La realidad nos dice que hay pocas empresas que no traten datos personales. En los comercios, los clientes son personas y en un momento u otro se almacenarán sus datos personales. Incluso, establecimientos que, por su medida y volumen de negocio, no tratan estos datos (ventas de pequeño importe con ticket de venta al contado), si tienen trabajadores contratados, ya están tratando datos personales. Así pues, todas las empresas, también las de comercio y asociaciones de comerciantes, establecidas a la Unión Europa y que tratan datos de carácter personal, los afecta el nuevo Reglamento General de Protección de Datos (RGPD (UE) 2016/679).
No es relevante la medida de la empresa en la aplicación del RGPD. Tanto si es una multinacional como sí es una tienda de ámbito local, el hecho de tratar datos personales obliga al cumplimiento del reglamento. Tampoco es relevando el apoyo con el cual se tratan estos datos y, tanto si se usa un equipo informático como el clásico papel por desar-las, están sujetas al nuevo reglamento.
El nuevo RGPD da derechos, herramientas y criterios a las personas y a las empresas que trabajan con datos personales para protegerlas, custodiarlas y tratarlas de manera eficiente, poniendo por ante su defensa y cura. Los derechos que da el RGPD a las personas respecto a sus datos objeto de tratamiento son los de acceso, rectificación, consulta, oposición, eliminación, olvido, portabilidad, siendo estos dos últimos una novedad respecto a la normativa anterior; y el derecho al olvido, especialmente relevante en el caso de redes sociales, que utilizan muchos comerciantes.
Qué se entiende por datos personales?
El artículo 4 del Reglamento dice: "Dades personales es toda información sobre una persona física identificada o identificable (el interesado)". Un DNI, el nombre y apellidos, el número de teléfono, la dirección de correo electrónico, una imagen o vídeo (por ejemplo, por cámaras de seguridad o redes sociales), etc. son datos de carácter personal y, por lo tanto, si nuestro comercio, tienda, asociación, trata datos de este tipo, estamos obligados a aplicar el nuevo RGPD. No olvidamos que otros tipos de datos como la ideología, religión, origen racial, datos de salud o de menores son datos personales especialmente sensibles y que piden un tratamiento específico.
Y si no hago caso de todo qué me puede pasar?
Las multas administrativas que se contemplan pueden llegar entre los 10 y 20 millones de euros, o entre el 2% y el 4% del volumen de negocio anual global. Para establecer la cuantía de las sanciones se atenderá cada caso en particular y se tendrá en cuenta:
- La naturaleza, gravedad y duración de la infracción.
- La intencionalidad o negligencia en la infracción.
- Cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por las personas interesadas.
- Toda infracción anterior cometido.
- El grado de cooperación con la autoridad de control.
- Las categorías de los datos de carácter personal afectadas.
- La forma en que la autoridad de control tuvo conocimiento de la infracción.
- La adhesión a códigos de conducta o a mecanismos de certificación aprobados de acuerdo con el articulado del mismo RGPD.
- Cualquiera otro factor agravando o atenuando aplicable a las circunstancias del caso.
11 pasos para adaptarse al nuevo RGPD
El nuevo RGPD comporta cambios relevantes en el tratamiento de los datos personales respecto al anterior LOPD.
- Nombrar un responsable del tratamiento. El Reglamento (UE) 2016/679 define, en el artículo 4.7, al responsable del tratamiento o responsable como "la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento". En el caso del comercio sería la misma empresa, asociación o empresario autónomo.
- Identificar a los Encargados del Tratamiento. Es aquella persona física o jurídica, autoridad pública, servicio u otro organismo, que presta un servicio al responsable del fichero que comporta el tratamiento de datos personales por cuenta de este. Nuestro gestor que trae las nóminas de los trabajadores puede ser un encargado del tratamiento, del mismo modo que lo es el empleado que usa el ordenador para modificar los datos de un cliente.
- Evaluar los datos que se tratan. Dependiendo del tipo de datos que se tratan en la actividad del negocio hay que aplicar medidas de protección diferentes. Recordáis los niveles de datos que recoge el reglamento: nivel bajo, nivel mediano, nivel alto y datos de menores (especialmente protegidas). Algún establecimiento puede almacenar el nombre y fecha de nacimiento del bebé y la madre, por ejemplo; o si se organiza algún concurso dirigido a niños con dibujos, fotografías de disfraces, etc. Habitualmente, los datos que puede gestionar un comercio o asociación para las promociones y comunicaciones con los clientes, corresponden al nivel bajo o medio de protección.
- Crear un Registro de actividades y tratamiento. El artículo 30 del RGPD indica que "el responsable o el encargado del tratamiento pondrán el registro a disposición de la autoridad de control que lo solicite". Este registro es un documento que detalla la lista de los datos recogidos, el tratamiento previsto (facturación, mailings, comunicaciones comerciales, etc.), la cesión de los datos a terceros.
- Hacer un análisis de riesgos. La exposición a los riesgos con impacto en la protección de datos se produce desde el inicio o puesta en marcha de los tratamientos y a lo largo de la vida de los datos. El RGPD introduce los conceptos de protección de datos desde el diseño y por defecto.
- Hacer una evaluación de impacto (si se tercia). El Artículo 35 del RGPD indica que "ante la probabilidad que un tratamiento comporte un elevado riesgo por los derechos y las libertades de las personas físicas será necesario llevar a cabo un AIPD antes de la puesta en funcionamiento del tratamiento". Si tratamos grandes cantidades de datos o bien hay un riesgo elevado para su integridad será necesaria hacer la evaluación.
- Adaptar la documentación actual. Si disponemos de documentación según el anterior reglamento, habrá que revisarla, modificarla y actualizarla. A título de ejemplo habrá que revisar/crear: el pie de mensaje a los correos electrónicos haciendo referencia al nuevo RGPD, el documento de confidencialidad firmado con los trabajadores, el documento de cesión de datos de nuestros clientes, el documento de cesión de datos de los trabajadores firmado por la gestoría (confección de nóminas), el documento de cesión de datos a terceros, el diseño de la web (política de privacitat), etc.
- Crear el mecanismo porque nuestros clientes puedan ejercer sus derechos. Hay que disponer de un mecanismo fácil, simple y eficaz porque los clientes puedan ejercer sus derechos (acceso, rectificación, consulta, oposición, eliminación, olvido, portabilidad).
- Establecer/adaptar las políticas de privacitat. Una política de privacitat es un documento legal que plantea como una organización se reserva, procesa y gestiona los datos del usuario o cliente. Esta acostumbra a ser usada en un lugar de internet, donde el usuario crea una cuenta.
- Documentar todo el proceso. Hay que disponer del documento donde se recoge la totalidad de acciones aplicadas a la empresa: concienciación, revisión de la documentación, legitimación para tratar los datos, consentimiento de las personas para el tratamiento de sus datos, políticas de privacitat, nombrar el responsable del tratamiento y los encargados, documentación de seguimiento, registro de tratamiento y registro de incidencias.
- Sensibilizar y formar los trabajadores sobre la importancia del nuevo RGPD. Todo el personal de vuestro negocio que trate datos personales tiene que ser formado y concienciado en la protección de los datos personales, esto aportará valor añadido al negocio y percepción de seguridad a los clientes de vuestro comercio. Incluso es necesario que empleados y proveedores, como la gestoría o la empresa de limpieza (que tienen acceso a los datos o en espacios donde se almacenan estas) firmen un compromiso de confidencialidad.
Estáis preparados?