Protección de datos en España: conoce tus obligaciones como empresa

Hace unos días aparecía en los medios la siguiente noticia: Europa propone aumentar la protección de privacidad en aplicaciones como WhatsApp. Se pone de este modo sobre el tapete la necesidad de ampliar la protección a personas en el ámbito de los datos, ya que siguen existiendo lagunas que algunas grandes corporaciones aprovechan para hacer negocio. Pero ¿cómo saber qué debemos hacer como empresa? ¿Cómo funciona la protección de datos en España? ¿Existe una normativa vigente en el ámbito europeo que anule la nacional? A todo esto trataremos de dar respuesta en este artículo.

¿Qué es la protección de datos?

Comencemos por lo básico. Antes de nada, necesitamos definir qué es la protección de datos. La protección de datos es una disciplina jurídica, más o menos de aparición reciente, cuyo fin es proteger la intimidad y otros derechos fundamentales del individuo frente al riesgo que supone para él la recopilación y el uso indiscriminado de sus datos personales. Esta necesidad de proteger los datos personales aumenta exponencialmente con la aparición de internet, ya que cada persona, al navegar por la red, deja constancia, además, de sus hábitos de compra, sus creencias, sus relaciones personales… Hubo un momento, con el boom de las páginas web, en que esta información se convirtió en un filón para numerosas compañías, que podían traficar con una base de datos jugosísima y muy útil para orientar sus negocios. A raíz de este fenómeno se han puesto en marcha numerosas normas destinadas a limitar el uso de esos datos.

¿Qué herramientas existen para la protección de datos en España?

En la actualidad, en España rige la Ley Orgánica de Protección de Datos de Carácter Personal. Dicha ley es muy severa contra quienes vulneran este derecho fundamental a la intimidad; de hecho, España es, hoy por hoy, el país que tiene sanciones más altas a quienes no la cumplen. Las sanciones leves van de 900 a 40 000 euros; las graves, de 40 001 a 300 000, y las muy graves pueden llegar a sancionar a quien vulnera la ley con 600 000 euros. 

El organismo que regula el cumplimiento de esta ley es la Agencia Española de Protección de Datos (AEPD) y, aunque hay algunas comunidades que cuentan con su propia agencia, Andalucía responde ante la estatal.  

Las funciones de la AEPD

La función de esta agencia es, evidentemente, velar por la protección de datos en España y todo lo que se refiere a controlar su aplicación, en especial en lo que respecta a los derechos de acceso, rectificación, cancelación y oposición (lo que se conoce como derechos ARCO). En este aspecto, su entidad alcanza y afecta a todos aquellos organismos que trabajan con datos, a los usuarios o personas físicas, a la elaboración de normas…

La AEPD tiene la capacidad de sancionar en virtud de su capacidad de velar por los derechos de los potenciales afectados. También puede ordenar el cese en el tratamiento de los datos en caso de ilegalidad. Informa, asimismo, de todas las normas acerca de la protección de datos de nueva aparición y tutela las garantías de los usuarios en materia de, por ejemplo, telecomunicaciones. Esto es importante, ya que este sector es el que más quejas recibe al respecto en materia de protección de datos. 

¿Qué entendemos por datos personales?

Podríamos dividir los datos personales en tres niveles: básico, medio y alto. En función del tipo de datos que se utilicen, la sanción recogida, de momento por la AEPD y en el futuro por el organismo que lo regule, será más o menos grave.

Los datos de nivel básico son aquellos que nos definen en primera instancia: nombre, apellidos, teléfono, dirección, DNI, número de la seguridad social… También incluye fotografías, firmas, correos electrónicos, datos bancarios, fecha de nacimiento, sexo, nacionalidad, etcétera.

Los datos de nivel medio aluden a la comisión de infracciones, ya sean administrativas o penales; a servicios financieros, a solvencia patrimonial o crédito (estar en el fichero de morosos e impagados), datos de la Hacienda Pública… También se incluyen aquellos datos de los que pueda extraerse la personalidad de un individuo (hobbies, estilo de vida, gustos personales, etcétera).

En el nivel alto se sitúan datos referidos a creencias religiosas, afinidades políticias, afiliaciones sindicales si las hubiera, origen racial y datos sobre la salud o la vida sexual.

¿No hay una normativa europea que supere a la española?

Existe. Se trata del Reglamento General de Protección de Datos y entró en vigor el 25 de mayo de 2016. Lo que sucede es que no comienza a aplicarse hasta dos años después, esto es, el 25 de mayo de 2018. Queda, pues, casi un año y medio en el que sigue rigiendo la Ley Orgánica de Protección de Datos, así como la Directiva 95/46 de la Unión Europea.

El motivo por el que se da este margen a los estados miembros es para que elaboren leyes que faciliten la aplicación de dicho Reglamento; leyes, por cierto, que en ningún caso podrán ir en contra de este. Más adelante veremos qué comprende y cubre el citado Reglamento General de Protección de Datos. Pero desde Ingéniate nos interesa, sobre todo, haceros saber cómo afecta a las empresas y, sobre todo, si afecta o no a todas.

La protección de datos en España ¿afecta solo a las empresas de telecomunicaciones?

Aunque, ciertamente, son las empresas de telecomunicaciones las que más vulneran la protección de datos en España, la protección de datos afecta a todas las empresas. 

Por volumen de sanciones, el sector de las telecomunicaciones recibe más del 50 % de las sanciones, seguido de lejor por las entidades financieras y por las empresas comercializadoras de ahorro y energía. Son, por tanto, el tipo de empresas que más a menudo utilizan de manera ilícita los datos de las personas. Sin embargo, hay infinidad de casos en los que cualquier empresa puede vulnerar esos derechos, y por tanto es imprescindible para ellos tener detrás a una compañía como Ingéniate que sepa hacer una implantación adecuada de la ley vigente.

¿Qué puede hacer Ingéniate Consultoría por ti?

  1. Nos dirigimos a las instalaciones de la empresa en cuestión para la recogida de datos.
  2. Comprobamos que se adoptan las medidas de seguridad exigidas (como, por ejemplo, el Documento de Seguridad) y, en caso contrario, lo normalizamos.
  3. Formamos al empleado sobre las medidas que hay que tomar y la normativa vigente.
  4. Realizamos la inscripción de ficheros en la Agencia Española de Protección de Datos.

Después, y a modo de mantenimiento, revisamos e inscribimos nuevos ficheros ante la AEPD en el caso de que esto fuera necesario; del mismo modo, actualizamos, si se necesita, el Documento de Seguridad de la empresa.

Todos estos trabajos se realizan, coordinan y supervisan por un técnico especializado que lleva a cabo la implantación de la Ley Orgánica de Protección de Datos en la empresa.

Evita las sanciones: ponte en contacto con Ingéniate Consultoría

Como te comentábamos al principio, vulnerar la Ley Orgánica de Protección de Datos no es tan difícil si no se conoce dicha normativa a fondo. Y ya sabes que el desconocimiento de la ley no exime de su cumplimiento. En Ingéniate estamos para asesorarte y enseñarte cómo aplicar la norma en tu negocio. Ponte en contacto con nosotros y te elaboraremos un presupuesto sin compromiso.