Conceptos básicos para la correcta aplicación de la protección de datos

El contexto en el que el RGPD se aprobó implicaba la voluntad de crear una regulación a resultas de un contexto basado en una rápida evolución tecnológica, que va de la mano de la globalización, y que las empresas usan datos personales a un nivel sin precedente. Cada vez el volumen de datos que se difunde de las personas físicas es mayor.

Estos cambios implican que el Derecho tenga que ofrecer una seguridad jurídica, sólida y coherente para que el tratamiento de nuestros datos se realice de manera óptima.

Cumplir estas normativas genera confianza en todas aquellas entidades que realmente actúan de acuerdo a ellas ya que otorgan más control a las personas físicas sobre sus propios datos.

El RGPD y la LOPDGDD están orientados, como decíamos, a que tanto grandes empresas, pymes y micro pymes puedan llevar a cabo la aplicación de la normativa. Dicha aplicación ofrece protección a las personas físicas, por tanto, no regula los datos personales relativos a personas jurídicas.

Para una buena implantación de la normativa de protección de datos debemos tener claro qué datos personales tratamos, tenerlos identificados a través de los Registros de Actividades de tratamiento y categorizar los datos según conlleven un alto riesgo en su tratamiento o bajo, extremos analizados en un Análisis de riesgos previo al tratamiento.  

Con estos Registros de Actividades de Tratamiento no se acaba el trabajo, deberemos aplicar los principios que marca el RGPD y que destacamos algunos de los más importantes: 1.- la proactividad de la empresa para tenerlos actualizados o modificarlos en base a los datos que se usan;  2.- el principio de minimización de datos para poder observar qué datos son necesarios según la finalidad para la que se recaban; y 3.- el principio de conservación de los datos, para no tratar los datos no más tiempo del necesario según su finalidad. Para que internamente sea ágil identificar qué datos tratamos, sería conveniente crear un protocolo para cualquier modificación y/o creación de los Registros de Tratamiento, que además nos facilitará el análisis de riesgos y sus consecuentes medidas de seguridad.

Para poder aplicar estos principios, deberemos realizar, como hemos avanzado, un análisis de riesgos sobre los tratamientos de datos que llevamos a cabo y aplicar las medidas de seguridad que creamos convenientes según las vulnerabilidades detectadas. Deben estar aplicadas de forma efectiva y, cada cierto tiempo, se deben ir revisando, ya que las empresas son entes dinámicos en su actividad y sobre todo en el tratamiento de los datos personales (se puede crear una aplicación informática para llevar a cabo un servicio nuevo dentro de nuestro core, ampliar el negocio y abrir una sucursal nueva, o simplemente contratar un servicio de videovigilancia que no se tenía anteriormente).

Las empresas están en constante evolución y cambio, por eso la normativa deja en manos de los operadores de datos el cuándo y cómo regular lo concerniente a los datos personales que tratan.

Toda vez que las finalidades para las que tratamos datos están claras y concisas (principio de limitación de la finalidad) debemos informar al usuario sobre el tratamiento de sus datos; si hay varias finalidades éstas deben detallarse y ser conocidas por aquél, ya que, como hemos dicho, la confianza se genera a través de un correcto tratamiento de los datos. Con este hecho además cumplimos otro principio fundamental del RGPD: que los datos personales sean tratados de forma lícita, leal y transparente en relación a cada interesado.

Es vital que los usuarios estén informados del tratamiento de sus datos, y ello se realiza de forma adecuada colocando la información necesaria en todos aquellos escenarios donde pueda haber datos personales, como formularios de recogida de datos, políticas de privacidad de páginas web y apartados de contacto, contratos, facturas, correos electrónicos, etc. Este deber de información es una de las máximas de la normativa de protección de datos que debemos cumplir.

Es importante tener en cuenta que los interesados no son solamente los clientes, también lo son nuestros trabajadores. A éstos se les ha tenido que informar convenientemente de las finalidades para las que se tratan sus datos, así como de las posibles cesiones de éstos, uso y finalidad de las cámaras de videovigilancia o datos biométricos (si tenemos establecido algún sistema de captación de huella digital para el marcaje, por ejemplo), geolocalización de sus dispositivos, si se realizan perfiles psicotécnicos, duración del tratamiento de los datos, donde dirigirse para ejercer sus derechos, etc. Igualmente, deberán garantizarnos el deber de guardar secreto sobre los datos a los que tienen acceso, mediante la firma de un documento de compromiso de confidencialidad.

Por todo ello, deberemos validar que las medidas de seguridad se hayan implementado de forma correcta y coherente: nos jugamos la confianza de nuestros clientes, trabajadores etc.

Otro paso importante por destacar y a tener en cuenta: cuando contratemos a terceras empresas a las que se deban ceder datos personales deberemos asegurarnos de que cumplen con la normativa de protección de datos, pudiéndose verificar de múltiples maneras. Con estas empresas se deberá firmar un contrato que regule dicha cesión de los datos, esto es, de Encargado del tratamiento, en el que marcaremos todas las obligaciones que deberán cumplir para el tratamiento de los datos de los cuales nosotros como empresa somos el Responsable del Tratamiento, junto con las garantías y responsabilidades que conlleva dicho tratamiento.

Si quieren ampliar información sobre aspectos relacionados con la protección de datos o el registro de marcas pueden contactar con nosotros (info@pymelegal.es).