Muchas pymes y autónomos nos consultan a menudo si tienen la protección de datos “hecha” o si tienen la obligación de tenerla y cuál es la base para estar obligado a ello.
La pregunta corta es: ¿tienes alguna factura de algún cliente o proveedor?
Si la respuesta es un SI, entonces SI estás obligado a cumplir con el reglamento de protección de datos porque desde el momento en que si tienes facturas de clientes, proveedores, nóminas de trabajadores o simplemente envías una factura, ya estás tratando datos personales y, por tanto, tienes obligaciones legales en materia de protección de datos. Solo tienes que tener UNA para quedarte obligado. En tus manos tienes un dato de un tercero que no eres tú y, por tanto, debe ponerse la debida diligencia para tratarlo como corresponde.
Una vez entendido que prácticamente cuando una persona física o una sociedad se da de alta, es casi inmediato que nace la obligación de cumplir también con el reglamento de protección de datos.
-
¿Cuándo debo hacer la protección de datos de mi empresa? ¿Cuándo nace la obligación?
La obligación de cumplir con la LOPDGDD (Ley orgánica de protección de datos) y el RGPD (Reglamento General de Protección de Datos) se activa tan pronto como una empresa o profesional autónomo comienza a tratar datos personales. Esto significa, en términos prácticos, que tener una factura emitida o recibida con un nombre, DNI, e-mail o teléfono, ya implica tener datos de terceros .
Por tanto, no es necesario tener una base de datos de miles de personas para estar afectado. Con un solo e-mail de un cliente ya tienes una responsabilidad.
-
¿Qué pasos es necesario seguir para cumplir con la protección de datos?
Tanto si eres una empresa de 3 trabajadores como si tienes 30, estos son los mínimos imprescindibles:
1. Análisis de riesgos y registro de actividades de tratamiento
Es la base. Es necesario identificar:
- Qué datos personales recoges (clientes, proveedores, trabajadores…)
- Para que las utilices (facturación, marketing, nóminas…)
- Cómo las proteges (contraseñas, acceso restringido, copias de seguridad…)
2. Política de privacidad y cláusulas legales
No basta con tenerlo «en el correo» o en la web. Hay que redactar:
- Cláusulas informativas para correos, presupuestos, formularios web…
- Política de privacidad adaptada a la realidad de la empresa
3. Contratos de encargado del tratamiento
Si una empresa externa gestiona tus datos (gestoría, informático, cloud, etc.), es necesario firmar un contrato de tratamiento de datos con ellos.
4. Medidas de seguridad
Adaptadas al nivel de riesgo:
- Protección de acceso a los ordenadores
- Antivirus y copias de seguridad
- Formación básica a los trabajadores
5. Canales de ejercicio de derechos
La empresa debe tener un procedimiento para atender los derechos de las personas (acceso, rectificación, supresión, etc.)
Para saber en qué punto tiene la protección de datos podría resolver este cuestionario:
LISTA DE COMPROBACIÓN:
✅ ¿Hemos realizado un registro de actividades?
✅ ¿Tenemos política de privacidad clara y cláusulas informativas?
✅ ¿Tenemos contratos con proveedores que acceden a datos?
✅ ¿Hemos implementado medidas de seguridad mínimas?
✅ ¿Tenemos protocolo para ejercicio de derechos?
Si en algún punto tienes dudas puedes contactar con nuestros especialistas en protección de datos, ¡en nuestra asesoría fiscal tienes disponibles los profesionales que pondrán fácil lo que parece muy rebuscado!
Thaïs Amor
Fiscal – Marketing
Leave A Comment