Protección de datos personales

Protección de datos personales La nueva ley de protección de datos está enmarcada dentro del Reglamento General de Protección de Datos de aplicación en el territorio europeo (GDPR por sus siglas en inglés).

Este reglamento trata de proteger la privacidad de los ciudadanos europeos y evitar los abusos cometidos por muchas empresas y organizaciones utilizando de forma masiva datos personales. Por ello, el reglamento es aplicable a todas las organizaciones (entenderemos como organización cualquier empresa, asociación, cooperativa, autónomo u organismo, siempre y cuando utilicen datos de personas, aunque sean sus propios empleados) localizadas en la UE o que trabajen con datos de ciudadanos de la UE.

Para cumplir con el reglamento basta, en la mayor parte de los casos, con respetar al público de la organización (vamos a entender público como aquellos clientes, socios, usuarios, colaboradores o empleados de los que la organización maneja datos personales) como se merece, cumplir con las espectativas de la confianza que han depositado en tu organización y establecer transparencia y conductas éticas en todos los comportamientos de tu organización. De este modo no sólo te costará mucho menos esfuerzo cumplir con la legislación sino que también beneficiarás a tu organización.

En todo momento debes plantearte si tu público ha autorizado y conoce el uso que haces de sus datos. Si La respuesta es negativa, tendrás que informarles adecuadamente y recabar su consentimiento explícito para cada uno de los usos que vayas a hacer (por separado). También debes considerar en cada momento si los datos personales son accesibles únicamente a aquellas personas que necesitan utilizarlos o si alguno de tus colaboradores tiene acceso a más datos de los debidos. Un colaborador que tenga acceso a más datos de los debidos puede hacer uso de los mismos para un provecho personal o en beneficio de un competidor de tu organización.

No dudes en ningún momento exigir el mismo nivel de profesionalidad con los proveedores de la organización a los que se les transmitan datos personales mediante contrato y solicitando los resultados de las auditorías correspondientes ya que en el caso de que algún proveedor no cumpla con la normativa, la responsabilidad se transfiere a tu organización también. Este nivel de transparencia no sólo mejora la relación de tu organización con tu público sino que también es indicativo de tu seriedad y profesionalidad. Además de la mejora de imagen de tu organización tendrás como beneficio adicional un nivel de protección que te favorecerá ante tus competidores.

Recuerda que los datos personales que maneja tu organización pertenecen a las personas que los han cedido y por tanto tienen derecho a consultarlos, modificarlos o borrarlos siempre que quieran, para lo que les deberás proporcionar los medios posibles y que no les suponga ningún coste. Sólo en los casos en los que una ley de aplicación superior diga lo contrario podrá tu organización desobedecer lo dictado por la normativa. Pero si todo lo dicho no te sirve como motivación suficiente para que pongas tus esfuerzos en el cuidado de tu público, el reglamento contempla las siguientes multas en caso de su incumplimiento:
  • Infracciones leves: la mayor de las cantidades entre el 2% del volumen de negocio y hasta 10 millones de euros.
  • Infracciones graves: la mayor de las cantidades entre el 4% del volumen de negocio y hasta 20 millones de euros.
Siendo la sanción para los encargados y responsables del tratamiento de los datos. Para determinar la cuantía de la multa se tienen en cuenta aspectos como la naturaleza, continuidad e intencionalidad de la infracción o el tipo de actividad y datos de la organización.

Dentro de los datos personales existe un nivel de datos que requiere una protección adicional a todo lo que ya se ha comentado. Son los datos sensibles o especialmente protegidos y van asociados a todo aquello que hace referencia a ideología, afiliación, religión o sexualidad.

El reglamente obliga a que las organizaciones tengan una persona con conocimientos suficientes para asesorar a la organización ante cualquier duda que pueda surgir al respecto y para que defina las pautas para que se cumpla el reglamento. Esta persona se denomina Delegado de Protección de Datos (DPO por sus siglas en inglés) y en caso de que la organización no pueda designar a alguien de la misma organización para este puesto, se deberá contratar este servicio externalizado.
Autor: Oscar Poyatos
Fecha: 14/12/2018