Datos personales: nuevos retos para pequeñas empresas

• La preocupación por el qué pasa con nuestros datos ha llegado a Europa en forma de Reglamento, Reglamento que va a hacer más complicada la vida de autónomos y “pequeños empresarios”. 

Ante un deseo de control de nuestros datos personales, el Reglamento europeo viene a imponer unas  estrictas reglas del juego, unas obligaciones y responsabilidades desorbitadas sin realmente tener en cuenta los retos que representan para las pequeñas empresas. Por mucha simplificación que quiera venderse, existe la obligación de elaborar abundante documentación y, lo peor, se exige o bien que autónomos y empresarios de micro y pequeñas empresas contraten a un profesional o bien que se conviertan en entendidos del derecho, de la informática y de la ciberseguridad, y ello a los efectos de poder demostrar que cumplen con todas las obligaciones dimanantes del Reglamento.Está claro que la nueva normativa trae consigo nuevos retos para autónomos y pequeñas empresas, otro obstáculo más a superar por los bien calificados como superhéroes.

*******

El Reglamento General de Protección de Datos va a suponer nuevos retos para autónomos y empresarios de micro y pequeñas empresas que tratan datos de carácter personal.

Como ya sabemos, el Reglamento europeo de protección de datos personales entró en vigor el 25 de mayo de 2016 y, para darnos un tiempo de asimilación, no será de aplicación hasta el 25 de mayo de 2018. Pero el tiempo pasa, ya queda poco más de un año para que los responsables de los tratamientos a los que resulte de aplicación la norma (lo que incluye a todos los empresarios que desde España lleven a cabo una actividad profesional o comercial y que, en su ejercicio, traten datos personales) tengan “los deberes hechos”.

¿Son realmente conscientes, autónomos y empresarios de micro y pequeñas empresas que tratan datos personales, del mayor número de obligaciones y responsabilidades que esta norma les va a suponer? Creo que la respuesta generalizada a esta pregunta es que no y que, en la mayor parte de los supuestos, se enterarán de lo que se les viene encima porque se lo diga su gestor, asesor o abogado.

El autónomo y empresario de la micro o pequeña empresa se va a ver despojado de ese manual o guía que constituyen la vigente LOPD y su reglamento de desarrollo, donde se explica lo que se tiene que decir o hacer en cada caso, para pasar a ser él quien decida el modo de cumplir, de garantizar el cumplimiento y de poder demostrar que ha cumplido. El “pequeño empresario” va a dejar de ser pequeño y se va a convertir en mayor de edad, lo que, sin lugar a dudas, le va a suponer nuevos retos.

No es mi objetivo describir las obligaciones que impone la normativa vigente y las que resultan del Reglamento europeo, pero, a los efectos de lo que me interesa, que es poner de relieve las dificultades, los retos a los que se enfrentan los autónomos y empresarios de pequeñas empresas, sí que quisiera poner de relieve, de forma esquemática, algunos cambios.

Se elimina la obligatoriedad de inscribir los ficheros y de elaborar el documento de seguridad, pero, a cambio, entre otras cuestiones:

• Se amplía la información a suministrar a los interesados (la cual, además, tiene que ser concisa, fácilmente accesible y fácil de entender, utilizando un lenguaje claro y sencillo), así como la que ha de constar en el contrato con el encargado del tratamiento.

• El consentimiento deja de ser la regla general para convertirse en un supuesto más de legitimación, desapareciendo, asimismo, la posibilidad de que el consentimiento sea tácito, lo que va a dar lugar a la revisión de los consentimientos de los que se dispone para verificar si se adecuan o no al Reglamento y, en su caso, actuar en consecuencia.

• Se elimina el listado de medidas de seguridad a aplicar en función del tipo de datos y de tratamiento, pasando a ser el empresario, y, en su caso, el encargado del tratamiento, quien tiene que decidir qué medidas técnicas y organizativas son las más apropiadas para garantizar un nivel de seguridad adecuado al riesgo que presente el tratamiento de que se trate.

• Se añade la obligación de notificar a la autoridad de control y de comunicar a los interesados las violaciones de seguridad, en los términos previstos en el Reglamento.

• Se incorpora la obligatoriedad de elaborar una evaluación de impacto cuando se prevea que el tratamiento puede comportar un alto riesgo, lo que, a su vez, requiere un esfuerzo previo de análisis para llegar a esa presunción.

• Se adiciona la obligación de elaborar un registro de actividades, aunque esta obligación sólo será aplicable a autónomos y empresarios de micro y pequeñas empresas si el tratamiento que lleven a cabo puede entrañar un riesgo para los derechos y libertades de los interesados, no es ocasional, o incluye categorías especiales de datos personales, o datos personales relativos a condenas e infracciones penales.

• Se añade la obligación de designar un delegado de protección de datos (DPO) siempre que la actividad principal consista: a) en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala; o b) en el tratamiento a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales.

• Aparecen nuevos principios que, a su vez, se traducen en nuevas obligaciones, de entre los cuales destacan los principios de la protección de datos desde el diseño y por defecto, que han de tenerse siempre presentes.

• Se impone al empresario una responsabilidad proactiva (lo que algunos llaman accountability), que implica que no únicamente tiene que cumplir con las obligaciones resultantes de la nueva normativa, sino que, además, tiene que poder demostrarlo; esto incluye que el empresario ha de estar en condiciones de demostrar que el encargado del tratamiento que ha escogido (si lo ha nombrado) ofrece garantías suficientes para aplicar medidas técnicas y organizativas apropiadas.

Para finalizar, quisiera hacer referencia a la eliminación de la graduación y concreción de las faltas y sanciones, para pasar a un régimen abierto en el cuál la autoridad de control decidirá la sanción aplicable en cada caso, sanción que puede llegar hasta los 20.000.000 de euros (o, tratándose de una empresa, el importe equivalente al 4% del volumen de negocio total anual global del ejercicio financiero anterior, si éste es de mayor cuantía) y que, en cualquier caso, será disuasoria.

Con este cambio de paradigma, autónomos y empresarios de micro y pequeñas empresas van a verse especialmente afectados porque:

• Van a tener que revisar todos los consentimientos de los que dispongan y, si no se ajustan a las especificaciones del Reglamento o el tratamiento no se puede fundamentar en otra causa legítima, van a tener que volverlos a solicitar.

• Si han designado a una persona que tenga la condición de encargado de tratamiento, tendrán que cerciorarse de que ofrece garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas y, en su caso, deberán de adecuar el contrato.

• Si carecen de los conocimientos suficientes y no quieren verse expuestos a una sanción que pueda poner en peligro la pervivencia de su negocio, van a tener que contratar los servicios de un profesional que les asesore acerca del cumplimiento de la normativa sobre protección de datos y que les ayude en la definición y/o elaboración de los documentos requeridos.

• Si tienen la obligación de disponer de un delegado de protección de datos, tendrán que contratar a otra persona o asignar este cargo a algún trabajador de la empresa, teniendo en cuenta lo dispuesto en el Reglamento en cuanto a cualidades y conflicto de intereses.

Por tanto, cumplir con el Reglamento General de Protección de Datos va a suponer nuevos retos a autónomos y empresarios de micro y pequeñas empresas que traten datos personales, un esfuerzo extra del que no van a poder escapar si no quieren verse expuestos a una sanción que podría poner en peligro el futuro de su negocio.

Laura Melgar Martínez

Abogada, Técnico Superior en Administración y Finanzas y Perito Informático

Fundadora de Digital Crime Abogados

Twitter: @LauraM_Abogada

Linkedin