Toda empresa, autónomo o entidad que trate datos personales está obligada a cumplir con el Reglamento General de Protección de Datos (RGPD) y la LOPDGDD. Esto implica asumir una serie de responsabilidades que muchas veces se desconocen o se aplican de forma incompleta.
¿Qué obligaciones debes cumplir como responsable del tratamiento?
A continuación, te explicamos de forma clara y práctica cuáles son las principales obligaciones en protección de datos que exige la normativa actual:
1. Base jurídica del tratamiento
Debes identificar una base legal adecuada para cada tipo de tratamiento.
Por ejemplo: la facturación a clientes se justifica por la ejecución de un contrato (art. 6.1.b RGPD).
2. Registro de Actividades de Tratamiento (RAT)
Obligatorio si:
- El tratamiento no es ocasional.
- Puede suponer riesgos para los derechos de los interesados.
- Incluye datos sensibles.
En la práctica, todos los profesionales que tratan datos de forma habitual deberían tener un RAT actualizado.
3. Responsabilidad proactiva
Debes poder demostrar que cumples con el RGPD. Esto implica:
- Tener políticas internas de protección de datos.
- Realizar evaluaciones de riesgos.
- Adoptar medidas técnicas y organizativas.
Documentos como el RAT, evaluaciones de impacto y los contratos con encargados ayudan a demostrar cumplimiento.
4. Información y transparencia
Estás obligado a proporcionar una política de privacidad clara y completa, que informe sobre:
- Identidad del responsable.
- Finalidad del tratamiento.
- Cesiones, plazos, base legal y derechos del interesado.
5. Consentimiento válido
Cuando se utilice el consentimiento como base legal, debe ser:
Libre, informado, específico e inequívoco.
No es válido el consentimiento tácito. Además, debe poder documentarse.
6. Contratos con encargados del tratamiento
Si subcontratas servicios (como gestorías, servicios informáticos o de hosting), necesitas contratos ajustados al art. 28 del RGPD, que regulen:
- Instrucciones claras.
- Deberes de confidencialidad.
- Seguridad y colaboración en el ejercicio de derechos.
7. Medidas de seguridad
Debes aplicar medidas técnicas y organizativas adecuadas al nivel de riesgo:
- Control de accesos.
- Cifrado de datos.
- Copias de seguridad.
- Registro de incidencias.
8. Notificación de brechas de seguridad
Si ocurre una violación de seguridad:
Debes notificarla a la AEPD en máximo 72 horas si implica riesgo para los afectados.
También debes informar a los propios interesados si el riesgo es alto.
9. Ejercicio de derechos
Debes habilitar canales para que las personas puedan ejercer sus derechos:
- Acceso.
- Rectificación.
- Supresión.
- Oposición.
- Portabilidad.
- Limitación del tratamiento.
Con un plazo máximo de respuesta de 1 mes (prorrogable hasta 2 en casos complejos).
10. Evaluación de impacto (EIPD)
Es obligatoria si el tratamiento entraña alto riesgo, por ejemplo:
- Videovigilancia sistemática.
- Uso de datos sensibles.
- Tratamientos a gran escala.
Aunque no siempre se requiera, es recomendable documentar al menos una evaluación de riesgos.
11. Formación del equipo
Todo el personal debe estar formado en protección de datos, con:
- Formación continua.
- Documentación de la formación.
- Contenidos adaptados al puesto.
12. Delegado de Protección de Datos (DPD)
Es obligatorio en algunos casos, pero también puede designarse voluntariamente si se quiere reforzar el cumplimiento normativo.
Cumplir con la protección de datos no es opcional, es una obligación legal que puede evitar sanciones y fortalecer la confianza de clientes y proveedores.
No te pierdas la entrevista completa donde analizamos estos conceptos con Javier Nogueroles, que podrás escuchar cada semana en el programa TIC TAC DATOS de ONDA NARANJA COPE