Todas las empresas, independientemente de su tamaño o sector, tratan datos personales: de empleados, clientes, proveedores o colaboradores. Esto significa que todas están obligadas a cumplir con la normativa de protección de datos, que en España se compone del Reglamento General de Protección de Datos (RGPD) de ámbito europeo y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD). El incumplimiento de estas obligaciones puede derivar en sanciones que superan los 300.000 euros, además del daño reputacional que supone para cualquier negocio. En este artículo te explicamos cuáles son las principales obligaciones de la ley de protección de datos en empresas y cómo garantizar el cumplimiento normativo.
Marco normativo: RGPD y LOPDGDD, ¿en qué se diferencian?
El Reglamento General de Protección de Datos (RGPD) entró en aplicación en mayo de 2018 y es la normativa de referencia en toda la Unión Europea para el tratamiento de datos personales. Su objetivo es proteger los derechos de los individuos y facilitar la libre circulación de datos en el mercado único europeo.
La Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), aprobada en diciembre de 2018, complementa y desarrolla las disposiciones del RGPD adaptándolas al contexto español. Por un lado, el RGPD proporciona el marco general europeo y, por otro, la LOPDGDD introduce especificidades que reflejan las particularidades legales y culturales de España.
Principales diferencias entre RGPD y LOPDGDD:
• Edad de consentimiento digital: El RGPD establece un mínimo de 13 años, pero permite a cada estado elevarlo hasta los 16. La LOPDGDD fija la edad en 14 años para el consentimiento del tratamiento de datos personales de menores
• Derechos digitales específicos: La LOPDGDD incluye derechos digitales que no aparecen en el RGPD, como el derecho a la desconexión digital en el ámbito laboral o el derecho a la intimidad frente al uso de dispositivos de videovigilancia en el trabajo
• Régimen sancionador: Aunque las cuantías máximas son las mismas (20 millones de euros o el 4% de la facturación anual), la LOPDGDD adapta el régimen de infracciones a la realidad española clasificándolas en leves, graves y muy graves
• Delegado de Protección de Datos (DPO): La LOPDGDD especifica en su artículo 34 qué tipo de empresas están obligadas a designar un DPO, ampliando los supuestos del RGPD
Ambas normativas se aplican de forma complementaria: el RGPD es directamente aplicable en todos los estados miembros, y la LOPDGDD desarrolla aspectos concretos permitidos por el reglamento europeo.
Principios fundamentales de la protección de datos
Antes de enumerar las obligaciones concretas, es fundamental entender que todo tratamiento de datos debe respetar los siguientes principios establecidos en el artículo 5 del RGPD:
• Licitud, lealtad y transparencia: Los datos deben tratarse de manera lícita (con base legal), leal (sin engañar al interesado) y transparente (informando claramente)
• Limitación de la finalidad: Los datos solo pueden usarse para los fines específicos para los que fueron recogidos
• Minimización de datos: Solo se deben recoger los datos estrictamente necesarios para la finalidad del tratamiento
• Exactitud: Los datos deben ser exactos y mantenerse actualizados
• Limitación del plazo de conservación: Los datos solo pueden conservarse durante el tiempo necesario para la finalidad que justificó su recogida
• Integridad y confidencialidad: Deben aplicarse medidas de seguridad adecuadas para proteger los datos
• Responsabilidad proactiva: La empresa debe poder demostrar que cumple con todos estos principios
Estos principios son la base sobre la que se construyen todas las obligaciones específicas que veremos a continuación.
Principales obligaciones de la ley de protección de datos en empresas
1. Información y transparencia: el deber de informar a los interesados
Una de las obligaciones fundamentales es informar de manera clara y accesible a todas las personas cuyos datos se traten sobre cómo se van a usar esos datos. Esta información debe proporcionarse con carácter previo al tratamiento y estar siempre disponible.
Contenido mínimo de la información que debes proporcionar:
• Identidad y datos de contacto del responsable del tratamiento (tu empresa)
• Datos de contacto del Delegado de Protección de Datos (DPO), si existe
• Finalidad del tratamiento y base jurídica que lo legitima
• Categorías de datos que se van a tratar
• Destinatarios o categorías de destinatarios de los datos (si se van a ceder)
• Información sobre transferencias internacionales de datos (si procede)
• Plazo de conservación de los datos
• Existencia de los derechos ARCO (acceso, rectificación, supresión, limitación, portabilidad y oposición) y cómo ejercerlos
• Derecho a presentar reclamación ante la Agencia Española de Protección de Datos (AEPD)
Esta información se proporciona habitualmente mediante:
• Políticas de privacidad en páginas web
• Cláusulas informativas en formularios de recogida de datos
• Carteles informativos en establecimientos físicos (por ejemplo, en zonas videovigiladas)
• Documentos informativos entregados junto con contratos
2. Consentimiento válido: cuándo y cómo obtenerlo
El consentimiento es una de las bases jurídicas más habituales para el tratamiento de datos personales, aunque no la única. Cuando el tratamiento se base en el consentimiento del interesado, este debe cumplir cuatro requisitos esenciales:
• Libre: No puede estar condicionado ni ser obligatorio para acceder a un servicio salvo que sea estrictamente necesario
• Específico: Debe referirse a finalidades concretas, no genéricas
• Informado: El interesado debe conocer para qué va a dar su consentimiento
• Inequívoco: Debe manifestarse mediante una acción afirmativa clara (marcar una casilla, firmar un documento, hacer clic en un botón)
Importante: Las casillas premarcadas, el silencio o la inacción NO constituyen consentimiento válido.
Además, debes ser capaz de demostrar que obtuviste el consentimiento, por lo que es necesario registrar mediante qué medio se obtuvo (formulario web, documento firmado, grabación de llamada con autorización expresa, etc.).
3. Registro de actividades de tratamiento: la hoja de ruta de tus datos
Todas las empresas deben llevar un registro interno donde documenten todas las actividades de tratamiento de datos personales que realizan. Este documento debe mantenerse actualizado y estar a disposición de la AEPD cuando lo solicite en una inspección.
Contenido del registro de actividades de tratamiento:
• Identificación del responsable del tratamiento y del DPO (si existe)
• Finalidades del tratamiento
• Descripción de las categorías de interesados (clientes, empleados, proveedores, etc.)
• Descripción de las categorías de datos tratados
• Categorías de destinatarios de los datos (empresas o entidades a las que se ceden datos)
• Transferencias internacionales de datos, si procede
• Plazos previstos de conservación de los datos
• Descripción de las medidas técnicas y organizativas de seguridad aplicadas
Este registro debe llevarlo tanto el responsable del tratamiento (tu empresa) como los encargados del tratamiento (empresas a las que cedes datos para que presten servicios).
4. Medidas técnicas y organizativas de seguridad
La ley de protección de datos en empresas exige garantizar la confidencialidad, integridad y disponibilidad de los datos personales mediante la aplicación de medidas de seguridad adecuadas al nivel de riesgo.
Ejemplos de medidas técnicas:
• Cifrado de datos sensibles
• Sistemas de control de acceso (contraseñas robustas, autenticación en dos pasos)
• Copias de seguridad periódicas
• Antivirus y cortafuegos actualizados
• Protocolos seguros de transmisión de datos (HTTPS, VPN)
Ejemplos de medidas organizativas:
• Políticas de seguridad y uso aceptable de sistemas informáticos
• Formación periódica a empleados en protección de datos
• Asignación de roles y permisos según necesidad (principio de mínimo privilegio)
• Procedimientos de respuesta ante incidentes de seguridad
• Cláusulas de confidencialidad en contratos laborales
No existe un listado cerrado de medidas obligatorias: cada empresa debe evaluar los riesgos de sus tratamientos y aplicar las medidas proporcionadas a esos riesgos.
5. Análisis de riesgos y evaluaciones de impacto (EIPD)
Antes de iniciar cualquier tratamiento de datos, las empresas deben realizar un análisis de riesgos para identificar qué amenazas existen y qué impacto podrían tener en los derechos y libertades de los interesados.
Si del análisis de riesgos se determina que existe un riesgo alto, será obligatorio realizar una Evaluación de Impacto en la Protección de Datos (EIPD).
Situaciones que requieren EIPD obligatoriamente:
• Tratamiento de categorías especiales de datos a gran escala (datos de salud, origen racial, orientación sexual, etc.)
• Evaluación sistemática y exhaustiva de aspectos personales mediante tratamiento automatizado (elaboración de perfiles)
• Observación sistemática a gran escala de zonas de acceso público (videovigilancia masiva)
• Tratamientos que utilicen nuevas tecnologías con riesgo alto
La EIPD debe describir el tratamiento, evaluar la necesidad y proporcionalidad, identificar los riesgos para los interesados y establecer las medidas para mitigar esos riesgos.
6. Delegado de Protección de Datos (DPO): ¿cuándo es obligatorio?
El artículo 34 de la LOPDGDD establece que deben designar un Delegado de Protección de Datos:
• Las administraciones y autoridades públicas
• Las entidades cuya actividad principal consista en tratamientos que requieran observación habitual y sistemática de interesados a gran escala
• Las entidades cuya actividad principal consista en el tratamiento a gran escala de categorías especiales de datos (salud, antecedentes penales, etc.)
El resto de empresas pueden designar DPO de forma voluntaria.
Funciones del DPO:
• Informar y asesorar a la empresa sobre sus obligaciones en protección de datos
• Supervisar el cumplimiento del RGPD y la LOPDGDD
• Asesorar sobre las evaluaciones de impacto
• Actuar como punto de contacto con la AEPD
• Atender las consultas de los interesados sobre sus derechos
El DPO puede ser un empleado de la empresa o un profesional externo contratado para esta función.
7. Contratos de encargo del tratamiento
Cuando contratas a otra empresa o profesional que va a acceder a datos personales de tus clientes o empleados para prestarte un servicio (gestoría, asesoría, hosting, plataforma de email marketing, etc.), esa empresa se convierte en encargado del tratamiento.
En estos casos es obligatorio firmar un contrato de encargo del tratamiento que regule:
• El objeto, duración, naturaleza y finalidad del tratamiento
• El tipo de datos personales y categorías de interesados
• Las obligaciones y derechos del responsable (tu empresa)
• Las instrucciones que debe seguir el encargado
• Las medidas de seguridad que debe aplicar
• Qué hacer con los datos al finalizar la prestación del servicio (devolverlos o destruirlos)
• La obligación del encargado de asistir al responsable en caso de ejercicio de derechos o brechas de seguridad
Sin este contrato, la cesión de datos al encargado sería ilícita y podría dar lugar a sanciones.
8. Obligaciones específicas para páginas web
Si tu empresa tiene página web, debes cumplir con obligaciones adicionales derivadas de la ley de protección de datos en empresas y de la Ley de Servicios de la Sociedad de la Información (LSSI):
Textos legales obligatorios:
• Aviso legal: Identifica al titular de la web y proporciona información de contacto
• Política de privacidad: Informa sobre el tratamiento de datos personales recogidos a través de la web
• Política de cookies: Informa sobre el uso de cookies y tecnologías similares, y permite configurar las preferencias
Estos textos deben ser accesibles desde cualquier página de la web mediante enlaces claramente visibles (habitualmente en el pie de página).
Además, antes de instalar cookies no técnicas (analíticas, publicitarias, de redes sociales), debes obtener el consentimiento informado del usuario mediante un banner o capa de cookies.
9. Videovigilancia: obligaciones específicas
Las empresas que instalen cámaras de videovigilancia deben cumplir obligaciones específicas reguladas en el artículo 22 de la LOPDGDD y en la Instrucción 1/2006 de la AEPD:
Obligaciones en videovigilancia:
• Colocar carteles informativos visibles indicando la existencia de zona videovigilada
• Las cámaras no pueden grabar audio (salvo excepciones muy limitadas)
• No pueden instalarse en espacios íntimos (baños, vestuarios)
• No pueden apuntar a la vía pública ni a propiedades ajenas
• Las imágenes solo pueden conservarse durante 30 días como máximo
• Solo puede acceder a las grabaciones el personal autorizado
• Deben aplicarse medidas de seguridad para evitar accesos no autorizados
En el ámbito laboral, la videovigilancia debe respetar además el derecho a la intimidad de los empleados, que deben ser informados expresamente de la existencia de cámaras y su finalidad.
10. Notificación de brechas de seguridad
Cuando se produce un incidente de seguridad que puede comprometer datos personales (ciberataque, pérdida de dispositivo, acceso no autorizado, etc.), la empresa tiene la obligación de:
Notificar a la AEPD en un plazo máximo de 72 horas desde que se detectó el incidente, informando de:
• Naturaleza de la brecha de seguridad
• Categorías y número aproximado de interesados afectados
• Categorías y número aproximado de registros de datos afectados
• Posibles consecuencias de la brecha
• Medidas adoptadas o propuestas para remediar la brecha
Comunicar a los afectados cuando el incidente suponga un riesgo alto para sus derechos y libertades, en cuyo caso deben ser informados sin dilación indebida.
La falta de notificación de una brecha de seguridad es una infracción grave que puede sancionarse con hasta 10 millones de euros o el 2% de la facturación anual.
11. Atender las solicitudes de derechos de los interesados
Los interesados (clientes, empleados, etc.) tienen reconocidos una serie de derechos que pueden ejercer en cualquier momento, y la empresa está obligada a responder:
Derechos ARCO:
• Acceso: Conocer qué datos tuyos trata la empresa y para qué
• Rectificación: Corregir datos inexactos o incompletos
• Supresión: Solicitar la eliminación de datos (derecho al olvido)
• Limitación: Restringir el tratamiento en determinadas circunstancias
• Portabilidad: Recibir los datos en formato estructurado para transmitirlos a otro responsable
• Oposición: Oponerse al tratamiento de datos por motivos particulares
Plazos de respuesta:
• 1 mes desde la recepción de la solicitud (ampliable 2 meses más en casos complejos)
• La respuesta debe darse por el mismo medio que usó el interesado o por el que este indique
Si se deniega el ejercicio del derecho, debe motivarse adecuadamente y informar al interesado de su derecho a reclamar ante la AEPD.
Protección de datos desde el diseño y por defecto
Un concepto transversal a todas las obligaciones anteriores es el principio de protección de datos desde el diseño y por defecto (artículo 25 del RGPD).
Esto significa que antes de implementar cualquier sistema, proceso o servicio que implique tratamiento de datos personales, debes:
Desde el diseño:
• Evaluar qué implicaciones tendrá para los derechos de los interesados
• Diseñar el sistema incorporando las medidas de protección desde el inicio (no añadirlas después)
• Aplicar medidas técnicas y organizativas apropiadas
Por defecto:
• Solo tratar los datos estrictamente necesarios (minimización)
• Limitar el acceso a los datos solo a quienes lo necesiten
• Conservar los datos solo el tiempo imprescindible
• Configurar la privacidad por defecto en el nivel más alto posible
Este principio se materializa cumpliendo las obligaciones que hemos visto: análisis de riesgos previo, evaluaciones de impacto cuando proceda, medidas de seguridad adecuadas, etc.
Sanciones por incumplimiento: cuánto puede costar no cumplir
El régimen sancionador del RGPD y la LOPDGDD es uno de los más duros de la normativa europea. Las sanciones pueden alcanzar:
Infracciones leves:
• Multas de hasta 40.000 euros (empresas) o apercibimiento
Infracciones graves:
• Multas de hasta 300.000 euros (empresas)
Infracciones muy graves:
• Multas de hasta 20 millones de euros o el 4% de la facturación anual global (se aplica la cantidad mayor)
Ejemplos de infracciones muy graves:
• Tratar datos sin base jurídica
• Tratar datos sin informar al interesado
• No atender el ejercicio de derechos de los interesados
• Transferir datos a terceros países sin garantías
• Incumplir órdenes de la AEPD
Además de las multas económicas, el incumplimiento puede derivar en:
• Daño reputacional significativo
• Pérdida de confianza de clientes
• Reclamaciones civiles de los afectados
• Paralización de tratamientos por parte de la AEPD
Conclusión: cumple la ley de protección de datos con asesoramiento profesional
Las obligaciones de la ley de protección de datos en empresas son numerosas, técnicas y están en constante evolución. Desde la entrada en vigor del RGPD en 2018, la Agencia Española de Protección de Datos ha intensificado sus actividades de inspección y el número de sanciones ha aumentado significativamente.
Muchas empresas consideran el cumplimiento de la protección de datos como una carga burocrática, pero en realidad es una oportunidad para:
• Generar confianza en clientes y colaboradores
• Mejorar la seguridad de la información empresarial
• Evitar sanciones millonarias
• Diferenciarse de la competencia mediante transparencia y buenas prácticas
Sin embargo, garantizar el cumplimiento normativo requiere conocimientos especializados y dedicación constante: desde la redacción de políticas de privacidad adaptadas a tu actividad, pasando por la realización de análisis de riesgos, hasta la atención de ejercicios de derechos o la gestión de brechas de seguridad.
En Arrabe somos especialistas en asesoramiento en protección de datos para pymes y autónomos, y te ofrecemos:
• Auditoría inicial de cumplimiento: Analizamos tu situación actual y te indicamos qué obligaciones incumples y cómo solucionarlo
• Elaboración de documentación obligatoria: Redactamos tu registro de actividades de tratamiento, políticas de privacidad, contratos de encargo, procedimientos internos, etc.
• Análisis de riesgos y evaluaciones de impacto: Identificamos los riesgos de tus tratamientos y establecemos las medidas de seguridad adecuadas
• Textos legales para tu web: Creamos políticas de privacidad, avisos legales, políticas de cookies y banners de consentimiento adaptados a tu actividad
• Formación a empleados: Impartimos formación práctica sobre protección de datos para que tu equipo sepa cómo aplicar la normativa en el día a día
• Gestión de ejercicios de derechos: Te ayudamos a responder correctamente las solicitudes de acceso, rectificación, supresión y otros derechos
• DPO externo: Podemos actuar como tu Delegado de Protección de Datos, supervisando el cumplimiento y siendo tu interlocutor con la AEPD
• Asistencia ante inspecciones: Te representamos y defendemos ante requerimientos de la AEPD
¿Tu empresa trata datos personales y no sabes si cumple con todas las obligaciones? ¿Has recibido un requerimiento de la AEPD o una solicitud de ejercicio de derechos? ¿Quieres evitar sanciones y proteger la información de tus clientes y empleados? Contacta con Arrabe y nuestro equipo de expertos en protección de datos te ayudará a cumplir la normativa de forma eficiente y adaptada a tu negocio
