De la LOPD y LSSI al RGPD europeo: peligros de no aplicarlo a tu negocio

¿Es obligatorio aplicar la Ley de Protección de Datos en mi negocio?

¿Qué es la Ley de Protección de Datos? ¿Y el nuevo Reglamento de Protección de Datos a nivel europeo? Desde nuestra gestoría online queremos explicarte cómo funciona, ¿es realmente obligatorio aplicar la implantación RGPD a nuestro negocio? Si te queda alguna duda, comenta y GesTron intentará ayudarte al respecto.

Definición de Ley Orgánica de Protección de Datos Personales: La Ley de Protección de Datos (LOPD) es la normativa que se encarga de regular el correcto uso de datos de carácter personal de terceros. Pero no es la única ley que afecta a este ámbito tan delicado de tu negocio. Ahora veremos cómo funciona todo este rollo.

Aunque la Ley de Protección de Datos no sólo interviene en el ámbito empresarial, prácticamente cualquier negocio se ve afectado por ella. Y es que resulta que toda empresa que trate con datos sensibles está obligada a ajustarse a sus exigencias y a una serie de requisitos. Además, con la última actualización del reglamento a nivel europeo, si aún  no has adecuado tu negocio a la normativa vigente, desde el 25 de mayo vas contrarreloj.

GesTron se encargaGestión y asesoría desde 29,99€/mes

¿Sabes si tu negocio debe plantearse la implantación LOPD para empresas?

Cuando hablo de tratar con información personal o sensible de terceros, me refiero a que cualquier dato de esta naturaleza se vea implicado en alguno de los procesos, cotidianos o no, de la empresa en cuestión.

Por ejemplo, estaríamos hablando de gestión de datos personales y, por ende, sería necesario acogerse a la normativa de la Ley de Protección de Datos de Empresas, si contamos con una base de datos de clientes, si usas datafono (pago telemático con tarjeta electrónica), tienes cámara de videovigilancia, recibes currículos, etc.

Como ves, tratar con datos personales es más común de lo que uno puede plantearse en un principio. Esto nos llevaría al siguiente paso, ¿es obligatorio regularizar este tema?

Implantación LOPD en mi negocio

El debate sobre la obligatoriedad de la implantación de la LOPD en una empresa no existe realmente. Cumplir con los requisitos de la normativa de la Ley de Protección de Datos Personales es un tema totalmente obligatorio a nivel legal. Siempre. Siempre que trates con datos sensibles de terceros, como te he explicado antes.

La correcta implantación LOPD en tu negocio va más allá de ser un mero trámite que llevamos a cabo para evitar sanciones. Conlleva una declaración de intenciones para con nuestros públicos –trabajadores, socios, colaboradores, proveedores, clientes actuales o potenciales, personas que hayan solicitado información sobre algún servicio o que hayan accedido a darte acceso a datos de carácter personal, etc.-.

Es decir, los “incentivos” para cumplir con la normativa de la LOPD existen, ya que una empresa puede ser sancionada duramente de no acogerse de forma adecuada a la regulación vigente. Y sin embargo, seguir de forma adecuada la Ley de Protección de Datos Personales implica no solo esquivar la bala de la multa de turno, sino hacer de tu empresa un ente más competitivo, respetuoso con sus stakeholders y con la confianza que depositan en tu negocio al suministrar información sensible.

La cumplimentación de la Ley de Protección de Datos en tu negocio
se refleja directamente en la forma en la que te perciben tus clientes

¿Cómo funciona la LOPD?

Hace un tiempo ya hablamos en el blog de los artículos que más pueden verse relacionados con el desarrollo de las actividades propias de un negocio cualquiera. Por ejemplo, del artículo 5 de la Ley de Protección de Datos Personales, que trata sobre la gestión de Información en la recogida de datos, o principio del conocimiento; el tema del consentimiento en temas promocionales o publicitarios, recogido en el artículo 6, los temas relacionados con la calidad en la gestión de datos personales o  el acceso a datos por cuenta de terceros, comunicación de datos personales, seguridad, gestión de datos especialmente sensibles y demás. Puedes leerlo aquí.

Implantación LOPD a la normativa europea RGPD: 25 de mayo de 2018

Pero no sé si sabes que la normativa se actualiza. Pues sí, lo hace. La vigente actualmente, al menos en el momento en el que ando escribiendo esto, es la aprobada en mayo de 2016.

El 25 de mayo de 2018 pasó a ser de obligado cumplimiento el nuevo Reglamento General de Protección de Datos (RGPD) a nivel europeo. ¿Recuerdas las “multas de turno” de las que te hablaba antes? Bien. Pues desde la aplicación de la nueva normativa, las pymes, autónomos o cualquier negocio que infrinja la Ley de Protección de Datos, podrá enfrentarse a multas de hasta 600.000 de euros, en función de la gravedad de la infracción.

Desde el 25 de mayo de 2018, el nuevo Reglamento General de Protección de Datos
es de obligado cumplimiento para cualquier negocio

Entre las exigencias del nuevo reglamento de la RGPD se recogen la inclusión de sistemas de cifrados o con doble autenticación, aún tratándose de información sensible de carácter básico, medidas como la obligación de implantar sistemas de cifrado y de doble factor de autenticación, incluso sobre los datos considerados de nivel básico, si el riesgo así lo exige.

También tendremos que comunicar las posibles taras o fugas de información en los sistemas de seguridad, de caber la posibilidad de acceso a la misma por parte de agentes.

LOPD y LSSI: relación y cómo afectan a tu negocio

La Ley del consumidor, la LOPD (Ley Orgánica de Protección de Datos de Carácter personal) y la LSSI (Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico), están estrechamente relacionadas. Cada normativa da cobertura legal a distintos ámbitos, aunque todos relacionados con la protección de datos sensibles en el desarrollo de alguna actividad económica y prestación de servicios.

Pero, ¿en qué consiste cada una y cómo funciona esa relación? Te explico en qué consiste.

¿Es obligatorio aplicar la Ley de Protección de Datos en mi negocio?

Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias

Regula los derechos básicos de los consumidores y usuarios, las asociaciones de consumidores y usuarios, la potestad sancionadora en materia de consumo, los procedimientos judiciales y extrajudiciales de protección de los consumidores y usuarios, los contratos celebrados por los consumidores y las empresas, las garantías y servicios postventa, la responsabilidad civil por bienes o servicios defectuosos…

LOPD: Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal

La LOPD es obligatoria tenerla implantada en tu negocio. Protege y garantiza las libertades y los derechos fundamentales de las personas físicas, su honor e intimidad personal y familiar. Establece unas obligaciones en relación a la protección de datos de carácter personal contenidos en ficheros que poseen empresas y administraciones públicas, que son tratados por estas con diferentes finalidades.

En resumen, se encarga de regular el derecho del ciudadano a controlar sus propios datos personales e implica que debes facilitar vías a tus clientes para que puedan ejercerlo a los siguientes niveles:

  • Derecho de acceso: el derecho a conocer y obtener gratuitamente información sobre sus datos.
  • Derecho de rectificación: este derecho se caracteriza porque permite corregir errores, modificar inexactos o incompletos.
  • Derecho de cancelación: el derecho de cancelación permite que se supriman los datos que resulten ser inadecuados o excesivos.
  • Derecho de oposición: el derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos.

LSSI: Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información y del Comercio Electrónico

Establece las reglas necesarias para que la actividad económica generada online, sea una experiencia positiva, segura y confiable. Es decir, si tienes un negocio online, tendrás que plantearte seriamente estar cumpliendo con la LSSI de forma adecuada. Se aplica a los siguientes servicios relacionados con Internet:

  • Comercio electrónico.
  • Contratación en línea.
  • Información y publicidad.
  • Servicios de intermediación.

Si recibes ingresos directos por las actividades que lleves a cabo o indirectos (por publicidad, patrocinio o derivados) tendrás que contemplar la LSSI. Es bastante recomendable contar con un experto bien en plantilla o bien a través de la contratación de un servicio, para llevar a cabo una auditoría legal e la web y de su forma de establecer comunicaciones. En concreto, se deben analizar:

  • Revisar toda la página web para comprobar que cumple todos los requisitos de la LSSI.
  • Cumplimentar la información sobre tu sitio web con el contenido legal que no esté presente.
  • Auditar todas sus campañas de marketing y comunicación respecto a la LSSI.

¿Qué trae de nuevo la normativa RGPD?

El principio de responsabilidad proactiva
del nuevo Reglamento General de Protección de Datos a nivel Europeo

El RGPD describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.

En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo.

A partir de este conocimiento, como empresario, debes determinar de forma explícita la forma en que aplicas las medidas que el RGPD prevé, asegurándote de que esas medidas son las adecuadas para cumplir con el mismo y de que puedes demostrarlo ante los interesados y ante las autoridades de supervisión.

En resumen, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.

Las principales cuestiones que habrá que tener en cuenta de cara a la aplicación del RGPD son:

  • Relación contractual.
  • Intereses vitales del interesado o de otras personas.
  • Obligación legal para el responsable.
  • Intereses vitales del interesado o de otras personas.
  • Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.(Cesiones de datos).

El consentimiento.

Debe ser inequívoco, es decir, debe estar súper claro de forma tácita, que este consentimiento se ha prestado a través de una manifestación del interesado o mediante una clara acción afirmativa.

Además, como te mencionaba, debe ser explícito, además de claro, conciso y directo en las siguientes situaciones:

  • Tratamiento de datos sensibles.
  • Adopción de decisiones automatizadas.
  • Transferencias internacionales.

Un responsable de la RGPD obligatoriamente en cada negocio

No sé si lo sabías, pero el nuevo reglamento obliga a las empresas a contar con una persona capaz de gestionar y garantizar el cumplimiento de la normativa, en los distintos procesos que desarrolle la empresa para los que se traten datos personales de cualquier tipo.

Sus funciones son, en resumen:

  • Informar y asesorar ante posibles situaciones de incumplimiento de normativa en los distintos procesos y áreas de trabajo, en los que se involucren datos personales de terceros.
  • Supervisar su cumplimiento. Realizar auditorías y cerciorarse de que las posibles desviaciones se gestionan de forma correcta.
  • Ser la voz de la empresa ante los usuarios propietarios de los datos personales cedidos al negocio.

Esta persona puede ser el gerente y propietario del negocio o un trabajador en plantilla, aunque también puede ponerse en manos de una agencia especializada. Si quieres encargarte de este tema tú mismo, haz clic en el botón que te dejo a continuación:

GesTron se encargaGestión y asesoría desde 29,99€/mes

¿Lo hago o delego?

Pues esto es como siempre. También puedes presentar tú mismo los modelos de Hacienda o defenderte frente a un juez. Si la situación, bajo tu criterio, no lo exige, o si te ves capacitado para gestionar la adecuación de todos los procesos de tu empresa a la implantación LOPD y a su adecuación a la nueva normativa RGPD, genial.

Si prefieres asegurarte o buscas el valor añadido de un servicio profesional, que garantice la adecuación inexorable y segura de tu empresa a la RGPD, entonces quizás debas dejarlo en las manos de un consultor RGPD experto, que se encargue de todas las vicisitudes legales y la realidad de tu empresa en cuanto a la normativa.

Al final, puedes ver la aplicación de la normativa del Reglamento General de Protección de Datos como un valor agregado en tu negocio, una oportunidad que mejorará tu posicionamiento como marca respecto a tus clientes, al generar confianza y reflejarse como un ente responsable frente a estos, así como de cara el resto de públicos con los que te relacionas.

¿Qué piensas tú sobre la Ley de Protección de Datos, la adecuación a la nueva RGPD y su obligatoriedad?

De la LOPD y LSSI al RGPD europeo: peligros de no aplicarlo a tu negocio
4.2 (83.48%) 46 votes

13 comentarios

  • DANEM

    13 mayo, 2018

    Buenos días,
    Tengo la empresa cerrada y sin actividad. ¿Me afecta esta norma o solo me afectara cuando vuelva a la actividad?

    Gracias

    • GesTron

      28 mayo, 2018

      Hola Danem,

      Cuando inicies tu actividad tendrás que haber adaptado todos tus procesos desde el momento 0.

  • Angeles

    12 mayo, 2018

    Tengo un pequeño comercio, no tengo empleados, sin presencia en la red me afectaría el LOPD??

    • GesTron

      28 mayo, 2018

      Hola Ángeles,

      Si recibes CV, usas cámara de videovigilancia o recibes pagos con datáfono, sí.

      • Ricardo

        26 junio, 2018

        No entiendo por qué se incluye lo del datáfono, en el recibo que se queda el comercio no aparece ningún dato personal del cliente.

        • GesTron

          6 julio, 2018

          Hola Ricardo,
          En el datáfono si compartes documentación privada, como por ejemplo el número de tarjeta, y con ella los datos del cliente.
          Saludos 😀

  • Valeria

    11 mayo, 2018

    Hola!
    Tengo una web con mis datos para que los clientes me contacten (email o teléfono) y además un formulario de contacto. Mi servicio es de organización de bodas y no cobro nada online.
    Y luego tengo las redes sociales.
    Quitando el formulario de contacto ya evitaría todo este lío? Gracias!

    • GesTron

      28 mayo, 2018

      Hola Valeria,

      Hay una serie de factores que hay que revisar pero, en general, debes asegurarte que cuando vayas a operar con cualquier tipo de información de carácter sensible, la persona que proporciona esos datos debe aceptarlo de forma tácita. Por ejemplo, lo del formulario que comentas, no puede haber un “Acepto términos y condiciones” ya seleccionado por defecto.

  • SEVE

    11 mayo, 2018

    Buenos días, soy arquitecto técnico autónomo. Me afectaría la LOPD? De que forma?

    Gracias.

    • GesTron

      11 mayo, 2018

      Hola SEVE,

      Sí, siempre que trates con datos sensibles de tus clientes, tengas página web u otro sitio online, por ejemplo. Si quieres que estudiemos tu caso, pásanos tus datos de contacto a gestron@ayudatpymes.com y te orientaremos un poco.

  • Alfredo

    27 marzo, 2018

    Creo que esta ley solo es un saca-dineros del monopolio de la destrucción de documentos. No paro de ver artículos como este ofreciendo servicios de eliminación de documentación y tal.

    • GesTron

      18 mayo, 2018

      Hola Alfredo,

      La cosa pasa más por regular procesos que por destruir información. Eso puede hacerlo uno mismo, no sé… Pero para todo siempre hay alguien dispuesto a sacar tajada.
      Gracias por el comentario.

  • Maria

    5 diciembre, 2017

    Bueno, también habría que ver como la aplica VODAFONE, BBVA o JAZZTEL. Pese a estar en Lista Robinson y pedir por escrito la baja en varias ocasiones, siguen enviando SPAM y poniendo trabas. No hacen caso de la baja y me cuesta tiempo y dinero. Para los autónomos, otro gasto más difícil de soportar