¿Qué deben saber las pymes sobre el cumplimiento normativo en protección de datos?
Cuando hablamos de protección de datos, a menudo caemos en la creencia de que se centra en grandes empresas o grandes corporaciones. Hoy en día todas las empresas que tratan con datos personales, incluidos los profesionales, las pequeñas y medianas empresas (pymes) deben cumplir con las leyes de privacidad, como el Reglamento General de Protección de Datos.
Cumplir con la normativa, significa gestionar de forma responsable los datos personales que la empresa recopila y almacena, garantizando la transparencia con los usuarios asegurando la seguridad de la información, respeto a los derechos de las personas.
Esto se refiere a los datos que permiten identificar a una persona como el nombre y los apellidos, DNI, Email, teléfono o dirección IP, así como los datos de salud o financieros.
Obligaciones básicas para una pyme:
Elaborar una política de privacidad que explique de forma clara, que datos recoge, para que los usa y durante cuanto tiempo se conservan, así como si se comparten con terceros.
Informar a los interesados (empleados, clientes, proveedores, etc.) de forma clara y comprensible sobre el tratamiento de sus datos personales.
Llevar a cabo un registro de actividades si se tratan datos sensibles o si el tratamiento no es ocasional. Es un documento interno que detalla qué datos se tratan, con qué finalidad, a quién se comunican, etc. Obligatorio para pymes de más de 250 empleados.
Toda recogida y tratamiento de datos debe estar amparada en una base legal: consentimiento, relación contractual, obligación legal, interés vital, interés público o interés legítimo.
Incluir cláusulas de información en formularios, contratos, emails, etc. Si el tratamiento se basa en el consentimiento, este debe ser explícito, libre, informado y revocable.
Si una pyme contrata a terceros que traten datos en su nombre (p. ej., gestoría, o hosting), deben firmarse contratos específicos con cláusulas de protección de datos.
Proteger los datos contra accesos no autorizados, pérdida o alteración. Las medidas deben ser proporcionales al tipo de datos tratados (encriptación, contraseñas, antivirus, copias de seguridad, etc.).
Facilitar el ejercicio de los derechos: acceso, rectificación, supresión, oposición, limitación y portabilidad.
Notificación de brechas de seguridad a la AEPD (Agencia Española de Protección de Datos) en un máximo de 72 horas si hay una violación de seguridad que afecte a datos personales.
También puedes consultar es otro artículo relacionado sobre protección de datos para autónomos.
En Forlopd ayudamos a empresas de diferente envergadura adaptar sus procesos para cumplir con las normativas en materia de protección de datos. Puedes solicitarnos más información a través de nuestro formulario de contacto.
