Todas las empresas que tratan datos personales de ciudadanos europeos están obligadas a cumplir con la normativa de protección de datos conocidas por el RGPD reglamento europeo y la LOPD ley orgánica de protección de datos. Esto incluye a las empresas españolas, las empresas extranjeras que operan en España y las empresas que tratan datos personales de ciudadanos europeos, incluso si no operan en España.

A nivel comunidad europea el Reglamento europeo 2016/679, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos que entro en vigor en 2018 conocido como el RGPD.

A nivel nacional la ley orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Conocida como la LOPDGDD 

Cualquier información que pueda identificar a una persona física se considera dato personal. Esto incluye información como el nombre, la dirección, el número de teléfono, el correo electrónico, la fecha de nacimiento, la ideología política, la religión, la salud, etc.

La adaptación de las empresas a la nueva normativa en materia de protección de datos requiere dar una serie de pasos que pueden ser los siguientes:

Realizar un inventario con los datos que se tratan: Analizar qué datos se recaban, con que finalidad, cuanto tiempo se conservan los datos en nuestros sistemas, como custodiamos estos datos y si los datos son cedidos a terceros.

Informar a las afectados: Se deben de realizar clausulas para notificar a clientes, empleados o cualquier otro colectivo que se traten datos de cuál es la finalidad del tratamiento de sus datos, base jurídica, el tiempo de conservación, si sus datos son cedidos a terceros.

Analizar los riesgos y establecer las medidas de seguridad: Se debe de realizar un análisis de riesgos para evaluar los riesgos sobre el tratamiento de los datos que se manejan en la empresa. Este análisis ayudara a establecer medidas de seguridad para salvaguardar los datos personales ante la disponibilidad, la integridad y la confidencialidad de dichos datos.

Realizar un registro de actividades también llamado RAT: El registro de actividades está regulado por el Artículo 30 del RGPD “Registro de las actividades de tratamiento” y Artículo 31 LOPD. Los responsables del tratamiento tendrán la obligación de llevar un Registro de actividades.

Brechas de seguridad: todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados debe ser comunicado a los afectados cuando sea probable que entrañe un alto riesgo para sus derechos y libertades así como a la Agencia Española de protección de datos.  

Nombrar un delegado de protección de datos: Designar al delegado de protección de datos si fuera obligatorio o si se asume voluntariamente.

Evaluación de impacto: Solo se realizará si  Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas 

Formación a los empleados: Si quieres que tu empresa cumpla rigurosamente con la normativa en materia de protección de datos, es fundamental la formación a los empleados para que conozcan las obligaciones y cómo se deben cumplir con esta normativa.

Las medidas de seguridad que debes aplicar para proteger los datos personales deben ser proporcionales al riesgo asociado al tratamiento de los datos personales y para ello se debe de realizar un análisis de riesgos. Algunas medidas de seguridad que puedes aplicar son:

Encriptación de los datos personales, controles de acceso a los datos personales, formación del personal sobre protección de datos, realización de copias de seguridad, instalación de antivirus, navegación VPN, entre otras.

Debes informar a los titulares de los datos personales sobre el tratamiento de sus datos personales antes de empezar a tratar sus datos. La información que debes proporcionar a los titulares de los datos personales es la siguiente:

La identidad y los datos de contacto del responsable del tratamiento, los fines del tratamiento, los destinatarios de los datos, el plazo de conservación, la legitimación para realizar el tratamiento de los datos, los derechos que asisten a los titulares de los datos, si están sometidos a decisiones automatizadas de tratamientos de datos.

El consentimiento debe ser expreso, libre, informado e inequívoco. Este debe de ser EXPLÍCITO: mediante una declaración expresa y recogido de modo que sea demostrable y verificable. En la práctica implica una declaración escrita y firmada o en el entorno digital mediante una clara acción afirmativa que pueda registrarse.

Otras características que debe cumplir la solicitud de consentimiento: formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, y que no contenga cláusulas abusivas.

Se solicitará el consentimiento cuando no exista otra causa legitimadora para el tratamiento de los datos personales, que concretamente son: Solicitud de medidas precontractuales, ejecución de un contrato, cumplimiento de una obligación legal, misión de interés público, ejercicio de poderes públicos, interés legítimo del responsable o de un tercero. 

Protección de datos en: Alicante, Gandia, Alcoy, Almería, Córdoba, Granada, Jaen, Málaga, Sevilla, Teruel, Zaragoza, Asturias, Gijón, Oviedo, Baleares, Ibiza, Mallorca, Menorca, Cantabria, Santander, Albacete, Ciudad Real, Cuenca, Toledo, Burgos, León, Palencia, Salamanca, Valladolid, Girona, Valencia, Murcia, Castellón, Extremadura, Galicia, La Coruña, Lugo,  Pontevedra, Vigo, Canarias, Las Palmas de Gran Canaria, Tenerife, La Rioja, Logroño, Pamplona, Alava, Vitoria, Guipúzcoa, Donostia/San Sebastián,  Bilbao ¡Solicite presupuesto de protección de datos ahora!