento de cooperación y coherencia a través del sistema de ventanilla único. Ten en cuenta los dictámenes, resoluciones y recursos del sistema de ventanilla única.

Una vez realizadas las aclaraciones previas, desde ACUMPLIMIENTO pretendemos recapitular las novedades y medidas que una Pyme debe poner en práctica durante este período transitorio RGPD, sin esperar al 25 de mayo de 2018, ya que requiere de una serie de circunstancias que no se deben improvisar por las entidades.

Te recordamos que si eres empresa española, incluidas las pymes, eres sujeto obligado por el RGPD (art. 3). Como te hemos dicho debes tener en cuenta el RGPD, la LOPD y su RD 1720/2007: aprovecha el resúmen publicado en la web de la AEPD, en Junio de 2016, sobre las implicaciones prácticas del RGPD durante el periodo transitorio y presta atención a las observaciones de este último año.

protección de datos pymes

¿Qué cuestiones cambian tras el período transitorio para la protección de datos pymes, tanto por contradecir la normativa nacional, como por incrementar las exigencias?.

CAMBIA EL TIPO DE CONSENTIMIENTO:

La normativa actual, LOPD y RLOPD, permite el consentimiento tácito, es decir, permite el silencio, las casillas ya marcadas o la inacción. El RGPD no lo permite y además es de aplicación retroactiva. Ten presente la Guía del RGPD sobre recomendaciones para responsables del tratamiento.

¿Qué debemos hacer a este respecto durante el periodo transitorio RGPD?:

Revisar todos los consentimientos tácitos recabados con anterioridad para las distintas operaciones de tratamiento y finalidades por separado y obtener el consentimiento inequívoco.
Tener claro el alcance de “interés legítimo” para el Reglamento y evitar un uso indebido.
Revisar y recabar el consentimiento explícito para el tratamiento de categorías especiales de datos, decisiones individuales automatizadas, elaboración de perfiles, así como la posibilidad de realizar determinadas transferencias.
Debemos otorgar la posibilidad de revocar el consentimiento dado.
Comenzar a utilizar mecanismos acordes con la nueva legislación e informar al menos de la identidad del responsable del tratamiento y de los fines.
Dejar claro que el destinatario es consciente que da su consentimiento.
Debemos revisar aquellos contratos que puedan causar desequilibrios entre el responsable y los interesados. Si la prestación del servicio depende del consentimiento no será válido y será considerado como cláusula abusiva.
Poder probar que las personas cuyos datos tratamos han prestado su consentimiento mediante una manifestación de voluntad libre, informada, inequívoca con una clara acción afirmativa.
Incrementar los mecanismos de garantías y tener especial y diferente consideración al concepto de niño y al tratamiento de los datos del niño y/o menores de edad a partir de los 13 años, en lo relativo a la oferta de servicios de la sociedad de la información. En estos casos la información previa al consentimiento deberá usar un lenguaje claro adaptado a las capacidades de los destinatarios. MUY IMPORTANTE: diferencia los supuestos en los que los destinatarios son los padres y los supuestos en los que, por su edad, serán los niños y ten en cuenta el concepto de niño, los tramos de edad y los supuestos aplicables del RGPD, LSSI.

«En el período transitorio adapta la recogida de datos personales pymes para que su consentimiento sea siempre inequívoco»

CAMBIA EL DEBER DE INFORMACION

La LOPD regula el derecho de información en la recogida de datos y el derecho de acceso. El RGPD exige una cláusula informativa más extensa y transparente. La información podrá darse por capas, una primera capa resumida y una segunda capa ampliando la información.

La AEPD publicó una Guía para el cumplimiento del deber de informar .

¿Que debemos hacer durante el periodo transitorio?:

Deberás redactar los textos legales de forma concisa, con lenguaje claro y sencillo, accesibles y fáciles de entender. Si los destinatarios finales son niños debemos utilizar un lenguaje más fácil de comprender.
Deberás diferenciar las exigencias en la forma de informar tanto si obtenemos los datos del interesado o de otra fuente distinta.

¿Qué debemos informar?:

La identidad y los datos de contacto del Responsable del tratamiento, así como del DPO.
La base jurídica de los tratamientos, de los fines y de los intereses legítimos en caso de usarlo.
Los destinatarios, las transferencias internacionales, encargados de tratamiento, en y de los soportes.
Los plazos de conservación.
Los derechos que puede ejercer el afectado que también han aumentado y en su caso, la posibilidad de ejercerlos por medios electrónicos.
Informar de la posibilidad de acudir a la autoridad de control para presentar una reclamación.
Derecho a revocar el consentimiento.
Informar si el interesado tiene que suministrar datos y la consecuencia de no realizarlo.
Informar si la comunicación es un requisito legal o contractual.
Si existen decisiones automatizadas y si elaboramos perfiles.
En el caso de recabar los datos de persona distinta del interesado, en el plazo de un mes, deberemos informarle de las categorías de datos, de la fuente de la que proceden y si son de acceso público, con las excepciones del art. 5 RGPD.
En aquellos supuestos en los que se pretenda realizar un tratamiento posterior para una finalidad distinta para la que no tenemos consentimiento debemos informar con anterioridad al tratamiento.

CAMBIAN LOS DERECHOS, INCREMENTÁNDOSE:

La normativa actual regula los derechos de acceso, rectificación, cancelación reconvertido en supresión (se amplían las posibilidades para ejercer el derecho al olvido) y oposición (una modalidad del derecho de supresión).

El RGPD incremento los derechos y regula:

el derecho a la limitación del tratamiento,
el derecho a la portabilidad,
el derecho a revocar el consentimiento,
el derecho a la información,
el derecho a limitar las decisiones individuales automatizadas
el derecho a ser notificado de violaciones de seguridad con alto riesgo.

¿Qué debes hacer durante el periodo transitorio para la protección de datos pymes? Además de cambiar las cláusulas informativas, desarrollar procedimientos y formularios, para que los interesados puedan ejercer todos los derechos teniendo en cuenta los medios electrónicos, el plazo común de un mes (y prórroga de otro mes para casos específicos), motivar la denegación de los derechos, del derecho al olvido y del derecho a la portabilidad, posibilidad de cobrar un cánon para casos desproporcionados o reiterados.

CAMBIOS EN LA OBLIGACIÓN DEL REGISTRO DE ACTIVIDADES DE TRATAMIENTO

La normativa actual regula el alta de los ficheros y la comunicación a la AEPD. El RGPD elimina la obligación de comunicar los ficheros a la AEPD y exige crear un registro de actividades de tratamiento que vendría a cubrir la obligación actual de dar de alta los ficheros.

¿Que debemos hacer durante el periodo transitorio sobre estos cambios de protección de datos pymes?. Debemos realizar un análisis e identificar nuestros tratamientos para saber si estamos obligados o no a crear el Registro.

¿Quién está obligado? El cumplimiento de esta medida es obligatorio para organizaciones con más de 250 empleados y para aquellas organizaciones con menos de 250 empleados que de modo no ocasional realicen tratamientos que puedan ocasionar un riesgo para los derechos y libertades de las personas o traten categorías especiales de datos o aquellos relativos a condenas e infracciones penales.

Los responsables de tratamiento deben encargarse del Registro de actividades de tratamiento y deberá contener la siguiente información:

Nombre y datos de contacto del responsable, corresponsable, representante del responsable y del DPD.
Los fines del tratamiento.
Las categorías de datos personales, de interesados, destinatarios.
Las transferencias internacionales de datos.
Los plazos para suprimir las diferentes categorías de datos.
Descripción general de las medidas técnicas y organizativas de seguridad.
No requiere explicación sobre la base jurídica de los tratamientos, si requerida en las cláusulas informativas a los afectados.

Los encargados de tratamiento deben encargarse del Registro de actividades de tratamiento y deberá contener la siguiente información:

Nombre y datos de contacto del encargado o encargados y de cada responsable por cuenta del que actúe, el representante del responsable o encargado, y del DPD.
Las categorías de datos personales por cuenta del responsable.
Las transferencias internacionales de datos.
Descripción general de las medidas técnicas y organizativas de seguridad.

Además, para completar la información es aconsejable que tanto responsables como encargados incluyan información adicional relacionada con el cumplimiento de los principios en materia de protección de datos relacionados con el consentimiento, cláusulas informativas, contratos y cualquier otra información relacionada.

Considerando 13 del RGPD tiene en cuenta la situación específica de las microempresas, de las pequeñas y medias empresas e incluye una serie de excepciones en materia de llevanza del registro de actividades de tratamiento para organizaciones con menos de 250 empleados. Sin olvidar que las organizaciones con menos de 250 empleados,o personas físicas, pueden verse obligados a llevar el Registro si realizan los tratamientos no ocasionales.

El concepto de microempresa y de pequeña y mediana empresa debe extraerse del artículo 2 del anexo de la Recomendación 2003/361/CE de la Comisión.

CAMBIOS EN LA RELACIÓN ENTRE RESPONSABLES Y ENCARGADOS

Los contratos que deben regular las relaciones entre responsables y encargados son objeto de modificación en el RGPD a pesar de estar regulados en la LOPD se incrementan los requisitos.

La AEPD ha publicado unas Directrices para la elaboración de contratos entre responsables y encargados .

¿Qué debemos hacer durante el periodo transitorio por la protección de datos pymes?

Debemos revisar los contratos con los encargados de tratamiento con especial consideración a los subencargados de tratamiento.
Completar los contratos con las nuevas cláusulas contractuales que el Reglamento considera necesarios y redactarlos teniendo en cuenta:
- - Objeto del contrato.
  - Duración del tratamiento.
  - Naturaleza, fines del tratamiento.
  - Tipología de los datos personales.
  - Categorías de interesados.
  - Instrucciones del responsable.
  - Confidencialidad.
  - Medidas de seguridad.
  - Medidas de seguridad del subencargado.
  - Colaboración con el responsable para tramitar los derechos de los interesados.
  - Finalizada la relación que destino tendrán los datos
  - Disponibilidad de la información.
  - Podemos utilizar el modelo de contrato del anexo de las https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/directricescontratos.pdf que no es al que se refiere el Reglamento debido a que estos requieren de aprobación por el Comité Europeo de Protección de Datos, pero puede servir de primera orientación.
  - Importante las Certificaciones y los Códigos de Conducta.

Desde ACUMPLIMIENTO estamos trabajando para facilitarte los puntos claves para la protección de datos pymes en este cambio de cultura jurídica. Los proximos artículos se centrarán en resumir los cambios que durante el periodo transitorio deben incorporarse a nuestros sistemas de cumplimiento. Si lo deseas podemos ayudarte en el cambio, puedes consultar nuestras tarifas y realizar nuestro TEST sobre protección de datos para solicitarnos presupuesto o si lo prefieres puedes ponerte en contacto con nosotros.

Si quieres saber las últimas novedades que la AEDP presentó en su última sesión puedes consultarlas en el artículo: «Protección de Datos: novedades en la 9ª Sesión Anual AEPD.»

Sara Leal

Abogada.

Abogado Compliance – Cumplimiento Normativo

4/6/2017