¿Tengo que cumplir con el RGPD?

Esto es para grandes empresas. Yo no estoy obligado a cumplirlo

Tanto el RGPD como la LOPDGDD son normas, y por tanto son obligatorias.  No es opcional acogerse al cumplimiento de la misma. Prácticamente el 100% de las empresas españolas están obligadas a su cumplimiento.

Cualquier empresa que tenga datos personales está obligada. No depende del número de datos. Con un solo dato personal ya existe la obligación. Por lo general, en todo negocio se manejan datos. Algunos son de clientes, otros son de proveedores, trabajadores de nuestra empresa, o simplemente personas que se han interesado por nuestros servicios o productos. Todas estas personas tienen reconocido el derecho a la protección de sus datos personales.

También están obligados los autónomos, las entidades públicas, asociaciones, fundaciones, comunidades de propietarios, … y en definitiva cualquier actividad profesional

¿Qué implicaciones tiene el nuevo RGPD para autónomos?

El autónomo debe preocuparse de que su actividad y negocio cumplan con todos los requisitos legales. Dependiendo del tipo de labor que se lleve a cabo, estas exigencias serán unas u otras. No es lo mismo un autónomo cuyos clientes son solo empresas (que, por tanto, no disponen de datos de personas físicas) que el trabajador por cuenta propia que atiende a particulares. Veamos los tres casos que pueden darse.

Autónomos con empleados a su cargo

Si tienes empleados, entonces eres el responsable del tratamiento de sus datos. Por tanto, estás obligado a cumplir con el Reglamento Europeo de Protección de Datos. Además de esto, es probable que tengas datos de clientes que también requieran la implantación del mismo.

Autónomos sin empleados a su cargo

En este caso, lo que hay que tener en cuenta es si el tipo de actividad económica requiere que recabes datos e información personales de individuos y estos datos se deben guardar en ficheros o no. De no ser así, lo más probable es que no estés sujeto al cumplimiento del RGPD. Ahora bien, si tus clientes son particulares, probablemente, sí estés obligado a cumplir su normativa, ya que lo normal es que hayas obtenido algunos de sus datos personales, aunque pertenezcan al primer nivel.

Autónomos socios de una empresa S. L. o S. A.

En este caso, es la empresa la que debe encargarse de velar por la satisfacción de la ley. En todo caso, tu responsabilidad será encargarte, como socio y administrador, de que esta cumpla con ella. Es decir, la responsabilidad no es directamente tuya, como lo sería si fueras un trabajador por cuenta propia, sino que es de la empresa como tal. Tú deberás cumplir con tu obligación con la empresa

¿A qué sanciones nos enfrenamos por no cumplir con la normativa actual?

Con el nuevo RGPD la cuantía de las multas a imponer, estas están reguladas en los apartados 4º y 5º del artículo 83, donde se establece lo siguiente:

Sanciones de hasta 10 millones de euros o, si se trata de una empresa, de un 2% del volumen de negocio del año anterior en el caso del incumplimiento de las medidas de control.

Sanciones de hasta 20 millones de euros o un 4% del volumen de negocio del año anterior en el caso de incumplimientos graves o reincidencia por parte de las empresas sancionadas.

En la nueva normativa se reconoce igualmente el derecho de los usuarios a percibir indemnizaciones por el mal uso o protección de sus datos y deja en manos de las autoridades de control y de las diferentes administraciones la imposición de las multas, así como la catalogación de la gravedad de los incumplimientos.

¿Quién puede denunciar por incumplimiento?

Cualquier ciudadano puede denunciar a una empresa que incumpla con la normativa a través de la página web de la Agencia de Protección de Datos de forma anónima.

Según fuentes de la Agencia  Española de Protección de Datos en el año 2014 se recogieron un total de 10.074 denuncias, 8.489 en 2015, 7.935 en 2016 y 10.500 en 2017.

¿Una denuncia implica sanción?

No tiene por qué. En cada caso la AEPD abrirá el correspondiente expediente, si es necesario realizará una inspección y dependiendo del caso tendrá la potestad de sancionar.

¿Cómo afecta la normativa sobre protección de datos a mi página web?

Es de vital importancia tener correctamente redactados los textos legales de nuestra página web, des de una web corporativa a un e-commerce, donde tendremos que tener en cuenta no solo lo establecido por el RGPD, sino también la LSSICE.

Los cambios que introduce el nuevo reglamento europeo de protección de datos obligan a las empresas a comenzar a adaptar sus páginas web a la nueva ley de protección de datos. ¿Cómo hacerlo? Esta es la pregunta del millón que, tarde o temprano, te vas a hacer así que conviene que tengas en cuenta estas puntos en los que ya puedes ir trabajando:

  1. Análisis de riesgos: Cuando entre en vigor la nueva normativa europea de protección de datos todas las empresas deberán presentar un análisis de riesgos de su web por lo que conviene que establezcas desde ya las medidas y las herramientas que vas a emplear y si te ofrecen la evaluación que va a exigir la ley.
  2. Notificaciones: La obligación de comunicar los incidentes de seguridad a la autoridad de protección de datos implica comenzar a establecer los procedimientos y protocolos de comunicación para comprobar que se adaptan a la normativa.
  3. Formularios: Si su web tiene formularios de pedidos conviene que tenga muy presente que dentro de muy poco va a necesitar el consentimiento expreso del usuario por lo que, en caso de que no los incluya, debe modificar los formularios con los que actualmente opera su web.
  4. Contenido legal: Como hemos indicado el contenido sobre el uso de los datos personales y la política de privacidad de la empresa debe redactarse de forma clara y adaptándolo a la nueva normativa.
  5. Contenido de la empresa y uso de datos: Tendrá que readaptar los textos en los que se explica quiénes son los responsables del tratamiento de datos

Seis prácticas correctas en Protección de Datos

Recopile sólo los datos necesarios

¿Cuál es su objetivo? ¿Qué datos se necesitan para lograr ese objetivo? ¿Tiene derecho a recopilar estos datos? ¿Son relevantes? ¿Están de acuerdo las personas interesadas?

Piense en los derechos de las personas

Debe responder lo antes posible las solicitudes de consulta, rectificación o supresión de datos.

Mantenga el control de los datos

El intercambio y la circulación de los datos personales deben ser fiscalizados y contractualizados, con el fin de garantizar su protección en todo momento.

Debe de actuar con transparencia

La información clara y completa es la base del contrato o relación de confianza entre usted y las personas cuyos datos está procesando.

Identifique los posibles riesgos

Si procesa muchos datos, o datos sensibles o con actividades que tengan consecuencias importantes para las personas, habrán de aplicarse medidas específicas.

Proteja los datos

En función de la sensibilidad de los datos y de los riesgos que pesan sobre la gente en caso de un incidente, deberan de adoptarse medidas de seguridad, informáticas e incluso medidas físicas.