El Reglamento General de Protección de Datos (“RGPD”) que entrará en vigor el 25 de mayo de 2018, tendrá un fuerte impacto en organizaciones públicas y empresas, pero también en autónomos que manejen datos de carácter personal.
Por ello, consideramos que quienes trabajan por cuenta propia deberán revisar esta guía con las novedades que trae la normativa reciente sobre protección de datos, especialmente en cuanto a requisitos y acciones que deben tomar.
¿Qué novedades trae el RGPD?
Toda persona que trabaja con datos personales probablemente ya conozca (o debería conocer) al Reglamento General de Protección de Datos, aprobado en 2016 por el Parlamento y el Consejo Europeo. Se trata de una norma creada con el objetivo de unificar las regulaciones sobre protección de datos personales en todos los países de la UE.
El RGPD ha introducido novedades y modificaciones de suma importancia. Ejemplo de ello son los principios de responsabilidad, desde el diseño y por defecto y transparencia. También la creación de la figura del delegado de protección de datos, el aumento de las sanciones y, por encima de todo, el reconocimiento de nuevos derechos para los usuarios (derecho de acceso, derecho al olvido, portabilidad, consentimiento inequívoco, entre otros).
¿Cómo afecta a los autónomos la protección de datos?
Ahora bien, ¿qué importancia tiene el Reglamento General para las personas que trabajan en carácter de autónomos? ¿Qué requisitos trae y que acciones deben adoptar para el total cumplimiento de la norma?
Debemos partir con una máxima: los autónomos que trabajen con datos personales están alcanzados por el nuevo Reglamento General y deberán hacer las modificaciones necesarias para cumplir con él.
¿Qué aspectos deben analizar los autónomos?
Por las razones anteriormente citadas, es recomendable analizar determinados aspectos de esta figura.
1. Los principios
Deberán cumplir con los siguientes tres principios fundamentales:
– Responsabilidad proactiva: deberán adoptar una conducta diligente y proactiva en lo que respecta a la recepción y posterior tratamiento de datos personales. En todo momento deben ser capaces de demostrar que cumplen con los requisitos que establecen las normas.
– Protección de datos por defecto y desde el diseño: las medidas que se deban adoptar en relación con la protección de datos de carácter personal deberán existir desde el momento mismo en que el autónomo inicia su actividad o desde cuando inicia la actividad relacionada con datos personales.
Y limitándose a los datos estrictamente necesarios para ver cumplida esa finalidad.
– Transparencia: toda la información que el autónomo brinde sobre el tratamiento de datos personales (por ejemplo, políticas sobre privacidad publicadas en la web) deberán ser comprensibles para cualquier usuario.
2. La seguridad
Nadie está exento de hackers y ciberataques: ni las pequeñas empresas, ni quienes tienen su propio negocio. Al contrario, por ser normalmente más vulnerables pueden ser un blanco predilecto.
Respecto de este punto, el Reglamento General establece que ante una violación de la seguridad, el responsable del tratamiento de datos debe actuar rápidamente, dando reporte dentro de las 72 horas de producido el hecho a la autoridad de control (en España, la Agencia Española de Protección de Datos).
El reporte deberá incluir: (i) naturaleza y cantidad de los datos fugados, (ii) el nombre del responsable del tratamiento de datos, (iii) las posibles consecuencias de la violación a los datos personales y (iv) las medidas que se han adoptado.
3. El consentimiento inequívoco
Ya hemos adelantado que se incorpora este derecho a favor de los usuarios. Ello quiere decir que en el momento en que dan su autorización para el tratamiento de datos personales (por el medio que sea), los usuarios deberán ser plenamente conscientes y bien informados sobre lo que ello implica.
Se requiere entonces una autorización expresa, no pudiendo haber consentimiento tácito. El RGPD exige una manifestación de voluntad inequívoca o una acción positiva que lo abale. Quien tenga en su página web la política de datos personales con la casilla “premarcada”, deberá eliminar esta forma de aceptación.
4. El Delegado de Protección de Datos
El RGPD ha creado la figura del Delegado de Protección de Datos. Se trata de una persona con amplio conocimiento y experiencia en materia de protección de datos personales, que debe ser designado por aquellos particulares que cumplan los requisitos establecidos en la norma, entre otros, traten datos personales a gran escala.
¿Deben designar un delegado las personas que trabajan por su cuenta? En la mayoría de los casos, no. Su designación es obligatoria para organismos públicos y, como dijimos, en empresas que manejen un gran caudal de datos personales, entre otras. Con carácter general, autónomo encuadra en estas circunstancias, deberá designar uno.
Una opción posible es que, para contar con asesoramiento y monitoreo sobre el cumplimiento de las normas, diferentes profesionales independientes se agrupen y designen a un delegado para sus actividades.
¿Qué aporta una consultoría de protección de datos?
La nueva normativa sobre datos personales aporta mayor seguridad, derechos y la posibilidad de adaptarse a los avances de las nuevas tecnologías.
Sin embargo, muchos autónomos no cuentan con una estructura que les permita adaptarse totalmente y de inmediato a los numerosos requerimientos. Por ello, una buena posibilidad para evitar incumplimientos y sanciones es requerir el asesoramiento de una consultoría de protección de datos con experiencia y conocimiento actualizado sobre esta materia.
