Las empresas disponen de la información de clientes, empleados y proveedores: Todos ellos actores fundamentales de su actividad económica. Sin embargo, tienen, por ley, la obligación de garantizar la protección de datos de todas estas personas. ¿Cómo? A través de medios físicos y digitales que aseguren su privacidad.
¿Cómo llega tu información personal a una empresa?
Tanto si eres una empresa o un particular, esto te interesa. Y es que, cuando navegas por Internet, compartes tus datos. Todo ocurre en el momento en el que accedes a un sitio web y aceptas las cookies de la página. En este caso, estás compartiendo información sobre tus hábitos de navegación; no es de extrañar que después, recibas varios anuncios relacionados con un producto o servicio sobre el que estabas buscando información.
Por otra parte, cuando una persona cumplimenta un formulario (para recibir información, suscribirse a una newsletter, etcétera), también comparte su información. En este sentido, los datos compartidos son de carácter personal, pues ya se incluyen el correo electrónico o el teléfono. Esta información resulta crucial para que las empresas, a su vez, puedan desarrollar su actividad.
En líneas generales, las empresas y negocios con los que compartes tu información, la almacenan y así pueden ofrecerte sus productos y servicios. Pero también resulta esencial para que la empresa mejore su funcionamiento y ponga en marcha campañas o estrategias de marketing. Hasta aquí todo suena muy simple, sin embargo, es obligatorio, para las empresas, garantizar la protección de datos de los usuarios.
Un usuario que se suscribe a tu sitio web, que aporta información y se pone en contacto contigo debe saber que sus datos se están almacenando. Además, también debe saber el propósito, es decir, para qué se va a utilizar esa información. Pero lo más importante es que el usuario otorgue su consentimiento.
¿Es obligatorio garantizar la protección de datos?
Ya sabes cómo llegan los datos de los usuarios a una empresa. Debes tener claro, como negocio (aun siendo autónomo), que esos datos no te pertenecen, sino que, lógicamente, son propiedad de la persona que los cede. Esto no solo se aplica a los clientes de tu negocio, sino que debes garantizar la protección de datos de tus empleados y proveedores.
Tu principal obligación es proteger esta información. ¿Sabías que una mala custodia puede generar la filtración de información? Para evitar estas filtraciones que pueden acarrear consecuencias severas (como veremos más adelante), es necesario conocer la ley. Además, debes disponer de medios físicos y digitales para garantizar la protección de datos.
La obligación de gestionar y custodiar los datos personales la encontramos en la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD GDD). Una norma que está vigente desde el 2018 y que se enmarca en el Reglamento General de Protección de Datos (RGPD), publicado por la Unión Europea.
La ley dice que el titular de la información es quien decide si compartirlos o no. De ser positiva la respuesta, entonces ya es obligación de las empresas y autónomos garantizar la protección de datos y la privacidad de estos. El incumplimiento de esta obligación puede acarrear sanciones económicas (multas) de hasta 4% de la facturación anual del ejercicio fiscal anterior. En los casos más graves, las multas pueden elevarse hasta 20 millones de euros.
¿Cuáles son los datos que deben proteger las empresas?
La norma española hace una clara distinción entre datos básicos y datos especiales, midiendo el impacto que la filtración de esta información tendría sobre el derecho a la intimidad de las personas.
Datos básicos
Dentro de los datos básicos encontramos la información más elemental sobre una persona. Además del nombre y el sexo, se incluye el DNI e incluso, la lengua materna. También se considera información básica el estado civil, el nivel educativo, las características de la vivienda en la que reside la persona, el salario y hasta las subvenciones, en caso de percibirlas. Para más inri, como parte de la información básica encontramos la firma y las imágenes que pueden ser captadas por un sistema de videovigilancia.
Datos especiales
La documentación que, al filtrarse o usarse de forma indebida, pudiera afectar los derechos fundamentales y libertades de una persona, entra en la categoría de «datos especiales». A los datos especiales pertenecen los relativos al origen racial y étnico de las personas, así como la religión, la genética, la orientación sexual y la salud (física y mental). Por último, como parte de la información especial encontramos los datos biométricos (reconocimiento facial y análisis de retina).
¿Cómo garantizar la protección de datos?
La ley obliga a las empresas y autónomos a que adopten y mantengan medidas de seguridad para garantizar la protección de datos. Esto debe hacerse en formato físico y digital. Sin embargo, no obliga a la adopción de medidas específicas, pues no todas las empresas cuentan con el mismo volumen de información. Estas son las acciones que debes poner en marcha para garantizar la protección de datos de tus clientes, empleados y proveedores:
- Si los datos están en soporte físico (papel), solo personas autorizadas deberán manejarlos. Además, es recomendable guardarlos bajo llave y, a ser posible, con un sistema de alarma.
- Cuando la información está digitalizada, entonces es fundamental proteger la información a través de contraseñas de, por lo menos, ocho dígitos y caracteres alfanuméricos. Además, la contraseña debe cambiarse cada tres o seis meses.
- Hacer copias de seguridad. Esto garantiza que la información esté disponible siempre, pero lo más aconsejable es hacer las copias en soporte físico (disco duro) y en la nube.
- Disociación y seudonimización. Una empresa puede utilizar los datos, pero sin revelar la identidad. Es posible utilizar la información personal, pero sin asignarle atributos que identifiquen al titular. Si te has fijado, cuando vas a un hotel, los empleados no se refieren a los huéspedes por sus nombres, sino por su número de habitación. Aunque a priori es algo más fácil, pues no se van a aprender el nombre de todos, también sirve para garantizar la protección de la identidad los huéspedes.
¿Cuándo y cómo puede una empresa utilizar los datos?
Cuando se trata de fines comerciales y que ayuden a crecer al negocio, las empresas pueden utilizar los datos de los usuarios. Sin embargo, deben hacerlo del conocimiento de los clientes y que estos den su consentimiento. Por ejemplo, cuando haces una compra online (de cualquier producto), la empresa, además de pedirte los datos (nombre, dirección, email, correo electrónico, teléfono, forma de pago), te pide que indiques en una casilla si consientes o no que tus datos sean utilizados con fines comerciales.
Por ejemplo, puedes ver una leyenda en la que reza si autorizas que tus datos se almacenen para enviarte información comercial en el futuro. Esto es algo que las empresas deben informar a sus clientes, pues es decisión de ellos ceder o no. Además de esta casilla, también puedes encontrar el consentimiento en la famosa frase «He leído y acepto la política de privacidad».
En cuanto a la privacidad, todas las empresas deben elaborar un extenso apartado en el que se describan los procedimientos a través de los cuales obtiene la información. Además, deberá informar cómo y para qué utilizará esos datos y los derechos de los usuarios.
Por último, no podemos pasar por alto la información aportada por los empleados de una empresa. En este caso, las partes deben firmar un acuerdo de confidencialidad y cesión de datos. Esta situación también ocurre, por ejemplo, si acudes a una consulta privada (psicólogo, fisioterapeuta, etcétera). Todos están obligados a firmar este acuerdo.
Los derechos de los usuarios: ¿Cómo garantizar la protección de datos?
Como empresa, debes saber que además de garantizar la privacidad, también debes tenerla siempre disponible en caso de que el usuario quiera solicitarla. Y es que el usuario tiene el derecho de reclamar la rectificación de información, en caso de que contenga errores, pero también puede pedir que se retiren sus datos (derecho de desistimiento).
En este sentido, hay ciertos datos que la empresa no puede borrar. Por ejemplo, las nóminas de un empleado o recibos de pagos. ¿Por qué? Porque es posible que, en un futuro, las entidades públicas soliciten a la empresa esta documentación. Esto rara vez ocurre, la gran mayoría de usuarios lo que solicitan es que se borren sus datos con propósitos comerciales para evitar, sobre todo, las molestas llamadas telefónicas.
Desde Gestoría en Valladolid brindamos asesoramiento integral para garantizar la protección de datos personales. Nos comprometemos a asistir a nuestros clientes en la minimización de los datos, empleando la menor cantidad posible de información personal. ¡Acércate a nosotros y pide información!