portal experto PYME

En general, son protegibles los datos personales de las personas físicas -empleados de su empresa o empresarios autónomos con los que trabaje-, como por ejemplo: nombre y apellidos, DNI, nº de cuenta bancaria, datos fiscales, datos sobre salud, afiliación sindical…..

La normativa de protección de datos no se aplica a:

• Datos de personas jurídicas (denominación, domicilio….).
• Datos de personas fallecidas, aunque se permite a sus herederos o representantes legales el acceso, rectificación o supresión de sus datos personales.
• Datos de una persona física en el curso de una actividad personal o doméstica y, por tanto, sin conexión alguna con una actividad profesional o comercial -por ejemplo: correspondencia y llevanza de un repertorio de direcciones o la actividad en las redes sociales...).
• Datos sometidos a la normativa sobre protección de materias clasificadas.

Existen otros datos personales sensibles que merecen una especial protección:

• Los relativos a condenas e infracciones penales o medidas de seguridad conexas.
• Los que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, datos médicos, genéticos o biométricos o datos relativos a la vida sexual o la orientación sexual de una persona física.

Estos datos no pueden ser tratados, salvo que el interesado haya dado su consentimiento explícito; sean necesarios, por ejemplo, para proteger intereses vitales del interesado o de otra persona física, si no está capacitado, física o jurídicamente, para dar su consentimiento; por razones de interés público en el ámbito de la salud pública…; o se trate de datos personales que el interesado ha hecho manifiestamente públicos.

La empresa debe valorar su situación sobre el tratamiento de datos que lleva a cabo. La mayoría de las pymes manejan datos personales de escaso riesgo por lo que, normalmente, es suficiente con hacer una reflexión, mínimamente documentada, sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados.

Con carácter previo al tratamiento de los datos, se exige la realización de evaluaciones de impacto en protección de datos en los casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas.

La finalidad de la misma es la de conocer el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.

Si el resultado de la evaluación confirma que las operaciones de tratamiento entrañan un alto riesgo que el responsable no puede mitigar con medidas adecuadas, debe proceder a realizar una consulta a la autoridad de control antes del tratamiento. La autoridad de control debe asesorar por escrito al responsable, en el plazo de 8 semanas desde la presentación de la consulta, que puede ser prorrogado 6 semanas más, en función de la complejidad del tratamiento. 

Su empresa debe implantar las medidas técnicas y organizativas en su empresa, adecuadas al riesgo que implica el tratamiento:

1. Aplicar la política de seguridad de la información, adoptada e implementada por la empresa. Esta incluye los objetivos de esta para proteger, en particular, los datos personales que son objeto de tratamiento.

Esta política puede ser un único documento o, a su vez, basarse en diversos documentos que incluyan políticas específicas relativas, entre otros, a contraseñas, retención o conservación de los datos personales, copias de seguridad, etc.

2. Protección de datos desde el diseño y por defecto: es recomendable que desde el inicio de un nuevo proyecto adopte las medidas técnicas y organizativas a aplicar.

Por ejemplo, si desarrolla un programa informático o una aplicación en los que se vayan a tratar datos personales.

Estas medidas técnicas y organizativas deben garantizar que solo se traten los datos necesarios (respecto a la cantidad de datos a tratar, a la extensión del tratamiento, a los períodos de conservación y a la accesibilidad a los datos).

Por ejemplo, si en un nuevo producto o servicio existen varias configuraciones de privacidad, debe optar por defecto por las que ofrezcan mayores garantías de privacidad a los interesados.

3. Elección del encargado del tratamiento, que debe ofrecer garantías suficientes para la aplicación de medidas técnicas y organizativas apropiadas y formalización de contrato u otro acto jurídico vinculante.

4. En su caso, designación de delegado de protección de datos. 

La empresa debe llevar un registro de actividades de tratamiento efectuadas bajo su responsabilidad. Asimismo, cada encargado o su representante llevarán un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable. Ambos registros deben constar por escrito, inclusive en formato electrónico, y debe mantenerlos permanentemente actualizados.

Esta obligación no se aplica a empresas con menos de 250 trabajadores, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya datos personales especialmente protegidos, o datos personales relativos a condenas e infracciones penales.

Por ejemplo, si su empresa trata datos de salud, afiliación sindical, origen racial o étnico, convicciones religiosas o filosóficas, datos genéticos, biométricos, vida sexual, o datos relativos a condenas o infracciones penales, está obligado a mantener este registro de actividades de tratamiento aunque tenga menos de 250 trabajadores

El tratamiento de los datos consiste en cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

El tratamiento debe realizarse siguiendo unos principios básicos:

• Licitud, lealtad y transparencia en relación al interesado.
• Los fines para los que son recogidos los datos deben estar perfectamente determinados y ser explícitos y legítimos.
• Los datos deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados; exactos y, si fuera necesario, actualizados.
• Los datos deben ser tratados de tal manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.

El tratamiento solo cabe con el consentimiento del interesado, que debe darse de libremente y de forma inequívoca. Puede darse mediante una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Por tanto, no cabe el consentimiento tácito.

El interesado puede retirar su consentimiento en cualquier momento.

No obstante, puede no necesitar consentimiento cuando el tratamiento de los datos sea necesario, por ejemplo, para ejecutar un contrato en el que el interesado es parte, proteger intereses vitales del interesado o de otra persona física; la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Con el fin de cumplir con la protección de datos, su empresa debe contar con:

1. Un responsable del tratamiento que es quien toma las decisiones sobre el contenido, el uso y la finalidad del tratamiento de los datos. El tratamiento puede delegarse a personas, internas o externas, que serán los encargados de llevar a cabo la coordinación y ejecución de las medidas para garantizar la seguridad y confidencialidad de los datos.

2. Delegado de Protección de Datos (DPO). Aunque las pymes no están obligadas a nombrar un DPO, salvo que se trate de empresas dedicadas por ejemplo, a la seguridad privada o a la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivo, pueden implantarlo de forma voluntaria.

EL DPO debe ser persona, interna o externa, con conocimientos jurídicos y prácticos en materia de protección de datos, cuya finalidad es garantizar el cumplimiento de la normativa de la protección de datos en la empresa, sin sustituir las funciones que desarrollan las autoridades de control.

En este caso, el responsable o el encargado del tratamiento deben publicar los datos de contacto del DPD/DPO y comunicar el nombramiento a la autoridad de control. Para ello, la AEPD ha puesto en marcha un sistema de notificación electrónica (https://sedeagpd.gob.es/sede-electronica-web/vistas/formDelegadoProteccionDatos/procedimientoDelegadoProteccion.jsf).

Los responsables del tratamiento de los datos, una vez analizados los riegos, deben adoptar unas medidas de seguridad que impidan que los datos sufran alteraciones, se pierdan o accedan a ellos personas no autorizadas.

Es el nivel mínimo de protección exigido. Las principales medidas a adoptar son las siguientes:

• Tenencia de un documento de seguridad -actualizado- que el personal con acceso a los datos ha de conocer y cumplir. Este documento ha de incluir, entre otras cosas, las reglas y procedimientos de conducta, las funciones y obligaciones del personal, la estructura de los ficheros y, la descripción de los sistemas informáticos.
• Llevanza de un registro de incidencias, y el responsable tiene que identificar y autentificar a los usuarios (por ejemplo, a través de contraseñas). En este caso, el documento de seguridad debe especificar la periodicidad con la que tienen que ser cambiadas las contraseñas (que en ningún caso puede ser superior a 1 año).
• Existencia de un control de acceso a los datos en el que se asegure que el personal solo acceda a aquellos para los que está autorizado -es decir, los necesarios para que pueda ejercer sus funciones-.
• Los soportes y documentos que contengan datos de carácter personal deben permitir la identificación del tipo de información que contienen, ser inventariados y almacenarse donde solo las personas autorizadas en el documento de seguridad puedan acceder. Estos soportes solo pueden sacarse del local con la autorización del responsable del fichero.
• En el traslado de documentación se deben adoptar las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.
• Destrucción o borrado de documentos o soportes desechados, que contengan datos personales, de manera que se impida el acceso a la información que contiene o su recuperación posterior.
• Realización de copias de respaldo, al menos semanales, y establecerse procedimientos para la recuperación de los datos que garanticen su reconstrucción en el estado que tenían al producirse mediante la pérdida o destrucción.

Las medidas de protección de nivel medio deben adoptarse para el tratamiento de datos que permitan definir las características o la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

Además de las medidas de nivel básico, deben adoptarse estas otras medidas de seguridad:

• El documento de seguridad debe tener un contenido más amplio: debe identificarse un responsable de seguridad, y los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento. En este caso, debe realizarse una auditoría interna o externa de los sistemas de información e instalaciones de tratamiento y almacenamiento de los datos, cada 2 años como mínimo.
• Establecimiento de un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.
• Acceso a los locales donde estén los equipos físicos que den soporte a los sistemas de información, únicamente por personas autorizadas en el documento de seguridad.
• Establecimiento de un sistema de registro de entrada de soportes que permita, directa o indirectamente, conocer el tipo de documento, soporte, la fecha y hora, emisor, el número de documentos o soportes incluidos en el envío, la persona responsable de la recepción, que debe estar autorizada, etc.
• Disponer de un sistema de registro de salida de soportes que permita conocer el tipo de documento o soporte, la fecha y hora, el destinatario, número de documentos o soportes incluidos en el envío, persona responsable de la entrega (que deberá estar autorizada), etc.
• Consignación, en el registro de incidencias, de otras menciones adicionales respecto a los ficheros de nivel básico.

Es el nivel de protección necesario para los ficheros que contienen datos especialmente protegidos, esto es, datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, etc.

Estos ficheros deben contar con las medidas de seguridad de nivel básico y medio, y además, con las siguientes:

• Llevanza de un registro de cada intento de acceso, en que conste la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. El periodo de conservación de los datos registrados es, como mínimo, de 2 años, y el responsable de seguridad se debe encargar de revisar al menos una vez al mes la información de control registrada (elaborando un informe de las revisiones realizadas y los problemas detectados).
• Seudonimización, cifrado de datos o utilización de algún otro sistema que garantice que la información no sea inteligible ni manipulada por terceros, cuando se transmitan a través de redes públicas o redes inalámbricas de comunicaciones electrónicas.

Una forma de seudonimizar datos consiste en sustituir el nombre y apellidos de una persona por un código. Por ejemplo: si usted envía información a un tercero en la que, en lugar del nombre y apellidos de una persona o cualquier otra información que la pueda identificar, consta simplemente un código, habrá disociado los datos y por tanto no estará cediendo datos de carácter personal a efectos de la normativa de protección de datos.

• Establecimiento de un sistema de gestión y distribución de soportes. En este sentido, es necesario que la identificación de los soportes se realice con un sistema de etiquetado comprensible que permita a los usuarios autorizados identificar su contenido, y que dificulte la identificación para el resto de personas. La distribución de los soportes que contengan datos personales debe realizarse cifrando dichos datos o mediante otro sistema que haga que esa información no sea accesible o manipulada durante su transporte.
• Conservación de una copia de respaldo de los datos y de los procedimientos de recuperación de estos en un lugar diferente de donde estén los equipos informáticos que los tratan, y que cumpla las correspondientes medidas de seguridad.

La cesión consiste en la obtención por terceros de datos para aplicarlos a las finalidades propias de la empresa a la que son cedidos.

Usted puede ceder datos de carácter personal a un tercero pero deben cumplirse los siguientes requisitos:

• Debe contar con el consentimiento previo, específico e inequívoco de los titulares de dichos datos.
• La cesión ha de ser necesaria para la ejecución o desarrollo de una relación contractual.
• Debe constituir una obligación legal para el cedente.
• Debe obedecer a intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.
• Debe servir para salvaguardar el interés vital del interesado o de otras personas.

Si usted decide vender o alquilar su base de datos de clientes a un tercero (por ejemplo para que este tercero envíe publicidad de sus propios productos o servicios), habrá una auténtica cesión de datos, en la que su empresa será el cedente y el tercero el cesionario. En este caso, usted debe cumplir los requisitos legales de la cesión de datos

Es importante distinguir la cesión de datos con el acceso a los datos por un tercero para la prestación de un servicio.

La realización de una prestación de servicios con acceso a datos (por ejemplo, la gestión de nóminas) requiere la formalización por escrito de un contrato de encargo de tratamiento que establezca expresamente las obligaciones del encargado del tratamiento, pero la responsabilidad última sobre el tratamiento sigue estando atribuida al responsable, que es quien determina la existencia del tratamiento y su finalidad.

Si el contrato de prestación de servicios no implica tratamiento de datos (por ejemplo, servicio de limpieza, mantenimiento….), es conveniente evitar el riesgo de que los empleados puedan acceder a los datos, por ello, debe firmar un documento en el que conste la prohibición de acceso a datos personales y la obligación de secreto en caso de que llegaran a acceder.

Como regla general, el encargado del tratamiento no puede subcontratar con un tercero la realización de ningún tratamiento de datos que le haya sido encargado, salvo que obtenga la autorización del responsable del tratamiento. Esta autorización puede ser general (autorizando la subcontratación pero sin concretar la entidad a la que se puede subcontratar) o específica (identificando a la entidad concreta).

Si la autorización es de carácter general, el encargado informará al responsable de la incorporación de un subencargado –o su sustitución por otros subencargados–, dando así al responsable la oportunidad de oponerse a dichos cambios (es recomendable que en el contrato entre el responsable y el encargado se fije la forma y el plazo en que el responsable deberá manifestar esta oposición).

El cualquier caso, el subencargado del tratamiento debe estar sujeto a las mismas condiciones que el encargado del tratamiento en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En caso de incumplimiento, la responsabilidad ante el responsable del tratamiento recae en el encargado inicial.

La transferencia de datos personales a un tercer país u organización internacional puede realizarse, sin autorización de la autoridad de control, siempre que esté basada en una decisión de adecuación de la Comisión o se ofrezcan garantías adecuadas.

Como excepción, en ausencia de decisión de adecuación o garantías adecuadas, incluidas las normas corporativas vinculantes, la transferencia podrá realizarse si se cumple alguna de las siguientes condiciones:

• El interesado haya dado explícitamente su consentimiento, tras ser informado de los posibles riesgos.
• La transferencia sea necesaria para, por ejemplo, la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado, la formulación, ejercicio o defensa de reclamaciones o para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.
• La transferencia se realice desde un registro público para facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo.

Las transferencias que no cuenten con decisión de adecuación aprobada por la Comisión o que no encuentran dentro de las excepciones mencionadas requieren autorización previa de la AEPD o, en su caso, autoridades autonómicas de protección de datos, que puede otorgarse en los siguientes supuestos:

• cuando la transferencia pretenda fundamentarse en la aportación de garantías adecuadas con fundamento en cláusulas contractuales que no correspondan a las cláusulas tipo;
• cuando la transferencia se lleve a cabo por organismos públicos.

El procedimiento tiene una duración máxima de 6 meses. La autorización queda sometida a la emisión de un dictamen por el Comité Europeo de Protección de Datos que debe ser notificado a la AEPD o, por conducto de la misma, a la autoridad de control competente, en su caso.

El responsable del tratamiento debe tomar todas las medidas necesarias para facilitar al interesado toda la información relativa al tratamiento (identidad del responsable, fines del mismo e información añadida).

La información debe ser fácilmente accesible y fácil de entender y debe tener, como mínimo, el siguiente contenido:

• Identidad del responsable del tratamiento y de su representante, en su caso.
• Finalidad del tratamiento.
• Posibilidad de ejercer los derechos de los afectados.

Si los datos no han sido obtenidos del afectado, la información básica incluye, también, las categorías de datos objeto del tratamiento y las fuentes de las que procedieron los datos.

Las personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales así como del modo de hacer valer sus derechos en relación con el tratamiento.

El interesado tiene derecho de acceso a los datos personales que les conciernen y a la siguiente información:

• Fines del tratamiento.
• Categorías de datos personales de que se trate.
• Destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales.
• De ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo.
• La existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento.
• El derecho a presentar una reclamación ante una autoridad de control.
• Cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen.
• La existencia de decisiones automatizadas, incluida la elaboración de perfiles y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

Usted es el titular de una clínica dental y un paciente se pone en contacto con usted para acceder a sus datos personales y comprobar qué datos personales está tratando sobre él. Usted debe facilitarle una copia de los datos, incluyendo la historia clínica (sin las anotaciones subjetivas del facultativo).

El interesado tiene derecho a obtener, sin dilación indebida, la rectificación de los datos personales inexactos o a completar los datos incompletos, que le conciernan.

La solicitud debe contener los datos personales que hay que rectificar y la rectificación a realizar, y cuando sea preciso, debe acompañarse de la documentación justificativa de la inexactitud o del carácter incompleto de los datos personales tratados.

La solicitud obliga al bloqueo de los datos.

Por ejemplo, si un proveedor le solicita rectificar su nº de cuenta bancaria porque es incorrecta o está incompleto y así lo justifica, usted debe proceder a rectificarlo.

El interesado tiene derecho a obtener, sin dilación indebida del responsable del tratamiento, la supresión de los datos personales que le conciernan, cuando concurra alguna de las circunstancias siguientes:

• Los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo.
• El interesado retire el consentimiento o se oponga al tratamiento.
• Los datos personales hayan sido tratados ilícitamente.
• Los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento.
• Los datos personales se hayan obtenido en relación con la oferta directa a menores de servicios de la sociedad de la información.

La solicitud de supresión obliga al bloqueo de los datos, conservándolos sólo a disposición de las administraciones públicas, jueces y tribunales durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación jurídica o de la ejecución de un contrato. Finalizado dicho plazo, deben destruirse los datos o procederse a su disociación (de forma que no puedan asociarse a una persona identificada o identificable).

Por ejemplo, si ha firmado un contrato de alquiler con un inquilino, y una vez finalizado este le solicita que cancele sus datos, puede conceder lo solicitado procediendo al bloqueo de los datos. De esta manera, ya no utilizará estos datos, pero los conservará por si, por ejemplo, el inquilino presenta una demanda contra usted por alguna cuestión relacionada con el contrato

El «derecho al olvido» conlleva la limitación de difusión universal de datos personales por cualquier medio de difusión, como por ejemplo, los buscadores de Internet (Google, Bing, Yahoo...).

Los interesados pueden solicitar a los responsables de motores de búsqueda, bajo ciertas condiciones, que los enlaces a sus datos personales no aparezcan en los resultados de una búsqueda realizada por su nombre y apellido. También pueden solicitar la supresión de fotos y vídeos que se hayan publicado en la página web de su empresa.

Existen excepciones al ejercicio de este derecho, por ejemplo, cuando el tratamiento sea necesario para ejercer el derecho a la libertad de expresión e información, se realice por razones de interés público en el ámbito de la salud pública o para la formulación, el ejercicio o la defensa de reclamaciones. 

El derecho de limitación de tratamiento consiste en obtener del responsable del tratamiento restricciones en el uso de los mismos, en los siguientes supuestos:

• cuando el interesado impugne la exactitud de los datos personales o se haya opuesto al tratamiento, mientras se verifica la exactitud de los mismos o si los motivos legítimos del responsable prevalecen sobre los del interesado;
• si el tratamiento es ilícito y el interesado se opone a la supresión de los datos personales y solicita en su lugar la limitación de su uso;
• en caso de que el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones.

El interesado ha ejercido los derechos de rectificación u oposición, y su empresa está en proceso de determinar si procede atender a la solicitud. Pues bien, mientras tanto el interesado puede solicitar –en base a este derecho a la limitación del tratamiento– que no se traten sus datos para las finalidades para las que se recabaron.

El derecho de portabilidad de datos del interesado consiste en la posibilidad de recuperar sus datos, en un formato estructurado, de uso común y lectura mecánica y transmitirlos a otro responsable cuando sea técnicamente posible.

El interesado tiene derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento.

El interesado tiene derecho a oponerse en todo momento a que sus datos sean tratados, por ejemplo, con fines de marketing.

La empresa tiene la obligación de informar sobre los medios para ejercitar los derechos.

El interesado o su representante pueden presentar una solicitud dirigida al responsable del tratamiento, que debe responder en el plazo de 1 mes, salvo que por la complejidad o el número de solicitudes no sea posible, se puede prorrogar por 2 meses más. El ejercicio de los derechos es gratuito.

Si transcurrido el plazo de 1 mes no se ha atendido la solicitud, el interesado puede presentar reclamación ante la AEPD. 

1. Si la selección de personal la realiza a través de anuncios, en estos debe incluirse información sobre:

• La existencia de un fichero que contiene datos personales y de la finalidad con la que se han recogido y de los destinatarios de la información.
• El carácter obligatorio o voluntario de su respuesta a las preguntas que les sean planteadas.
• Las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
• La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
• La identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

2.Gestión del CV:

• Es recomendable que disponga de formularios propios para la formalización del currículum y de un procedimiento de formalización y entrega del mismo por los candidatos.
• Si el candidato presenta directamente el CV, sin habérselo solicitado, debe fijar un procedimiento de información que contenga algún modo de acuse o confirmación por el interesado de conocer la forma en que sus datos van a ser tratados.
• Los datos contenidos en el CV no puede cederlos a sus empresas colaboradores, sin tener el consentimiento del interesado.

• Considerar si el perfil del candidato en la red social es profesional o privado.
• Únicamente recabar y tratar datos personales de los candidatos en la medida en que sea necesario y relevante para el desarrollo del puesto de trabajo al que se presentan.
• Suprimir los datos personales tan pronto como el candidato sea descartado o rechace la oferta.
• Que el interesado sea informado de dicho tratamiento de datos antes de que participe en el proceso de contratación.

5. Evaluaciones otest psicológicos. Solo puede realizarlos cuando sea legítimo y necesario con relación a la categoría de la actividad ejercida en la empresa. Deben realizarse por profesionales especialistas y han de ser tratados de forma similar a los datos médicos.

6. No puede solicitar a los candidatos un certificado de antecedentes penales.

7. Usted puede pedir referencias a otras empresas siempre y cuando el interesado esté informado.

En general, la empresa está legitimada para efectuar el tratamiento de datos personales de sus empleados, no siendo necesario el consentimiento cuando los datos de carácter personal sean necesarios para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales.

Por ejemplo, no es necesario recabar el consentimiento del trabajador, sin perjuicio de ser informado, cuando guarda relación con el desempeño de su actividad laboral para: la inclusión de nombre y apellidos en las tarjetas identificativas que deben llevar visibles; el acceso a datos por un asesor externo para la gestión de las nóminas; la implantación de sistemas de control horario; el control del correo electrónico, proporcionado por la empresa, para la realización de su actividad; las escuchas telefónicas realizadas en el sector de telemarketing y que se desarrollan de forma totalmente aleatoria sobre todos los trabajadores por igual, como medio de detectar el óptimo cumplimiento de sus servicios profesionales; o la colocación de sistenas GPS en los vehículos de la empresa.

Si se requiere el consentimiento, por ejemplo, para: la publicación de las fotografías en la página web para fines que exceden el estricto marco de la relación contractual, como ocurre en el caso de que la finalidad sea la de promocionar la empresa; o la difusión de imágenes de los trabajadores por razones ajenas al cumplimiento del contrato, como, por ejemplo, la difusión en Internet con la finalidad de reflejar el movimiento y la actividad de la empresa.

Sus trabajadores tienen derecho a la intimidad en el uso de dispositivos digitales facilitados por su empresa. Debe establecer unos criterios de uso que respeten los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente. Estos criterios deben comunicarse a los trabajadores.

El acceso a estos datos por parte del empleador solo puede realizarse con el objeto de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos. Si se admite el uso privado de los dispositivos móviles, el acceso requiere que se especifiquen de modo preciso los usos autorizados y se establezcan garantías para preservar la intimidad de los trabajadores, tales como, en su caso, la determinación de los períodos en que los dispositivos pueden utilizarse para fines privados.

La utilización de los medios telemáticos y el control del teletrabajo debe garantizar adecuadamente el derecho a la intimidad y a la protección de datos, de acuerdo con los principios de idoneidad, necesidad y proporcionalidad de los medios utilizados. 

1. Información previa. Los empleadores pueden tratar las imágenes obtenidas a través de sistemas de cámaras o videocámaras para el ejercicio de las funciones de control de los trabajadores, siempre que estas funciones se ejerzan dentro de su marco legal y con los límites inherentes al mismo. Los empleadores han de informar con carácter previo, y de forma expresa, clara y concisa, a los trabajadores o los empleados públicos y, en su caso, a sus representantes, acerca de esta medida.

2. En el supuesto de que se haya captado la comisión flagrantede un acto ilícito por los trabajadores se entiende cumplido el deber de informar cuando existiese al menos el dispositivo informativo en lugar suficientemente visible identificando, al menos, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos. En el dispositivo informativo, puede incluirse un código de conexión o dirección de internet a esta información.

3. No se admite la instalación de sistemas de grabación de sonidos ni de videovigilancia en lugares destinados al descanso o esparcimiento de los trabajadores o los empleados públicos, tales como vestuarios, aseos, comedores y análogos.

4. La utilización de sistemas similares para la grabación de sonidos en el lugar de trabajo se admite únicamente cuando resulten relevantes los riesgos para la seguridad de las instalaciones, bienes y personas derivados de la actividad que se desarrolle en el centro de trabajo y siempre respetando el principio de proporcionalidad, el de intervención mínima y las garantías previstas en los apartados anteriores.

5. La supresión de las imágenes o los sonidos debe hacerse en el plazo máximo de un mes desde su captación, salvo que deban conservarse para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. En este caso, los sonidos deben ser puestas a disposición de la autoridad competente en un plazo máximo de 72 horas desde que se tuviera conocimiento de la existencia de la grabación.

Su empresa puede tratar los datos obtenidos a través de sistemas de geolocalización para el ejercicio de las funciones de control de los trabajadores dentro del marco legal y con los límites inherentes al mismo y siempre que, con carácter previo, hayan informado de forma expresa, clara e inequívoca a los trabajadores y, en su caso, a sus representantes, acerca de la existencia y características de estos dispositivos y del posible ejercicio de los derechos de acceso, rectificación, limitación del tratamiento y supresión.

La cancelación de los datos debe producirse cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

Se recomienda que el período de retención de los datos de localización sea razonable, es decir, que no supere los 2 meses;

Si usted desee llevar a cabo el tratamiento de tratos de localización por un período superior a los 2 meses (por ejemplo, para elaborar un registro histórico de los viajes con el fin de optimizar los recursos), es recomendable que previamente se hagan anónimos los datos.

El establecimiento de canales de denuncias o quejas de empleados o terceros “líneas de whistleblowing” entraña en sí mismo un tratamiento de datos.

Un sistema típico es la implantación de buzones de denuncia. 

La empresa debe informar y formar a todos los empleados y, en su caso, a los representantes de los trabajadores, y a los terceros que contraten con ella, sobre:

• La existencia y finalidad del canal de denuncias internas.
• Su funcionamiento (forma de presentar la denuncia, plazos de resolución, órganos de investigación y resolución de las denuncias, accesible para todo el personal, etc.).
• La garantía de confidencialidad de los datos del denunciante.
• La garantía de información al empleado denunciado sobre la existencia de la denuncia o queja que se haya podido interponer contra él.

• Aquellos que, pertenezcan o no a la entidad, desarrollen las funciones de control interno y de cumplimiento normativo; o
• Los encargados del tratamiento que eventualmente se designen a tal efecto.

La empresa tiene la obligación de cancelar todos los datos de sus ex-empleados, que hayan dejado de ser necesarios para el fin para el que fueron recogidos. Pero usted puede conservar datos de su ex empleado con el objeto, por ejemplo, de:

• aportar pruebas en un pleito iniciado por este;
• evitar los perjuicios de una posible competencia desleal, cuando ha cesado voluntariamente para crear una empresa, advirtiendo a sus clientes sobre el cese de los mismos y la inexistencia de vinculación con la nueva entidad.

Al finalizar la relación laboral, es recomendable eliminar a ese usuario de las cuentas corporativas, cambiar contraseñas…..

El tratamiento de los perfiles de los empleados en redes sociales, por norma general, no debe realizarse. No obstante, en el caso de antiguos empleados, pueden tratarse datos provenientes de redes sociales de empleo siempre que el empleador pueda demostrar que esta vigilancia es necesaria para proteger sus intereses legítimos, que los antiguos empleados han sido debidamente informados y que se ha utilizado el medio menos invasivo.

Por ejemplo, puede ser lícito el tratamiento de datos de ex-empleados de la red social Linkedin si, por ejemplo, un empleador monitoriza su perfil durante el período de duración de una cláusula de no competencia.

La videovigilancia es uno de los ámbitos en los que la privacidad de las personas se ve más amenazada. Por ello, es necesario que su uso sea proporcional al fin perseguido y respete el derecho a la intimidad. La finalidad del tratamiento de imágenes obtenidas mediante sistemas de cámaras o videocámaras es preservar la seguridad de las personas y bienes, así como de sus instalaciones o el control de accesos a aparcamientos y garajes.

Por ejemplo, no es posible su colocación en zonas privadas (vestuarios, aseos…). Deben colocarse en zonas donde razonablemente puedan cumplir con su finalidad (por ejemplo, en el acceso a sus instalaciones).

Cuando el fin de la videovigilancia sea prevenir infracciones, evitar daños a las personas o bienes objeto de protección o impedir accesos no autorizados, los servicios de videovigilancia deben ser prestados necesariamente por empresas de seguridad privada.

La instalación de estos sistemas de videovigilancia debe ser informada mediante la colocación de un dispositivo informativo en lugar suficientemente visible y, como mínimo, en los accesos a las zonas vigiladas, ya sean interiores o exteriores. Debe identificar, al menos, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos de los interesados.

El tratamiento de los datos captados por estos sistemas no tiene especialidades en relación con el ejercicio de los derechos de los interesados, aunque no es posible, por ejemplo, el ejercicio del derecho de rectificación, ya que al tratarse de imágenes tomadas de la realidad, resulta imposible.

Los datos deben ser suprimidos en el plazo máximo de un mes desde su captación, salvo cuando se deban conservar para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. En tal caso, las imágenes deben ser puestas a disposición de la autoridad competente en un plazo máximo de 72 horas desde que se tuviera conocimiento de la existencia de la grabación.

1. Si en el ejercicio de su actividad utiliza una página web con la que capta datos personales debe insertar un aviso legal para cumplir con el deber de información y consentimiento, que los usuarios deben aceptar expresamente.

Por ejemplo, puede hacer que los usuarios marquen una casilla al pie del formulario, justo en donde se inserte un enlace que diga ‘Acepto la Política de Privacidad’ (o similar) y que reenvíe a la información requerida por el RGPD.

2. Su empresa debe informar de la utilización de cookies –archivos de información almacenados en el navegador del usuario- y obtener su consentimiento para utilizar o instalarlas. La información sobre las cookies facilitada en el momento de solicitar el consentimiento debe ser suficientemente completa para permitir a los usuarios entender sus finalidades y el uso que se les dará.

1. La dirección de correo electrónico tiene la consideración de dato personal, ya que es posible identificar perfectamente a una persona física, teniendo en cuenta que la dirección de correo aparecerá vinculada a un dominio concreto y solo será preciso consultar al servidor en que se gestione dicho servicio.

Si su empresa envía publicidad a través del correo electrónico, los destinatarios deben haber consentido previamente el envío. Por tanto, debe asegurarse de que en todos los formularios de su empresa donde se recogen datos de posibles clientes se mencione que estos le autorizan expresamente a enviarles publicidad.

El propio e-mail debe informar al destinatario de la posibilidad de revocar el consentimiento otorgado inicialmente para el envío de la publicidad, e incluir una dirección electrónica a la que dirigirse para solicitar dicha revocación.

2. La dirección IP se considera dato personal. La información relativa al historial de accesos a Internet asociada a una persona identificada o identificable, que permite la evaluación de la misma y repercute en sus derechos e intereses.

3. Toda persona tiene derecho a que los motores de búsqueda en Internet eliminen de las listas de resultados que se obtengan tras una búsqueda efectuada a partir de su nombre los enlaces publicados que contuvieran información relativa a esa persona cuando fuesen inadecuados, inexactos, no pertinentes, no actualizados o excesivos o hubieren devenido como tales por el transcurso del tiempo, teniendo en cuenta los fines para los que se recogieron o trataron, el tiempo transcurrido y la naturaleza e interés público de la información.

Si su empresa almacena datos personales de terceros en los servidores del proveedor de cloud, debe tomar precauciones, pues no todos los proveedores de alojamiento cumplen con los requisitos sobre protección de datos. Lea atentamente condiciones del servicio que va a contratar, ya que usted es el responsable del tratamiento no el proveedor que es un encargado del mismo.

Si el servidor está ubicado en España, asegúrese de que el contrato que usted acepta incluye las siguientes obligaciones a cargo del proveedor de servicios cloud:

• Que este se compromete a no aplicar o utilizar los datos con fines distintos a los acordados y a no comunicarlos a terceras personas.
• Que este implantará medidas adecuadas al nivel de riesgo de los tratamientos de los datos, evitando que se destruyan, se alteren o se acceda a ellos sin autorización.
• Que al finalizar el contrato devolverá los datos y no conservará copia alguna.
• Que los derechos de los interesados se ejercerán en su empresa (no en el proveedor de alojamiento de datos).

En relación con los servicios de redes sociales y servicios equivalentes, toda persona tiene:

1. Derecho al olvido. Toda persona tiene derecho a que sus datos personales facilitados para su publicación por servicios de redes sociales y servicios de la sociedad de la información equivalentes sean suprimidos:

• a su simple solicitud, si se trata de datos aportados por ella;si fueron aportados por terceros, cuando sean inadecuados, inexactos, no pertinentes, no actualizados o excesivos o hayan devenido como tales por el transcurso del tiempo, teniendo en cuenta los fines para los que se recogieron o trataron, el tiempo transcurrido y la naturaleza e interés público de la información; o
• cuando las circunstancias personales que en su caso invocase el afectado evidenciasen la prevalencia de sus derechos sobre el mantenimiento de los datos por el servicio. Se exceptúan los datos facilitados por personas físicas en el ejercicio de actividades personales o domésticas.

2. Derecho de portabilidad. Los usuarios de redes sociales tienen derecho a recibir y transmitir los contenidos que hayan facilitado a los prestadores de dichos servicios, así como a que los prestadores los transmitan directamente a otro prestador designado por el usuario, siempre que sea técnicamente posible. Los prestadores pueden conservar, sin difundirla a través de Internet, copia de los contenidos cuando sea necesario para el cumplimiento de una obligación legal.

La ciberseguridad es también una cuestión esencial en relación con la protección de datos personales. Al respecto, el Instituto Nacional de Ciberseguridad (INCIBE) ofrece contenidos y herramientas dirigidas a las pymes (accesibles a través de https://www.incibe.es) que pueden ser utilizados para el desarrollo de políticas, procedimientos y protocolos para el cumplimiento, así como para concienciar a todas las personas de la empresa o vinculadas con la misma con la finalidad de evitar riesgos que afecten o puedan afectar a la confidencialidad, integridad y disponibilidad de los datos personales.

Las infracciones en materia de protección de datos pueden ser:

• Muy graves. Entre otras, las que supongan vulneración de los principios básicos del tratamiento: incumplimiento de la obligación de obtención de consentimiento; revelar datos especialmente protegidos; usar los datos para un fin distinto para el que fueren recogidos, no atender el ejercicio de los derechos de los afectados….
• Graves. Entre otras, no llevar a cabo una valoración previa de riesgos; no realizar evaluación de impacto, cuando sea precisa; no adoptar medidas técnicas y organizativas adecuadas; contratar a un encargado de tratamiento que no ofrezca las garantías suficientes; no comunicar al afectado una violación de la seguridad de sus datos si se ha requerido la notificación por la autoridad….
• Leves. Como por ejemplo, no informar debidamente al interesado, suprimir datos de personas fallecidas cuando fuera exigible… 

Las infracciones en materia de protección de datos se sancionan con multas administrativas de:

• Hasta 10.000.000 euros o de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, en los casos menos graves.
• Hasta 20.000.000 euros o de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, en caso infracciones más graves.

Para fijar la cuantía de la sanción (dentro de los márgenes establecidos para cada una de las infracciones) se tienen en cuenta una serie de criterios de graduación (por ejemplo, el volumen de negocio o actividad del infractor, el grado de intencionalidad, el que haya reincidencia o no, los perjuicios causados a las personas interesadas y a terceras personas…).

Las infracciones prescriben en los siguientes plazos:

• Muy graves: 3 años.

• Graves: 2 años.

• Leves: 1 año.

Las sanciones prescriben:

• De importe inferior a 40.000 €.: 1 año.

• De importe entre 40.001 y 300.000 €.: 2 años.

• De importe superior a 300.001 €.: 3 años.

Quien sufra daños y perjuicios materiales o inmateriales como consecuencia de una infracción de la normativa de protección de datos, tiene derecho a interponer la acción judicial correspondiente para recibir, del responsable o el encargado del tratamiento, una indemnización por los daños y perjuicios sufridos.