¿Cómo hacer la Protección de Datos en una empresa?

3 abril, 2018

Asesores Protección de datos en una empresa: Nuevo artículo de OYA Abogados & Asesores

¿Estás ultimando la actualización de los procedimientos de Protección de Datos en una empresa? Recuerda que el próximo 25 de mayo será de obligado cumplimiento la nueva normativa europea en esta materia, el Reglamento General de Protección de Datos (RGPD). Por eso, hoy os explicamos qué se debe hacer para implantar estas nuevas obligaciones en tu negocio.


Lo primero que debes saber es que si ya tienes implementada la Protección de Datos en tu negocio siguiendo las indicaciones de la normativa actual, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), ya tienes buena parte del trabajo hecho. No obstante, el nuevo Reglamento implica una serie de cambios que deberás tener en cuenta. En nuestro artículo sobre Cambios en la normativa de Protección de Datos te damos las claves.

En OYA Abogados & Asesores disponemos de un equipo de asesores especializados en Protección de Datos por lo que hoy os queremos dar algunos consejos para implementar esta nueva normativa en tu negocio.

Pasos para implementar el Reglamento General de Protección de Datos en tu empresa

Según señala la propia Agencia Española de Protección de Datos, autoridad en nuestro país encargada de velar por el cumplimiento de esta normativa, las tareas para adaptar cada negocio al RGPD son:

Designar a un Delegado de Protección de Datos o Data Protection Officer (DPO): 

El DPO es una figura independiente que deberá ejercer una función preventiva y proactiva, supervisando, coordinando y divulgando la política de protección de datos que siga la empresa. Lo deberá hacer tanto en el de la misma como desde dentro hacia el exterior. El DPO es un punto de conexión entre el responsable del fichero o tratamiento, el afectado y la autoridad de control.

No obstante, debes saber que esta figura solo será obligatoria en los siguientes casos:

1. Cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.

2. Cuando las actividades principales del responsable/encargado del tratamiento consistan en tratamientos que, por naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.

3. Cuando las actividades principales del responsable o del encargado del tratamiento consistan en el tratamiento a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales.

En el resto de casos, esta figura podrá ser aconsejable, pero nunca obligatoria.

Registro de actividades de tratamiento: 

Uno de los cambios que implica el RGPD es llevar un registro de las actividades en las que se tratan los datos de carácter personal de clientes, personal, proveedores, etc. Si actualmente tienes actualizados los ficheros que tienes registrados en la Agencia Española de Protección de Datos, este paso lo tienes casi identificado, ya que en el propio resumen que la Agencia te facilita cuando registras por ejemplo un fichero de Clientes, tienes ya señalados muchos de los puntos que el RGPD te solicita.

En la actual LOPD se establece como primera obligación del empresario la inscripción de ficheros en la que debe indicarse:

  • Identificación del Responsable.
  • Tipos de datos que se recogen.
  • Finalidad de esta recogida de datos.
  • Categorías de interesados.
  • Nivel de seguridad que corresponde (Básico, Medio o Alto; dependiendo de la tipología de los datos que se traten).
  • Si el fichero es manual, mixto o automatizado.
  • Si estos datos van a ser cedidos o transferidos fuera del Espacio Económico Europeo.

En cambio, con el nuevo Reglamento Europeo, además de estos puntos, es necesario especificar en ese registro los siguientes puntos:

Si ese registro se realiza por el Responsable del fichero debe contener:

  • Identificación y datos de contacto además del responsable, del corresponsable, representante y delegado de protección de datos, en los casos en los que los hubiera.
  • Descripción de las medidas de seguridad implantadas en la empresa para prevenir posibles brechas de seguridad.
  • Plazos previstos para la supresión de datos.

Todos los negocios deberán tener al menos, la primera parte, es decir, las obligaciones establecidas en la LOPD, mientras que los puntos señalados en el RGPD solo serán obligatorios en los siguientes casos:

1. Las empresas u organizaciones que tengan más de 250 empleados.

2. Cuando se realicen tratamientos que puedan entrañar un riesgo para los derechos y libertades de los interesados, no sean ocasionales, o incluyan categorías especiales de datos personales.

3. Cuando se realice un tratamiento de datos personales relativos a condenas e infracciones penales.

Actualizar las cláusulas informativas para la recogida de datos: 

En nuevo RGPD establece como requisito para la recogida de los datos de carácter personal una clara acción afirmativa por parte del interesado, esto quiere decir que ya no será válido el consentimiento tácito sino que deberá ser explícito. El interesado deberá darnos su consentimiento para el uso y tratamiento de sus datos con la finalidad que le señalemos.

Asimismo, para poder realizar cualquier tipo de tratamiento será necesario basarse en una base jurídica, como por ejemplo, una relación contractual.

Documentación interna:

En la LOPD se establece la documentación interna que las empresas deben tener a la hora de implementar la Protección de Datos, era lo que se conoce como el Documento de Seguridad. Este documento ha dado paso a otro distinto: la Política de Protección de Datos de la empresa.

En este documento, se deberán incluir dos apartados bien definidos:

  • Política General de Protección de Datos
  • Política de Seguridad de la Información

En estos documentos la entidad deberá indicar las normas, procedimientos y las acciones a realizar para cumplir con las obligaciones que marca la normativa y que variarán en cada caso en función del volumen y tipo de datos que manejen.

Realizar un Análisis de riesgo: 

Un Análisis de riesgo en materia de Protección de Datos es una herramienta que va a permitir antes de poner en marcha un servicio o producto, cumplir con la normativa de protección de datos y privacidad, así como identificar los problemas, reducir el coste de la implementación del cumplimiento de la normativa de protección de datos, y prevenir problemas futuros que puedan dañar la reputación de la empresa o Administración pública.

Contratos con los encargados de tratamiento: 

Todos aquellos proveedores con los que trabajes, ya sean empresas o profesionales autónomos y que puedan acceder o accedan de forma habitual a los datos de tu negocio (clientes, trabajadores, etc.) son los denominados Encargados de Tratamiento. Con estos encargados será necesario firmar un contrato en el que se establezcan las obligaciones que marca el nuevo RGPD.

A diferencia de la actual LOPD, el RGPD establece también una serie de obligaciones de protección y confidencialidad de los datos a los encargados de tratamiento.

Actualizar los textos legales de la web: 

Si tienes una página web de tu negocio debes saber que es necesario tener incluidos los textos legales señalados en la normativa de Protección de Datos y en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

Estos textos son el Aviso legal, la Política de Privacidad y el Aviso de uso de cookies.

Uno de los errores más frecuentes es copiar y pegar estos textos de otras páginas cambiando algunos datos y ya está. Haciendo esto no se cumple con la normativa, ya que es necesario tener implementadas en la empresa las especificaciones que en esos textos se explican.

Hacer un seguimiento actualizado de las medidas técnicas y organizativas: 

Otra de los cambios que establece el nuevo Reglamento es el principio de accountability, es decir, de responsabilidad proactiva. Esto quiere decir que las empresas deben desarrollar una serie de medidas y de procedimientos de control con los que se aseguren de que cumplen con las obligaciones de la normativa y que se minimicen así los posibles riesgos que implique el tratamiento de los datos.


¿Tienes dudas de cómo implementar todos estos cambios en tu negocio? Ponte en contacto con nuestro equipo y te ayudaremos a cumplir con el nuevo RGPD para evitar así posibles sanciones y que puedas ofrecer tanto a tus clientes como a tus trabajadores mayores garantías de confidencialidad y de privacidad de sus datos. Llámanos al 958 094 400 o visítanos en nuestras oficinas de Camino de Ronda 133.

También puede interesarte: 

¿Quién debe cumplir con la Protección de Datos?

Consentimiento de Protección de Datos

¿Qué hacer si te incluyen en un fichero de morosos?

La responsabilidad de los administradores societarios

¿Pueden denunciarme por crear un grupo de Whatsapp?

Conoce nuestra financiación sin intereses

Volver a Noticias