Ir al contenido

Ley de protección de datos en España y su cumplimiento

ley-proteccion-datos-españa

El Reglamento Europeo de Protección de Datos fue aprobado en 2016 y después de dos años entraron en vigor varios cambios importantes a tener en cuenta por todas las empresas.

Cumplir con la Ley de Protección de Datos en España es algo muy importante para cualquier pyme, tanto a la hora de evitar sanciones, como para mejorar la confianza con tu equipo. Sin embargo, no todas las empresas son conscientes sobre este aspecto de Recursos Humanos.

¿En qué consiste la Ley de Protección de Datos?

El Reglamento Europeo de Protección de Datos se enmarca dentro de la legislación para la protección y control de nuestros datos personales, un derecho fundamental que poseen todas las personas. Así, se evita que nuestros datos personales sean usados para vulnerar nuestra intimidad y otros derechos fundamentales y libertades.

En España la Ley de Protección de Datos lleva activa desde el año 2000, y su nombre completo es Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal. Se fundamenta en el artículo 18 de la constitución española sobre el derecho a la intimidad familiar y personal y el secreto de las comunicaciones.

¿Qué dice la ley de protección de datos en España?

Dentro de los datos personales existen datos y ficheros con distintos niveles de seguridad: bajo, medio y alto, y cada uno de ellos debe ir acompañado de distintas medidas de seguridad. Por ello, la Ley de Protección de Datos en España, obliga a todas aquellas personas, empresas u organismos (públicos o privados) que por sus actividades dispongan de datos y archivos de carácter personal, a cumplir con una serie de requisitos y medidas de seguridad como los que presentamos a continuación:

  • Los datos que se recojan han de ser solo los necesarios para cumplir con el fin con el que van a ser utilizados, nada más
  • Especificar que los datos van a ser recogidos y con qué fin van a usarse. También se debe avisar de que si la persona que los facilita quiere rectificarlos o cancelarlos, tiene el derecho a hacerlo.
  • Facilitar un modo de contacto para que la persona pueda cancelar o rectificar sus datos, además de especificar quién está a cargo de esos datos.
  • La persona que proporciona los datos debe consentir a ello y saber que ese consentimiento puede ser revocado si existe causa justificada.
  • Los datos de medio y alto nivel no deben ser recogidos a menos que sea estrictamente necesario, por lo que información como la ideología, religión o creencias son datos que no deberían pedirse. Cuando así suceda se debe advertir a la persona de que está en su derecho a no dar ese tipo de datos.
  • La persona responsable de los datos y ficheros, igual que cualquier otra persona que interactúe con ellos, está obligada al secreto profesional, que se mantiene incluso al haber finalizado su relación con estos.
  • La única situación aceptable en la que los datos y ficheros recogidos pueden ser compartidos con un tercero es para el cumplimiento de fines directamente relacionados con la persona que los cede y quien va a recogerlos de nuevo. Para ello, primero se debe haber informado a la persona que los cedió primero (y cuyos datos son los que se están cediendo a un tercero) y esta haber consentido.
  • Como hemos comentado la seguridad de los ficheros y datos es fundamental. Deberán tomarse medidas técnicas y organizativas para garantizar en todo momento su seguridad y evitar alteraciones, pérdidas o accesos no autorizados.
  • Al recoger ficheros informáticos, el responsable ha de redactar un documento de seguridad que será el modelo a seguir para todos los que entren en contacto con esa información. Puedes encontrar un ejemplo en la web de la Agencia de Protección de Datos.
  • A su vez el responsable de los ficheros ha de notificar la existencia de estos a la Agencia antes de crearlos y registrar la inscripción del fichero de datos en el Registro General de Protección de datos.

Ley de protección de datos y ciberseguridad

Si alguna vez has leído los términos y condiciones al bajarte una aplicación o al enviar un formulario, todo esto te sonará. Si no, ya conoces muchas de las cosas de las que te han informado y has aceptado sin leer.

Como puedes ver, además, estas obligaciones están estrechamente vinculadas con la ciberseguridad que toda empresa debe aportar a sus archivos y un tema muy actual en al que todos debemos prestar atención. Por otra parte, los departamentos de recursos humanos deben velar por garantizar este derecho, para que los datos de los propios empleados estén seguros y protegidos.

Cambios en la LOPD 2018 y el Reglamento General de protección de datos

A partir de mayo del 2018 las empresas debían aplicar los cambios en su gestión de datos personales, pero aquí resumimos los cambios más importantes que debes tener en cuenta y que que puedes ir gestionando ya.

Ampliación del ámbito territorial: El Reglamento pasará a aplicarse también a empresas y entidades que se encuentren fuera de la Unión Europea cuando estas realicen acciones destinadas a ciudadanos de la UE o consecuencia de la monitorización de su comportamiento. Con esto se mejora sobre todo la protección de los ciudadanos europeos en materia de transacciones por internet cuando estas se efectúen fuera del territorio de la Unión.

Nuevos avisos: El nuevo Reglamento obliga a incluir nuevas advertencias que hasta ahora no lo eran. Por ejemplo: la base legal para el tratamiento de los datos o los períodos de retención de estos. Además, quedará especificada la necesidad de informar de manera fácil y clara a todos los usuarios.

Solo lo necesario: Con el Reglamento en funcionamiento, quedará completamente prohibido recoger más datos de los estrictamente necesarios. Además, se exigirá también un consentimiento libre, informado e inequívoco de la persona que cede sus datos. Invalidando así el acuerdo tácito que existía hasta ahora ante el silencio o la inacción.

Autoridad de Control: Cada estado miembro deberá disponer de este organismo para regular, supervisar y vigilar el tratamiento de datos personales. Cuando una empresa o persona vaya a realizar depende de qué tratamientos, deberá primero consultarlo con la Autoridad de Control para realizar una evaluación de impacto por si esa transacción conlleva algún tipo de riesgo para los derechos y libertades de las personas.

Esta evaluación se llevará a cabo, sobre todo, cuando se den tratamientos a gran escala, o con datos que tengan que ver con datos relativos a las ideas políticas, orientación sexual o salud.

Delegado de Protección de datos: Si en una empresa el tratamiento de datos lo lleva a cabo una autoridad u organismo Las empresas deberán designar un delegado de Protección de Datos (a excepción de los Tribunales en su función judicial), o la actividad principal de la empresa consiste en tratar con una gran escala de datos de alto nivel como categorías de religión, raza o genética, deberán designar un Delegado de Protección de Datos para que supervise el correcto cumplimiento de la normativa de protección de datos.

Registro de Actividades: con el nuevo Reglamento, el registro de las actividades de tratamiento de los datos será obligatorio para personas y empresas.

Derecho al olvido y derecho a la portabilidad

Dentro del nuevo Reglamento Europeo de Protección de Datos quedarán recogido, además, el derecho al olvido y el derecho a la portabilidad.

  • El derecho al olvido, recogido ya por el Tribunal de Justicia de la Unión Europea en 2014, defiende el derecho de las personas a que información obsoleta o no relevante por el transcurso del tiempo sea bloqueada, suprimida o desindexada. Ahora, solicitar que se supriman los datos personales dadas determinadas circunstancias será más fácil.
  • Con el derecho de portabilidad, las personas tendrán derecho a solicitar el envío de sus datos al responsable de tratar con ellos para transmitirlos a otro responsable. La creación de un encargado o delegado de protección de datos, es doblemente importante para las empresas ya que el encargado de recursos humanos o CEO de las empresas tendrá que decidir sobre quién recae esa tarea y asegurarse de que reciben la información y formación necesarias.

Sanciones por no cumplir con la Ley de Protección de Datos en España

El reglamento RGPD contempla multas significativas a las empresas que lo incumplan. Las empresas podrán enfrentarse a multas de hasta 20 millones de euros o del 4% de su facturación anual del año anterior. Las multas podrán venir acompañadas de cualquier medida correctiva que se estime oportuna (como advertencias o reprimendas).

No cumplir con las normativas y obligaciones de las leyes por la protección de datos comporta diferentes sanciones dependiendo de la gravedad de la infracción cometida, que puede ser leve, grave o muy grave. Por lo que si en tu empresa tratáis con datos personales, debes tener todas estas consideraciones y cambios muy en serio.

Como ya hemos comentado, en España el organismo que vela por el cumplimiento de la LOPD es la Agencia de Española de Protección de Datos y es ella también la que establece los grados de infracción y las sanciones.

La información en la que basa sus sentencias son, entre otros: el tiempo que lleva cometiéndose la infracción, el volumen de información tratada de manera fraudulenta, los beneficios obtenidos de las infracciones, el grado de intencionalidad, el daño causado con sus acciones, etc.

Tipo de sanciones en la Ley de Protección de Datos

Se entiende por infracción leve, por ejemplo, no inscribir el fichero de datos en el Registro General de Protección de Datos. Esta infracción puede conllevar una sanción económica de entre 900 euros y 40.000 euros.

Una infracción grave puede ser tratar datos personales sin consentimiento. Esta infracción puede conllevar una multa económica de entre 40.001 euros y 300.000 euros.

Y una infracción muy grave sería recoger datos personales de manera fraudulenta y con engaños y sería sancionada con multas de entre 300.001 euros y 600.000 euros.

Ahora más que nunca, es imprescindible utilizar un programa de recursos humanos que cumpla con la RGPD. Factorial es el único software gratuito que cumplirá a tiempo con la RGPD.

Factorial y la Ley de Protección de Datos

Como has visto la Ley de Protección de datos en España lleva muchos años en activo. Se preocupa de preservar la intimidad de todo, aunque aún y así hay muchas empresas que no la conocen o se exponen a no cumplirla.

En Factorial nos tomamos muy en serio la privacidad de nuestros clientes y por ello estamos siempre atentos a cualquier cambio en la normativa y trabajamos solo con proveedores certificados con los estándares de seguridad más avanzados. Todos los datos referentes a tu empresa y empleados que sean almacenados en Factorial se encriptan en la nube y están protegidos.

Aquí puedes consultar las certificaciones de seguridad de nuestros proveedores. A pie de página, además, encontrarás links al aviso legal y a las condiciones y términos de uso.

Recomendaciones para el cumplimiento del RGPD en tu departamento de RRHH

  • Almacena sólo datos correctos: El nuevo reglamento obliga a las empresas a guardar únicamente datos correctos y actualizados y a corregirlos en caso de que no sean correctos. Usando Factorial puedes dar acceso remoto a cada empleado para que inicie sesión en un portal 100% seguro y mantenga su información actualizada en todo momento. La diferencia con un sistema tradicional es que el responsable de recursos humanos no es la persona que debe investigar y actualizar la información personal de todo el equipo sino que el trabajador puede hacerlo él mismo.
  • Comunica con claridad: Es importante que crees un plan de comunicación interno para que todos los empleados sepan cómo acceder a su información y qué hacer en caso de que haya algún cambio. Parte del nuevo reglamento obliga a las empresas a comunicar con claridad cómo, dónde y durante cuánto tiempo se almacenará la información personal de un trabajador.
  • Gestiona las solicitudes de información del trabajador: Los trabajadores tienen el derecho de consultar toda la información que la empresa almacena sobre ellos y solicitar una copia. La forma más eficiente, transparente y rápida es que el empleado no tenga que solicitar formalmente esta información sino que tenga acceso a ella en un entorno seguro.
  • Refuerza la cultura de la privacidad: En parte, este nuevo reglamento busca que los usuarios se sientan más protegidos frente a las empresas y que puedan hacer uso de su información personal en cualquier momento. Fomentar la cultura de la privacidad de datos es esencial en una empresa. Los responsables de recursos humanos deben entender el riesgo y la responsabilidad que conlleva manejar información de los trabajadores.
  • Usa sólo un programa de RRHH para el cumplimiento del RGPD: Es algo evidente que al tratar con datos personales, el programa de RRHH que utilices debe cumplir con la RGPD. A día de hoy no todos los programas cumplen con la normativa, por lo que si actualmente estás usando uno, debas ponerte en contacto con la empresa que lo desarrolla y ver si realmente cumplen con la RGPD, en caso de que algo suceda con los datos, será tu responsabilidad como persona de RRHH.

Delega tus tareas diarias en un programa de gestión de Recursos Humanos desarrollado a la medida de tus exigencias. ¡Prueba Factorial hoy y siente la diferencia!

 ¡Utiliza Factorial para la gestión documental de tu empresa!

Felipe Valenzuela es Content Specialist para el mercado español en Factorial. Graduado en Comunicación e Industrias Culturales por la Universidad de Barcelona, tiene experiencia creando contenido para diferentes formatos y canales desde 2017.

Publicaciones relacionadas

¿Tienes alguna duda o quieres añadir algo? Compártelo ahora en nuestra Comunidad de RRHH!

Súmate a la comunidad hecha por y para profesionales de Recursos Humanos.