El 7 de mayo hemos tenido la sesión «Datos y Ley: guía para autónomos y pymes» con Francisco García Paramio, Director Territorial del Grupo Data. Doctor Ingeniero de Telecomunicación y Graduado en Economía y Dirección por el IESE. Más de 35 años de recorrido profesional como alto directivo en las industrias de Tecnología, Telecomunicaciones, Banca, Seguros, Inmuebles, Outsourcing y Consultoría Empresarial.
En la sesión Francisco hizo un repaso rápido a la normativa cuyo cumplimiento obliga al entorno empresarial actual. Ignorar leyes puede acarrear sanciones graves, por lo que cumplir con estas normas debe verse como una forma de controlar riesgos y no solo como una carga administrativa.
Marco legal e importancia de la Protección de Datos.
La normativa de Protección de Datos en España cobró especial relevancia en 2017 con la transposición de una directiva de la Unión Europea, dando lugar a la Ley Orgánica de Protección de Datos (LOPD). Actualmente, este marco legal es de obligado cumplimiento para cualquier autónomo o empresa que maneje datos de terceros.
La Agencia Española de Protección de Datos (AEPD) es el organismo encargado de velar por su cumplimiento, con capacidad para imponer sanciones que pueden llevar incluso al cierre de un negocio.
Tipos de datos protegidos
La ley distingue entre diferentes categorías de información personal que deben ser custodiadas:
- Datos ordinarios: Incluyen nombre, apellidos, DNI, correo electrónico, teléfono o dirección.
- Datos sensibles (especiales): Información sobre salud (como expedientes médicos o enfermedades), orientación sexual, religión o antecedentes penales.
- Imágenes: La grabación de personas mediante cámaras de seguridad también se considera un tratamiento de datos sensibles y debe tener un fin específico y un periodo de conservación determinado.
Figuras y responsabilidades clave
En la gestión de la privacidad aparecen tres roles fundamentales:
- Responsable del tratamiento: Es la propia empresa o el autónomo, encargado de la custodia y guardia de la información.
- Encargado del tratamiento: Un tercero (como un asesor laboral, contable o una consultora externa) que recibe los datos para prestar un servicio. Es obligatorio firmar un contrato o acuerdo de encargo de tratamiento con estos proveedores.
- Personal formado: La empresa debe contar con alguien (interno o externo) formado específicamente en la gestión del sistema de protección de datos.
Obligaciones en el entorno digital y web.
El cumplimiento se extiende a la presencia en internet a través de la Ley de Servicios de la Sociedad de la Información (LSSI-CE):
- Consentimiento explícito: Ya no se permite el consentimiento implícito. El usuario debe marcar activamente casillas para autorizar el uso de sus datos o el envío de publicidad.
- Política de cookies: Es obligatorio dar al visitante la opción de seleccionar específicamente qué cookies acepta (técnicas, de marketing, etc.).
- Textos legales: Las páginas web deben incluir un aviso legal y una política de privacidad que identifique al dueño, explique cómo contactarlo y cómo el usuario puede ejercer sus derechos de modificación o eliminación de datos.
Seguridad y almacenamiento de la información.
Dado que la mayoría de los datos se almacenan en formato digital, existen exigencias mínimas de seguridad:
- Control de acceso: Definir qué usuarios acceden a qué aplicaciones y utilizar claves que se cambien periódicamente (por ejemplo, cada 4 meses).
- Políticas de respaldo: Es fundamental realizar copias de seguridad. Si se utiliza la «nube» (Google, Amazon, Microsoft), se tolera siempre que los centros de datos estén en la Unión Europea, aunque legalmente sigue siendo un terreno complejo.
- Ciberseguridad: Los sistemas conectados a internet son vulnerables por definición, por lo que se deben usar perímetros de seguridad como firewall.