Toda PYME que recoja y trate datos personales, como los de sus clientes o empleados, está sujeta a los requisitos de la normativa de protección de datos. Esto incluye el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPD-GDD).
Aunque la normativa contempla diversas obligaciones, existen cinco claves que las PYMEs deben cumplir para evitar sanciones y mantener la confianza de sus clientes.
1. Tratamiento lícito
Las PYMEs deben asegurarse de contar con una base jurídica adecuada antes de iniciar el tratamiento de datos personales. Las bases jurídicas más comunes son el consentimiento del interesado, la necesidad de ejecutar un contrato y el cumplimiento de una obligación legal.
Es crucial considerar la finalidad y el contexto del tratamiento. Por ejemplo, tratar los datos de un candidato a un puesto de trabajo puede justificarse por la necesidad de aplicar medidas precontractuales. En cambio, las comunicaciones comerciales suelen requerir el consentimiento del interesado.
Además, los datos deben conservarse solo durante el tiempo estrictamente necesario. Deben eliminarse una vez cumplida la finalidad, salvo en casos como la revocación del consentimiento o el fin de la relación contractual.
2. Deber de información
Al recabar datos personales, las PYMEs deben informar a los interesados sobre cómo se tratarán sus datos y los derechos que les asisten. Esto incluye:
- Identidad del responsable del tratamiento.
- Descripción de los fines del tratamiento, incluyendo la elaboración de perfiles, si aplicase.
- Base jurídica del tratamiento.
- Plazos o criterios de conservación de los datos.
- Posibles cesiones y transferencias a terceros países.
- Cómo ejercer derechos como acceso, rectificación, supresión, entre otros.
Se recomienda utilizar un modelo de información por capas. En la primera capa se presenta información básica, y en una segunda capa se proporciona el resto de la información exigida, accesible desde la primera capa.
3. Facilitar el ejercicio de derechos de protección de datos
Las PYMEs deben garantizar y facilitar el ejercicio de derechos como acceso, rectificación, supresión, y más. Deben ofrecer procedimientos sencillos, como un correo electrónico o un formulario en línea, y atender las solicitudes en un plazo máximo de un mes.
4. Regulación de encargos de tratamiento
Al contratar proveedores que traten datos personales, las PYMEs deben asegurarse de que estos ofrezcan garantías suficientes en medidas técnicas y organizativas. La relación debe regularse mediante un contrato que especifique los detalles del tratamiento, las obligaciones y los derechos del responsable.
5. Implantación de medidas de seguridad
Las PYMEs están obligadas a implementar medidas técnicas y organizativas para proteger los datos personales, considerando los riesgos asociados al tratamiento. Entre las medidas básicas se incluyen:
- Control de acceso a la información: Asegurar que solo el personal autorizado tenga acceso.
- Software de seguridad: Mantener actualizados programas como antivirus y firewalls.
- Copias de seguridad: Realizar copias regularmente para prevenir la pérdida de datos.
- Contraseñas robustas: Usar contraseñas complejas y cambiarlas periódicamente.
- Protección del correo electrónico: Implementar filtros antispam y encriptación.
- Almacenamiento en la nube: Utilizar servicios en la nube para facilitar la recuperación de datos.
Implementar estas cinco obligaciones es esencial para asegurar un marco adecuado de protección de datos en las PYMEs y evitar posibles sanciones.
Si tu PYME necesita ayuda para cumplir con la normativa de protección de datos, contacta con nuestros abogados especializados en protección de datos a través del correo electrónico info@auferil.es o vía WhatsApp (+34) 676.351.757. Para obtener información detallada sobre nuestros servicios dirigidos a empresas y autónomos, haz clic aquí.