Aspectos esenciales para tratar datos de carácter personal en la empresa

Aspectos esenciales para tratar datos de carácter personal en la empresa

datos de caracter personal

Uno de los aspectos legales que más preocupan a las empresas en la actualidad es cómo tratar datos de carácter personal correctamente. ¿Cumplimos con todas las exigencias del RGPD (Reglamento General de Protección de Datos)? ¿Estamos expuestos a algún tipo de sanción? En este post resumiremos las cuestiones más importantes acerca del tratamiento de datos de carácter personal en la empresa.

 

¿Qué son los datos de carácter personal?

En primer lugar, debemos entender que un dato de carácter personal es cualquier información que puede permitir identificar a una persona física. Es importante tener en cuenta esta referencia a las personas físicas, ya que las personas jurídicas no están protegidas por el RGPD. Sin embargo, sí estarán protegidos por ella nuestros empleados, nuestros proveedores, nuestros clientes físicos y, en general, cualquier persona física que tenga relación con nuestra empresa.

Algunos ejemplos habituales de datos de carácter personal los encontramos en el nombre, el teléfono, el NIF, la firma o las direcciones postal y de correo electrónico. También tenemos otros casos menos habituales, como pueden ser la voz (registrada a través de una grabación telefónica, por ejemplo) o las sanciones administrativas que una persona ha sufrido.

 

¿A qué tipo de sanciones se expone mi empresa por incumplir el tratamiento de datos de carácter personal?

Una vez que tenemos claro qué son los datos de carácter personal, es importante saber que existen tres niveles dentro de ellos:

  1. Nivel básico. Reúne datos de carácter personal de tipo identificativo, es decir, que permitan identificar a una persona física sin darnos ningún tipo de información adicional acerca de ella. Algunos ejemplos los encontramos en el nombre, el NIF, el número de afiliación a la Seguridad Social o una fotografía.
  2. Nivel medio. Se reúnen aquí datos de carácter personal referentes a la solvencia patrimonial, a la personalidad y a las características directamente observables de las personas físicas. Algunos ejemplos: infracciones administrativas, currículum vitae, resultados de pruebas psicotécnicas o hábitos de consumo.
  3. Nivel alto. Incluye los datos de carácter personal especialmente protegidos, como la orientación sexual, la afiliación política o religiosa, datos relativos a la salud o cualquier tipo de ideología.

En general, cuanto mayor sea el nivel de protección, mayor será la sanción económica a la que nos expongamos si no cumplimos con la protección de los datos de carácter personal. Estas sanciones, de acuerdo al nuevo reglamento que entró en vigor el 25 de mayo de 2018, pueden ascender hasta el 2% ó 4% del volumen de negocio anual de la empresa. Es decir, si tratamos datos de carácter personal con fines distintos a los que especificamos en el momento de recogerlos, si no contamos con las medidas de seguridad necesarias (sobre todo en lo relativo a datos de nivel alto) o si, en general, incumplimos de algún modo lo establecido en el RGPD, nos exponemos a una sanción económica.

De modo que ¿cómo podemos asegurarnos de cumplir con este Reglamento?

 

¿Cómo puedo cumplir con el RGPD?

En primer lugar, lo más importante es inscribir en la Agencia Española de Protección de Datos uno o varios ficheros de la forma correcta. Esto puede hacerse directamente desde la web de la propia AEPD, en https://www.aepd.es/. Debemos tener en cuenta que si una empresa trata datos de carácter personal sin contar con estos ficheros inscritos se expone a una sanción, que será mayor cuanto mayor sea el nivel de protección de los datos tratados.

Por otro lado, también es muy importante contar con un documento de seguridad con las medidas de seguridad adecuadas. Este documento deberá actualizarse, en general, cada vez que se sufra un incidente relacionado con los datos de carácter personal, como por ejemplo un extravío de los mismos. Además, deberá incluir normas y medidas de seguridad adoptadas por la empresa, instrucciones de cómo los empleados deben seguirlas y un control de accesos, entre otros aspectos.

También es importante recordar que, si una empresa dispone de presencia en internet, sea a través de una web, un blog o cualquier otro tipo de portal al que cualquier persona pueda acceder desde su ordenador, será necesario contar con un aviso legal, una política de cookies, un certificado SSL y las medidas de seguridad tecnológicas necesarias para garantizar la privacidad de los visitantes y de los usuarios registrados.

CTA - Ebook onboarding de empleados- POST

Compartir