El Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) componen la legislación europea que regula cómo se deben recoger, almacenar y utilizar los datos de los ciudadanos de la UE por cualquier empresa u organización en el mundo, incluyendo propietarios de sitios web. Sin embargo, hay muchas preguntas sobre cuánto – o incluso si – se aplica la ley a las pequeñas y medianas empresas (PYMES).
En este artículo vamos a responder a esa pregunta popular: «¿Se aplica el RGPD a las pequeñas empresas?» La respuesta es «Sí»; las pequeñas y medianas empresas están en el mismo contexto que las grandes corporaciones cuando se trata del tratamiento de los datos personales. Para asegurarse de que la empresa cumple la normativa, hemos elaborado esta guía para pequeñas y medianas empresas.
Datos a los que aplica
El artículo 4 del RGPD define los datos personales como “cualquier información relacionada con una persona física identificada o identificable”. Por tanto, la protección de datos personales no se refiere solo a datos íntimos, sino a cualquier tipo de dato que identifique o permita la identificación de una persona.
¿Cuáles son los datos personales?
En el RGPD, el término “datos personales” incluye todos aquellos relacionados con una persona física tanto los considerados de carácter general:
- Nombre
- Dirección
- Teléfono
- Fecha de nacimiento
- Finanzas personales, asuntos relacionados con impuestos y deudas
- Circunstancias relacionadas con el trabajo
- Circunstancias familiares
- CV, etc.
Y datos de carácter especial que son aquellos que revelan información que puede tener impacto sobre los derechos y libertades fundamentales de las personas:
- Origen étnico o cultural
- Opiniones políticas, religiosas y filosóficas
- Orientación sexual
- Afiliación sindical
- Datos genéticos
- Datos biométricos
- Datos relativos a la salud, etc.
Datos excluidos
Hay determinados datos de carácter personal que, a pesar de referirse a una persona física determinada, se encuentran excluidos del ámbito de aplicación de esta normativa. Estos datos son los siguientes:
- Tratamiento de datos con fines domésticos: La normativa no se aplicaría, por ejemplo, a la agenda de mi móvil particular.
- Datos referidos a personas jurídicas y las personas de contacto: no se aplica a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquellas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.
- Datos relativos a empresarios individuales: ni la LOPDGDD ni el RGPD se aplican a los tratamientos de datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, etc.
- Datos relativos a personas fallecidas.
Preguntas comunes de la pequeña empresa
- Soy el único propietario, ¿de verdad tengo que preocuparme del RGPD?: el RGPD trata sobre los datos que usted procesa, no sobre el número de empleados que usted tiene. Por tanto, afecta a empresas de todos los tamaños, incluso empresas individuales. Sin embargo, las compañías con menos de 250 empleados tienen algunas excepciones, como la reducción de la conservación de registros, pero sólo si no afecta a los derechos de la persona y es ocasional. También debe asegurarse de que los datos personales que recopile estén protegidos. Esto significa que necesita cifrarlo y asegurarse de que el acceso a él se controla con al menos una contraseña.
- ¿Cómo saber si nuestro sitio web cumple con el RGPD?: la primera pregunta que se tiene que hacer es: ¿recopila datos personales en cualquier parte de su sitio? Por ejemplo, un formulario de contacto. Si quiere enviar correos electrónicos de marketing, asegúrese de agregar una casilla de «optar por participar» que explique exactamente para qué se usarán los datos. Solo si el destinatario marca esa casilla, puede usar sus datos personales con fines de marketing. El RGPD también se aplica si los datos de los clientes se desplazan entre fronteras: si usa informática en la nube necesitará asegurarse de que el servicio cumple totalmente la normativa del RGPD..
- Recopilo datos pero es otra empresa la que los almacena. ¿Esto me libera del anzuelo?: el RGPD distingue dos figuras diferentes:
- RESPONSABLE: es toda persona u organización que decide cómo, qué y para qué se recopilan los datos.
- ENCARGADO: es una persona u organización que almacena datos en nombre del responsable y los procesa bajo petición.
- ¿Puedo seguir enviando correos electrónicos de marketing a mis clientes antiguos?: Debe asegurarse de que sus clientes, incluso los que ha tenido durante años, hayan dado su consentimiento para utilizar sus datos para fines de marketing. Es posible que haya capturado anteriormente su consentimiento, así como un registro para mostrarlo. Si es así, está listo para continuar con el marketing. De lo contrario, debe obtener el permiso del cliente para continuar comercializando con él. Esto generalmente implica enviar un correo electrónico pidiendo a los clientes que vayan a su sitio y seleccionen una opción para dar su consentimiento para recibir futuros correos electrónicos.
- ¿Tengo que preocuparme del RGPD cuando tengo que contratar nuevos empleados? ¿Qué pasa con los empleados actuales?: El RGPD se extiende a los datos de los empleados. Asegúrese de no almacenar ningún dato sin su expreso consentimiento. En cuanto a los empleados existentes y los contratos de nuevos empleados, una firma al final de un contrato no supone necesariamente consentimiento, especialmente cuando se utiliza una cláusula no afirmativa en un contrato.
¿Qué empresas están obligadas a cumplir la protección de datos?
Están obligados a cumplir la normativa de protección de datos de carácter personal:
- Sociedades mercantiles (pymes y grandes empresas)
- Autónomos.
- Organismos públicos.
- Administraciones públicas.
- Asociaciones.
- Comunidades de bienes.
- Comunidades de propietarios.
- Entidades sin ánimo de lucro.
En definitiva: cualquier entidad que realice un tratamiento de datos de clientes, proveedores, empleados, socios o cualquier otra figura para el desarrollo de sus actividades está obligada a cumplir con el RGPD y la LOPDGDD.
Además, cumplir con la normativa te ayudará a:
- Generar más confianza y credibilidad.
- Mayor competitividad y diferenciación
- Potenciar tu marca.
- Evitar elevadas sanciones económicas.
- Proteger los activos del negocio.
Analiza cómo tratas los datos en tu empresa y hazte las siguientes preguntas
- Quiénes son los responsables y los encargados del tratamiento.
- Qué actividades son objeto de tratamiento y qué datos se registran.
- Cuál es la finalidad del tratamiento.
- Plazo de conservación de los datos.
- Si los datos van a ser cedidos a terceros, y con qué finalidad.
- Cuáles son las vías para ejercer los derechos de Acceso, Rectificación, Supresión, Limitación del Tratamiento, Portabilidad y Oposición.
Asimismo, para garantizar la máxima información a los usuarios en el entorno digital, la protección de datos en las empresas obliga a obtener consentimiento expreso para tratar los datos del interesado, así como a informar sobre el aviso legal, la política de privacidad o la política de cookies.
Mantén documentación sobre las actividades de procesamiento
Prepara un documento breve que explique qué datos personales posees y por qué motivos. Esos documentos deben incluir la información que se muestra a continuación.
| Información | Ejemplos |
| Finalidad del tratamiento de datos | Alertar a los clientes sobre ofertas especiales, como proporcionar entrega en casa; proveedores de pago; cobertura de salario y seguridad social para empleados |
| Tipos de datos personales | Detalles de contacto de los clientes; detalles de contacto de los proveedores; datos de empleados |
| Categorías de personas interesadas | Empleados; clientes; proveedores |
| Categorías de destinatarios | Autoridades laborales; autoridades fiscales |
| Períodos de almacenamiento | Los datos personales de los empleados hasta la finalización del contrato; los datos personales de los clientes hasta la finalización de la relación contractual |
| Medidas de seguridad técnicas y organizativas para proteger los datos personales | Soluciones del sistema de TI actualizadas periódicamente; ubicación protegida; control de acceso; cifrado de datos; copia de seguridad de datos |
| Si los datos personales se transfieren a destinatarios fuera de la UE | Uso de un encargado fuera de la UE (por ejemplo, almacenamiento en la nube); ubicación de datos del procesador; compromisos contractuales |
La Agencia Española de Protección de Datos te ayuda
La AEPD dispone de diversos materiales, recursos y herramientas en su página web que tienen por objetivo facilitar la adaptación y cumplimiento del RGPD. Entre ellos cabe desatacar:
- La herramienta FACILITA_RGPD proporciona ayuda para la elaboración del registro de actividades de tratamiento, las cláusulas informativas, las cláusulas contractuales para encargados del tratamiento y las medidas de seguridad a adoptar,
- Si los datos son de alto riesgo (como pueden ser los referidos a temas de salud), la herramienta que se debe utilizar es Gestiona_EIPD. También podrá ayudar a aquellas pequeñas empresas que comiencen a realizar Evaluaciones de Impacto en Protección de datos Personales (EIPD).
- Por último, para dudas y consultas, la AEPD cuenta con el Canal INFORMA_RGPD .
Otras guías y herramientas
Además de la propia AEPD, otros organismos públicos ofrecen asesoramiento en materia de cumplimiento de la normativa de Protección de datos:
- Así, por ejemplo, el Portal PYME del Ministerio de Industria (http://www.ipyme.org/es-ES/EjercicioAct/RGPD/Paginas/RGPD.aspx) dispone de múltiples enlaces útiles a:
- Guía del Reglamento.
- Directrices para la elaboración de contratos entre responsables y encargados.
- Guía para el cumplimiento del deber de informar.
- Análisis de riesgos, etc.
- Por su parte, el Instituto Nacional de Ciberseguridad – INCIBE (https://www.incibe.es/protege-tu-empresa/rgpd-para-pymes) también dispone de una sección específica dedicada al RGPD para PYMES, con toda la ayuda necesaria para cumplir con la Protección de Datos desde la perspectiva de la seguridad de la información.
- Por último, la Comisión Europea a través de su página web (https://ec.europa.eu/justice/smedataprotect/index_es.htm) pone a disposición de todas la pequeñas empresas un completo portal con las principales claves para el cumplimiento eficaz de sus obligaciones en materia de Protección de Datos.
Fdo. Rafael Miranda Rivas.
Gerente Transformación de Negocio en Prysma.
