Ir al contenido

Ley de protección de datos en España y su cumplimiento

ley-proteccion-datos-españa

El Reglamento Europeo de Protección de Datos fue aprobado en 2016 y después de dos años entraron en vigor varios cambios importantes a tener en cuenta por todas las empresas.

Cumplir con la Ley de Protección de Datos en España es algo muy importante para cualquier pyme, tanto a la hora de evitar sanciones, como para mejorar la confianza con tu equipo. Sin embargo, no todas las empresas son conscientes sobre este aspecto de Recursos Humanos.

¿En qué consiste la Ley de Protección de Datos?

El Reglamento Europeo de Protección de Datos se enmarca dentro de la legislación para la protección y control de nuestros datos personales, un derecho fundamental que poseen todas las personas. Así, se evita que nuestros datos personales sean usados para vulnerar nuestra intimidad y otros derechos fundamentales y libertades.

En España la Ley de Protección de Datos lleva activa desde el año 2000, y su nombre completo es Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal. Se fundamenta en el artículo 18 de la constitución española sobre el derecho a la intimidad familiar y personal y el secreto de las comunicaciones.

Banner Software RRHH Factorial Time tracking

¿Qué dice la ley de protección de datos en España?

Dentro de los datos personales existen datos y ficheros con distintos niveles de seguridad: bajo, medio y alto, y cada uno de ellos debe ir acompañado de distintas medidas de seguridad. Por ello, la Ley de Protección de Datos en España, obliga a todas aquellas personas, empresas u organismos (públicos o privados) que por sus actividades dispongan de datos y archivos de carácter personal, a cumplir con una serie de requisitos y medidas de seguridad como los que presentamos a continuación:

  • Los datos que se recojan han de ser solo los necesarios para cumplir con el fin con el que van a ser utilizados, nada más
  • Especificar que los datos van a ser recogidos y con qué fin van a usarse. También se debe avisar de que si la persona que los facilita quiere rectificarlos o cancelarlos, tiene el derecho a hacerlo.
  • Facilitar un modo de contacto para que la persona pueda cancelar o rectificar sus datos, además de especificar quién está a cargo de esos datos.
  • La persona que proporciona los datos debe consentir a ello y saber que ese consentimiento puede ser revocado si existe causa justificada.
  • Los datos de medio y alto nivel no deben ser recogidos a menos que sea estrictamente necesario, por lo que información como la ideología, religión o creencias son datos que no deberían pedirse. Cuando así suceda se debe advertir a la persona de que está en su derecho a no dar ese tipo de datos.
  • La persona responsable de los datos y ficheros, igual que cualquier otra persona que interactúe con ellos, está obligada al secreto profesional, que se mantiene incluso al haber finalizado su relación con estos.
  • La única situación aceptable en la que los datos y ficheros recogidos pueden ser compartidos con un tercero es para el cumplimiento de fines directamente relacionados con la persona que los cede y quien va a recogerlos de nuevo. Para ello, primero se debe haber informado a la persona que los cedió primero (y cuyos datos son los que se están cediendo a un tercero) y esta haber consentido.
  • Como hemos comentado la seguridad de los ficheros y datos es fundamental. Deberán tomarse medidas técnicas y organizativas para garantizar en todo momento su seguridad y evitar alteraciones, pérdidas o accesos no autorizados.
  • Al recoger ficheros informáticos, el responsable ha de redactar un documento de seguridad que será el modelo a seguir para todos los que entren en contacto con esa información. Puedes encontrar un ejemplo en la web de la Agencia de Protección de Datos.
  • A su vez el responsable de los ficheros ha de notificar la existencia de estos a la Agencia antes de crearlos y registrar la inscripción del fichero de datos en el Registro General de Protección de datos.

Ley de protección de datos y ciberseguridad

Si alguna vez has leído los términos y condiciones al bajarte una aplicación o al enviar un formulario, todo esto te sonará. Si no, ya conoces muchas de las cosas de las que te han informado y has aceptado sin leer.

Como puedes ver, además, estas obligaciones están estrechamente vinculadas con la ciberseguridad que toda empresa debe aportar a sus archivos y un tema muy actual en al que todos debemos prestar atención. Por otra parte, los departamentos de recursos humanos deben velar por garantizar este derecho, para que los datos de los propios empleados estén seguros y protegidos.

Guia Teletrabajo

Cambios en la LOPD 2018 y el Reglamento General de protección de datos

A partir de mayo del 2018 las empresas debían aplicar los cambios en su gestión de datos personales, pero aquí resumimos los cambios más importantes que debes tener en cuenta y que que puedes ir gestionando ya.

Ampliación del ámbito territorial: El Reglamento pasará a aplicarse también a empresas y entidades que se encuentren fuera de la Unión Europea cuando estas realicen acciones destinadas a ciudadanos de la UE o consecuencia de la monitorización de su comportamiento. Con esto se mejora sobre todo la protección de los ciudadanos europeos en materia de transacciones por internet cuando estas se efectúen fuera del territorio de la Unión.

Nuevos avisos: El nuevo Reglamento obliga a incluir nuevas advertencias que hasta ahora no lo eran. Por ejemplo: la base legal para el tratamiento de los datos o los períodos de retención de estos. Además, quedará especificada la necesidad de informar de manera fácil y clara a todos los usuarios.

Solo lo necesario: Con el Reglamento en funcionamiento, quedará completamente prohibido recoger más datos de los estrictamente necesarios. Además, se exigirá también un consentimiento libre, informado e inequívoco de la persona que cede sus datos. Invalidando así el acuerdo tácito que existía hasta ahora ante el silencio o la inacción.

Autoridad de Control: Cada estado miembro deberá disponer de este organismo para regular, supervisar y vigilar el tratamiento de datos personales. Cuando una empresa o persona vaya a realizar depende de qué tratamientos, deberá primero consultarlo con la Autoridad de Control para realizar una evaluación de impacto por si esa transacción conlleva algún tipo de riesgo para los derechos y libertades de las personas.

Esta evaluación se llevará a cabo, sobre todo, cuando se den tratamientos a gran escala, o con datos que tengan que ver con datos relativos a las ideas políticas, orientación sexual o salud.

Delegado de Protección de datos: Si en una empresa el tratamiento de datos lo lleva a cabo una autoridad u organismo Las empresas deberán designar un delegado de Protección de Datos (a excepción de los Tribunales en su función judicial), o la actividad principal de la empresa consiste en tratar con una gran escala de datos de alto nivel como categorías de religión, raza o genética, deberán designar un Delegado de Protección de Datos para que supervise el correcto cumplimiento de la normativa de protección de datos.

Registro de Actividades: con el nuevo Reglamento, el registro de las actividades de tratamiento de los datos será obligatorio para personas y empresas.

Derecho al olvido y derecho a la portabilidad

Dentro del nuevo Reglamento Europeo de Protección de Datos quedarán recogido, además, el derecho al olvido y el derecho a la portabilidad.

  • El derecho al olvido, recogido ya por el Tribunal de Justicia de la Unión Europea en 2014, defiende el derecho de las personas a que información obsoleta o no relevante por el transcurso del tiempo sea bloqueada, suprimida o desindexada. Ahora, solicitar que se supriman los datos personales dadas determinadas circunstancias será más fácil.
  • Con el derecho de portabilidad, las personas tendrán derecho a solicitar el envío de sus datos al responsable de tratar con ellos para transmitirlos a otro responsable. La creación de un encargado o delegado de protección de datos, es doblemente importante para las empresas ya que el encargado de recursos humanos o CEO de las empresas tendrá que decidir sobre quién recae esa tarea y asegurarse de que reciben la información y formación necesarias.

Sanciones por no cumplir con la LOPD

No cumplir con las normativas y obligaciones de las leyes por la protección de datos comporta diferentes sanciones dependiendo de la gravedad de la infracción cometida, que puede ser leve, grave o muy grave. Por lo que si en tu empresa tratáis con datos personales, debes tener todas estas consideraciones y cambios muy en serio.

Como ya hemos comentado, en España el organismo que vela por el cumplimiento de la LOPD es la Agencia de Española de Protección de Datos y es ella también la que establece los grados de infracción y las sanciones.

La información en la que basa sus sentencias son, entre otros: el tiempo que lleva cometiéndose la infracción, el volumen de información tratada de manera fraudulenta, los beneficios obtenidos de las infracciones, el grado de intencionalidad, el daño causado con sus acciones, etc.

Tipo de sanciones en la Ley de Protección de Datos

Se entiende por infracción leve, por ejemplo, no inscribir el fichero de datos en el Registro General de Protección de Datos. Esta infracción puede conllevar una sanción económica de entre 900 euros y 40.000 euros.

Una infracción grave puede ser tratar datos personales sin consentimiento. Esta infracción puede conllevar una multa económica de entre 40.001 euros y 300.000 euros.

Y una infracción muy grave sería recoger datos personales de manera fraudulenta y con engaños y sería sancionada con multas de entre 300.001 euros y 600.000 euros.

Factorial y la Ley de Protección de Datos

Como has visto la Ley de Protección de datos en España lleva muchos años en activo. Se preocupa de preservar la intimidad de todo, aunque aún y así hay muchas empresas que no la conocen o se exponen a no cumplirla.

Hay quien pueda creer que como Factorial es un software gratuito, usamos los datos de nuestros clientes para lucrarnos como otras empresas pueden hacer. No es así. En Factorial nos tomamos muy en serio la privacidad de nuestros clientes y por ello estamos siempre atentos a cualquier cambio en la normativa y trabajamos solo con proveedores certificados con los estándares de seguridad más avanzados.

Todos los datos referentes a tu empresa y empleados que sean almacenados en Factorial se encriptan en la nube y están protegidos. Aquí puedes consultar las certificaciones de seguridad de nuestros proveedores. A pie de página, además, encontrarás links al aviso legal y a las condiciones y términos de uso.

 

Delega tus tareas diarias en un programa de gestión de Recursos Humanos desarrollado a la medida de tus exigencias. ¡Prueba Factorial hoy y siente la diferencia!

 ¡Utiliza Factorial para la gestión documental de tu empresa!

Felipe Valenzuela es Content Specialist para el mercado español en Factorial. Graduado en Comunicación e Industrias Culturales por la Universidad de Barcelona, tiene experiencia creando contenido para diferentes formatos y canales desde 2017.

Publicaciones relacionadas

¿Tienes alguna duda o quieres añadir algo? Compártelo ahora en nuestra Comunidad de RRHH!

Súmate a la comunidad hecha por y para profesionales de Recursos Humanos.