Cuando hablamos de cumplimiento de Protección de Datos nos referimos a la Protección de los Datos personales, pero realmente sabemos ¿qué datos se incluyen en dicho tratamiento?, ¿qué empresas están obligadas a tener un registro de tratamiento de datos? Y cómo debemos de proceder para cumplir con esta normativa?.
Es cierto que la normativa de Protección de Datos no es una normativa nueva, no es algo desconocido para las empresas pero creo que sí es algo que en el fondo desconocemos y que pensamos que sólo es para las empresas que tratan datos de salud o para empresas que tienen un gran volumen, tanto a nivel de trabajadores como a nivel de facturación y de clientes y proveedores.
En este artículo voy a intentar explicar qué es un dato personal, qué datos podemos manejar dentro de una empresa, independientemente de su sector o tamaño, y cómo debemos de proteger esos datos y cómo debemos de responder al Principio de Responsabilidad Proactiva.
¿Qué es un Dato Personal?
Cuando hablamos de Datos Personales nos referimos a cualquier dato con el que podamos identificar a un sujeto:
· Un Nombre
· Un teléfono
· Una dirección
· Un número de Cuenta
· Un Correo Electrónico
· Una imagen
· Una grabación de voz
· Firma electrónica
· La huella dactilar
No tiene por qué ser un “dato sensible”, la Protección de Datos no sólo hace alusión a datos sensibles o íntimos, sino que, como indico más arriba, hace alusión a cualquier dato con el que podamos ser identificados.
¿Qué empresas tienen tratamientos de datos personales?
Prácticamente todas las empresas que tienen una actividad continua tratan datos personales, evidentemente este registro de datos personales irá acorde a la actividad de la empresa porque podremos encontrarnos con empresas que gestionarán datos de:
- Clientes
- Proveedores
- Personal
- Potenciales Clientes
- Registro de la Jornada
- Selección de Personal
- Videovigilancia
E incluso empresas que tendrán un tratamiento más específico por su actividad
- Expedientes Jurídicos
- Libro recetario oficial y receta electrónica
- Gestión de prevención del blanqueo de capitales
- Gestión de historial clínico…
Si nos centramos en el primer grupo, prácticamente todas las empresas tienen ese tratamiento de datos porque cuentan con clientes y proveedores a quienes facturan o de quienes reciben facturas, con quienes se intercambian correos, de quienes ceden datos a terceras personas…..
Si seguimos en ese primer grupo y tenemos personal dentro de nuestra empresa, sabemos realmente qué debemos de hacer?. En este sentido la Protección de Datos no sólo protege a nuestro personal sino que también nos protege a las empresas de cara a la confidencialidad por parte de nuestros trabajadores.
Viéndolo de esta manera quizás sí somos conscientes de que pertenecemos a ese grupo de empresas que están obligadas a cumplir con la Protección de Datos y por desconocimiento no estamos haciéndolo correctamente.
¿Cómo Debemos Proteger esos datos?
Para proteger los datos personales que tratamos en nuestra empresa lo primero que tenemos que hacer es un análisis de todos los datos que vamos a tratar internamente y saber si vamos a gestionar datos propios o también datos de terceros porque en este caso no sólo actuaríamos como responsables sino que también actuaríamos como encargados de tratamiento de datos de terceros.
Una vez que sabemos qué datos trataremos tendremos que hacer su correspondiente Registro. Os comparto un artículo que publiqué sobre el Registro de Actividades de Tratamiento de Datos para que sepáis en qué consiste: https://www.altabir.es/registro-actividades-tratamiento-datos/
Una vez que tengamos todo registrado procederemos a incorporar las cláusulas correspondientes, a generar los contratos, poner los carteles en sitios visibles, formar a nuestro personal, designar un responsable dentro de la empresa… es decir a preparar toda la documentación con al que podamos demostrar que tenemos implantada la protección de datos y que, por supuesto, cumplimos con lo que dicta la normativa, es decir, cumplimos con el Principio de Responsabilidad Proactiva.
Una implantación de Protección de datos completa nunca podrá ser un copia/pega y constará de varios anexos, como por ejemplo:
- DOCUMENTO DE CUMPLIMIENTO DE LA LOPD
- REGISTRO DE ACTIVIDADES DE TRATAMIENTO
- ANÁLISIS DE RIESGOS
- MEDIDAS DE SEGURIDAD
- DOCUMENTO DE FUNCIONES Y OBLIGACIONES DEL PERSONAL
- PERFILES DE USUARIO
- COMPROMISOS DE CONFIDENCIALIDAD
- CONTRATOS CON RESPONSABLES Y ENCARGADOS….
Una implantación de la Protección de datos es algo vivo que tiene que estar en constante revisión y actualizada y no se trata de un archivador que dejamos en una estantería o de unas clausulas que añadimos a determinados documentos y con esa gestión ya estamos en regla.
NO OLVIDEMOS QUE SOMOS LOS ÚNICOS RESPONSABLES DEL CUMPLIMIENTO DE LA PROTECCIÓN DE DATOS EN NUESTRAS EMPRESAS Y DE NOSOTROS DEPENDE QUE LO TENGAMOS CORRECTAMENTE Y, LO MÁS IMPORTANTE Y PRINCIPAL, EL DESCONOCIMIENTO NO NOS EXIME DE CULPABILIDAD.
ESTAMOS A VUESTRA DISPOSICIÓN PARA RESOLVER CUALQUIER DUDA
Quizás te puede interesar:
https://www.altabir.es/datos-personales-proteccion-de-datos/
https://www.altabir.es/el-deber-de-informar-lopd/
Artículo publicado por Elisa Campoy Soler
Consultora Experta y Delegada de Protección de Datos en Grupo Altabir