Pymes y protección de datos

15 Julio 2015

FacebookwhatsappXLinkedInEmail
Pymes y protección de datos

Es cierto que estas obligaciones son bastante desconocidas, y bajo la consigna de “por protección de datos” se vienen justificando muchas conductas que realmente no tienen cobijo ni acomodo en la ley; quizá porque la ley de protección de datos, además de poco leída, regula sin duda una materia relativamente novedosa en nuestro sistema jurídico y es suficientemente farragosa como para ser fácilmente comprendida

Así que para interpretar la ley y asegurarse del correcto cumplimiento lo mejor es poner en conocimiento de un abogado experto las circunstancias de cada empresa para que su adaptación sea lo más precisa y, desde luego, lo más económica posible, evitando actuaciones superfluas o incrementando la complejidad de procesos que realmente no resulten necesarios. En estas líneas queremos hacer una breve aproximación a las principales obligaciones de las empresas para su adecuación a la normativa sobre protección de datos, sin perjuicio de confiar la completa adaptación a un consejo legal especializado.

La principal norma que regula el tratamiento de datos personales es la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). Esta norma se complementa con su reglamento de desarrollo, el Real Decreto 1720/2007, de 21 de diciembre.

Además, deben tenerse en cuenta las instrucciones y resoluciones que en desarrollo y ejecución ha aprobado la Agencia Española de Protección de Datos.

En la actualidad está en fase de desarrollo la modificación de la regulación sobre protección de datos. La LOPD obedece a una adaptación del derecho español a la normativa europea, y precisamente es esta normativa europea la que va a ser modificada; para ello está previsto aprobar un nuevo Reglamento comunitario, puede consultarse el borrador de proyecto en

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:ES:PDF que derogará la vigente Directiva y, además, tendrá efectos directos en España sin necesidad de aprobación ni modificación de la actual ley. Eso sí, parece que la entrada en vigor se demorará al menos un par de años desde que se publique en el Dario Oficial de la Unión Europea.

La LOPD no se aplica a cualquier dato personal que cualquiera pueda tratar. Por ejemplo, los datos de las empresas no están sujetos a la LOPD, como tampoco lo están los listines telefónicos personales que correspondan a un ámbito doméstico.

Así que lo primero que ha de analizarse es si la empresa en cuestión trata datos personales: es claro que una entidad financiera sí, pero puede no ser el caso de una frutería que, además de no tener empleados, no precisa para esa actividad tener consignado el nombre ni los datos de identificación de los  compradores. No obstante, en la medida en que la actividad empresarial trate datos de carácter personal (datos de clientes para facturar o para hacer promociones comerciales, o datos de empleados para sus nóminas), estas son las principales obligaciones:

  • Deber de información; ha de informarse a los afectados de los siguientes extremos: de la existencia del fichero, de la finalidad de la recogida, de los destinatarios de la información, del carácter obligatorio o facultativo de las respuestas, de las consecuencias de la obtención o no de los datos, de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición, y de la identidad y dirección del responsable de tratamiento o su representante. Esta información es aconsejable incluirla en toda la documentación contractual de la empresa, presupuestos, facturas, contratos, correspondencia, correos electrónicos, web, etc.
  • Inscripción de ficheros; ha de analizarse la actividad y datos tratados por la empresa e inscribir los correspondientes ficheros.
  • Cumplimiento de las obligaciones en materia de seguridad: la principal es disponer de un documento de seguridad; el detalle en función del nivel de seguridad que corresponda a cada empresa (básico, medio o alto) se regula en los artículos 79 y siguientes del reglamento. Además, deben atenderse las obligaciones previstas para determinados tratamientos, como es una campaña de comunicación comercial o la externalización de un servicio que implique tratamiento de datos personales.

Ricardo Nogales

Abogado de Legálitas

FacebookwhatsappXLinkedInEmail

¿Te ayudamos a elegir?

Descubre en 1 minuto el plan que mejor se adapta a ti.

Empezar ahora

Artículos recientes