7 claves del RGPD para el autónomo y la pyme

Si quieres también puedes escuchar este artículo.

El próximo mes de mayo entra en vigor la obligación de aplicación del Reglamento General de Protección de Datos (RGPD) a nivel europeo. En este artículo te vamos a dar las claves del RGPD: quiénes están obligados al cumplimiento, en qué se basan los cambios y cuáles son los principios que configuran esta nueva normativa.

¡Atento! porque, aunque no lo creas, este Reglamento te afecta y queda poco tiempo para adaptarse a él.

Qué es el RGPD

El Reglamento General sobre Protección de Datos (RGPD) establece un nuevo articulado sobre el tratamiento de los datos personales. Y aunque a veces ni caigamos en la cuenta, en innumerables ocasiones, recabamos información personal que está protegida por Ley. Lo hacemos, por ejemplo, cada vez que pedimos rellenar una ficha de contacto al visitar nuestra web o cuando solicitamos información telefónica a nuestro cliente.

Esta normativa será de obligatorio cumplimiento desde el día 25 de mayo y de aplicación en todo el territorio de la Unión Europea (UE), el Reino Unido (tras su salida del espacio comunitario en 2019) y todas las empresas que, siendo de fuera, ofrezcan bienes o servicios a personas o controlen su comportamiento dentro de la UE.

Están obligadas a adecuarse a su articulado todas las empresas, sociedades, autónomos, comunidades, asociaciones y administraciones públicas de los Estados miembro, obviamente, también las españolas.

Principios básicos del RGPD

El RGPD recoge los principios básicos en los que se basa su articulado:

  • Relativos a la protección de datos.

La información en la recogida de datos personales tiene que ser clara para que sea fácilmente comprendida por el interesado. Además, los datos tienen que ser recogidos de manera limitada a lo necesario ya que tienen que tener un fin previamente establecido que además tiene que ser legítimo.

Deben mantenerse actualizados y almacenados de un modo en el que quede garantizada su seguridad.

  • Relativos al tratamiento de los datos.

El tratamiento de los datos tiene que ser lícito. Y solo estamos ante un tratamiento lícito si cumple con determinadas condiciones como que se dé el consentimiento expreso por parte del interesado para su uso, que los datos sean utilizados para la firma de un contrato en el que el interesado interviene o cuando sean imprescindibles para para proteger intereses legítimos.

  • Relativos al envío internacional de datos personales.

Debes saber que está prohibido enviar datos personales fuera de Espacio Económico Europeo a un país que no ofrezca la suficiente protección a los mismos. En caso de no existir una garantía, esa transferencia puede estar limitada con determinadas cláusulas contractuales.

Claves del RGPD

Si tienes claro que tienes que adecuar tu gestión de los datos a la nueva normativa y sabes en qué términos, atento al listado de claves básicas del RGPD que debes tener en cuenta:

  1. Se amplía el derecho de las personas a conocer la finalidad y el tratamiento de sus datos personales cuando le sean solicitados.
  2. Para pedir datos personales hay que hacerlo mediante una declaración clara y expresa. ¿Te acuerdas de la casilla en una plantilla fija de tu web donde venía la información sobre la protección de datos? Podrás seguir poniéndola, pero ¡cuidado! porque en ningún caso podrá estar premarcada.
  3. Solo pueden usarse los datos para los fines estipulados desde el inicio, cualquier otro uso, en principio, es considerado ilícito.
  4. El interesado tiene derecho a mover, copiar o transferir de manera personal sus datos a otra empresa, incluso cuando quiera llevárselos a la competencia.
  5. Si existen violaciones en la seguridad de la protección de datos los responsables de estos tienen que avisar a las autoridades competentes en menos de 72 horas.
  6. Solo estrás obligado a designar a un Delegado de Protección de Datos (DPO) si tu empresa lleva a cabo una observación habitual y sistemática de interesados y si tratas a gran escala categorías especiales de datos.
  7. Y cuidado con no adecuarse al RGPD porque se prevén sanciones al incumplimiento que podrán llegar a los 20 millones de euros o al 4% del volumen de negocio en caso de ser una empresa.

Aunque el Reglamento está vigente desde el 2016, se ha dado todo este tiempo de plazo para adecuarse a esta nueva normativa europea, así que recuerda poner a punto tus procedimientos antes del 25 de mayo.

Mónica Martínez
Esta entrada fue publicada en autónomos, Datos, LOPD, Pymes y etiquetada , , , . Guarda el enlace permanente.

25 Comentarios en 7 claves del RGPD para el autónomo y la pyme

  1. Belén dijo:

    Gracias por el artículo, muy interesante. Un autónomo que sólo recoja los datos necesarios para emitir una factura a un cliente ¿Cómo tiene que adecuarse al RGPD?

    • Respuesta a Belén:

      Hola Belén! Lo primero agradecerte tu comentario y que recurras a nosotros para informarte.
      Hay varios datos importantes que hay que tener en cuenta en la Protección de Datos, la forma en la que se recaban los datos que manejas en el desarrollo de tu actividad, el tipo de datos que son y el uso que les das a los mismos.
      Habría que estudiar tu caso de un manera más concisa para darte una respuesta correcta. Te recomiendo que te pongas en contacto con nosotros para que un asesor analice tu situación.
      Por si te interesa te paso un enlace: https://infoautonomos.eleconomista.es/asesoria/consultoria/
      Un saludo!

  2. ¡Muy interesante el artículo!

  3. Aloña dijo:

    Hola;

    Tengo entendido que los Hoteles necesitan tener un DPD. En caso de un hostal, o alojamientos que no disponen de cocina, también deben de tener un DPD

    • Respuesta a Aloña:

      Hola Aloña!

      Gracias por leernos y dejarnos tu comentario. Lo cierto es que la nueva normativa deja bastantes lagunas al respecto, así que no es de extrañar que tengas dudas. Te comento, según el artículo 37 del Reglamento la figura del DPD es obligatoria en los casos: “(1) cuando el tratamiento lo lleve a cabo una autoridad u organismo público; (2) cuando las actividades principales del responsable o encargado del tratamiento consistan en operaciones de tratamiento que requieran un seguimiento regular y sistemático de los interesados a gran escala; y (3) cuando las actividades principales del responsable o el encargado consistan en el tratamiento a gran escala de categorías especiales de datos o datos personales relacionados con condenas y delitos”.

      De todos modos, en los próximos días tenemos previsto un artículo precisamente sobre la figura del DPD, así que sigue atento a nuestra web y nuestro blog porque estamos recabando información para servírosla al estilo Infoautónomos, de manera cercana e inteligible.

      Gracias!

  4. Abelardo Valentiner dijo:

    Aunque es sólo una cata visto que para adecuarse en España se estableció un período de dos años, te orienta para tu plan en protección de datos. Mi pregunta… Un médico autónomo, que pasa consulta en una clínica que tiene a su vez bien estructurada su plataforma de protección de datos, tiene a su vez que llevar toda la carga de cumplimiento de las normas contempladas en el RGPD?
    Gracias

    • Respuesta a Abelardo Valentiner:

      Buenos días Abelardo:

      Gracias por leernos y dejarnos tus comentarios. En breve vamos a sacar un especial sobre la RGPD para que tengáis toda la información de la que disponemos.
      Por lo que me dices, entiendo que la base de datos está adaptada a la vigente LOPD española, pero habría que comprobar que se adapta también a lo que dice el nuevo RGPD. De hecho hay prevista una modificación de la legislación española para adaptarse a la europea, ya que los reglamentos de la UE son de obligado cumplimiento (y adaptación) por todos los estados miembro.
      Para estudiar tu caso concreto deberías hablarlo con un especialista, en nuestra web tienes un proveedor del protección de datos, te paso el enlace por si te interesa:
      https://infoautonomos.eleconomista.es/proveedores/grupoiwi-proteccion-de-datos-la-solucion-lopd-online-b991dc80/

      Un saludo!!!

  5. depeliculas dijo:

    Tenía una duda al respecto, quería escribirla en un comentario pero al final ha sido más larga de lo que creía, la he escrito en un artículo en mi blog; cualquiera que sepa del tema y pueda ayudar se lo agradecería:
    http://depeliculas.online/rgpd-y-nuestra-privacidad/

  6. Plácido Porta dijo:

    Buenas tardes Mónica:

    Gracias por su artículo. Me gustaría plantearle unas cuestiones en relación al nuevo RGPD, pues me confieso algo perdido.

    Somos una cooperativa de trabajo asociado –pyme, atendiendo a sus criterios de clasificación- (volumen de negocios, personal, etc). Nuestro objeto social es la fabricación y venta de productos de panadería y bollería. Tenemos una organización administrativa básica, es decir, las relaciones normales con proveedores, clientes, administraciones públicas, personal, asesorías, etc. y nuestro ámbito de actuación es provincial.

    Pues bien, he utilizado la herramienta “FACILITA RGPD” y la agencia me ha inscrito los ficheros correspondientes (pego):

    La Directora de la Agencia Española de Protección de Datos, a propuesta del Registro General
    de Protección de Datos, ha acordado en virtud de las competencias que le atribuyen los
    artículos 60 y 61 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de
    diciembre, de Protección de Datos de Carácter Personal, aprobado por Real Decreto
    1720/2007, de 21 de diciembre y el artículo 12.2.a del Real Decreto 428/1993 de 26 de marzo,
    vigente de conformidad con lo dispuesto en la Disposición Transitoria Tercera de la citada Ley
    Orgánica 15/1999, proceder a la/s siguiente/s inscripción/es en el Registro General de
    Protección de Datos correspondiente/s al/los fichero/s en el/los que figura como responsable
    (Nuestra Cooperativa)…….

    Así mismo se acompaña el “INFORME DE SITUACIÓN DE INSCRIPCIÓN EN EL REGISTRO GENERAL DE PROTECCIÓN DE DATOS” y el documento “SERVICIO ELECTRÓNICO NOTA-TITULARIDAD PRIVADA”

    También el texto con el título “DOCUMENTACIÓN A REVISAR” que dice (pego):

    Este documento contiene las cláusulas informativas que debe incluir en los formularios de solicitud de información, el documento a anexar en cada uno de los contratos de prestación de servicios, el registro de actividades de tratamiento y un anexo con recomendaciones sobre medidas de seguridad y tratamientos de datos personales (imágenes) captados por cámaras de videovigilancia, las cuales debe implantar en su organización.
    La presentación de la documentación está asociada a cada uno de los tratamientos que ha seleccionado al cumplimentar el programa.
    TRATAMIENTO DE DATOS DE CLIENTES
    TRATAMIENTO DE DATOS DE EMPLEADOS
    CANDIDATOS
    PROVEEDORES, ETC.

    Al margen de incluir las cláusulas en los formularios, el documento en los contratos, etc. ¿Con lo anterior cumpliría el requisito de la inscripción a los efectos del nuevo reglamento? ¿Tendría que inscribir nuevos ficheros? ¿Existen modelos de formularios para su cumplimentación?

    Muchas gracias y disculpe por si alguna de las cuestiones no fuese pertinente en el presente hilo de comentarios.

  7. Buenos días Plácido:

    Gracias por leernos y por tu comentario. Te paso el enlace de una guía en la que hemos complicado y ampliado la información de la que disponemos del RGPD: https://infoautonomos.eleconomista.es/utilidades/guias/manual-sobre-rgpd-para-autonomos-y-pymes/

    Ahí te explicamos lo básico para comprender esta nueva normativa y cómo debes adaptarte a ella. Probablemente te ayude a entender lo que te han solicitado en la Agencia. Entiende que para cada autónomo y pyme hay que cumplir con unas fórmulas que se adapten tanto al negocio, como al uso y la forma en la que se recogen los datos, por lo que no puedo confirmarte ni negarte nada de lo que me solicitas.

    Espero, eso sí, que con la lectura de la guía te quede todo más claro.

    Un saludo!

  8. Aloña dijo:

    Hola, tengo una duda. En caso de un bar, cafeteria o un hotel. Si tienen wifi para los clientes. Ahora con el reglamento q tienen que hacer? Hay que identificar a cada usuario, o con cambiar lad contraseñas todos los dias es suficiente.
    El establecimiento seria un prestador de servicios? Tiene la obligacion de dar informacion alguna a los usuarios?

    Muchas graciad

    • Respuesta a Aloña:

      Buenos días Aloña:

      Gracias por leernos y dejarnos tus comentarios.
      La verdad es que todavía estamos asentado el reglamento y hay muchas dudas al respecto. En principio las redes wifi públicas tienen que ser seguras y proteger la información que los usuarios están utilizando en cada momento. Por eso ahora será necesario no solo la wifi sino hacerse con sistema que permita al usuario identificarse, aceptar las condiciones de uso y tu poder gestionar la seguridad del sistema.
      De todas formas, tenemos un proveedor externo de protección de datos que seguro puede informarte mucho mejor que yo. Te paso un enlace por si quieres informarte sin compromiso: https://infoautonomos.eleconomista.es/proveedores/grupoiwi-proteccion-de-datos-la-solucion-lopd-online-b991dc80/

  9. sho dijo:

    Hola, muchas gracias por la información facilitada, aunque al igual que la “nueva” ley sigue dejando cosas sin resolver, como por ejemplo, un par de dudas que me surgen…

    1.- El facilitar tus facturas a una asesoría/gestor (como puede ser infoautonomos), ¿se puede considerar, cesión de datos a terceros? y, en caso de que así sea, ¿debería exigir la firma de algún tipo de documento/acuerdo/o similar a dicha asesoría/gestor?

    2.- El registro de actividades de tratamiento, recogerá (sobreentiendo) el momento en el que se recogen los datos ¿no? que más deberá recoger?, es decir, si utilizo los datos para emitir una factura, enviar un mail y un folleto comercial… etc… ¿deberé anotar dicha actividad en el registro de tratamiento? y, si es así…. ¿vamos echando ya el cierre a todas las empresas?

    Muchas gracias.

    • Respuesta a sho:

      Hola Sho:
      Gracias por leernos y dejarnos tu comentario.
      Con respecto a la primera pregunta creo que no erro al asegurar que si, siempre que estés tratando con datos personales estás obligado a cumplir con el RGPD. De hecho Infoautónomos está adaptado a la LOPD y antes del 25 estará trabajando también conforme al RGPD.
      Con respecto a la segunda no sé en concreto qué datos debes anotar o compilar porque eso depende de cada autónomo/pyme. Antes de llegar al registro hay que analizar qué tipo de datos recabas, con qué fin, qué tratamiento les das, que medidas de seguridad has establecido entorno a ellos… La semana pasada sacamos un Manual sobre el RGPD que quizás pueda ayudarte a resolver todas estas dudas: https://infoautonomos.eleconomista.es/utilidades/guias/manual-sobre-rgpd-para-autonomos-y-pymes/
      Y si, aun quedan muchas dudas por resolver porque es una ley con aspectos muy amplios que la nueva ley que se apruebe en España seguro que restringirá un poco, pero es cierto que andamos un poco perdidos hasta que ese momento llegue.
      Entre nuestros colaboradores externos hay uno sobre protección de datos, te paso también el enlace por si te ayuda: https://infoautonomos.eleconomista.es/proveedores/grupoiwi-proteccion-de-datos-la-solucion-lopd-online-b991dc80/
      Un saludo y ánimo!

  10. sho dijo:

    ok, muchas gracias por tu respuesta 🙂

  11. Marta dijo:

    Hola, Belén. Muchas gracias por el artículo. He leído que los datos que se recaben deben conseguirse con consentimiento explícito. En mi web tengo una caja para suscribirse en la que hay que indicar el nombre y el email; debajo hay una nota que dice: “Los datos personales recogidos en este formulario serán tratados conforme a la Ley según se indica en Gestión de los datos personales” (y hay un enlace a la página de Gestión de los datos personales en la que se indica que serán utilizados para enviar información sobre mis actividades y que no serán cedidos a terceros). ¿Crees que esto es suficiente, aunque no haya casilla de confirmación de “he leído y acepto la política de gestión de datos personales”?
    Muchas gracias de antemano.