Cumplimiento RGPD para empresas: evite multas y proteja su negocio

El RGPD en España: marco normativo actual

El Reglamento General de Protección de Datos (RGPD) es directamente aplicable en España desde mayo de 2018 y convive con la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD), aprobada en diciembre de 2018, que adapta el RGPD al ordenamiento español e introduce disposiciones específicas en materia laboral, de menores y de nuevas tecnologías.

La Agencia Española de Protección de Datos (AEPD) es la autoridad supervisora en España y ha mostrado en los últimos años una actividad sancionadora creciente. Las empresas españolas han sido multadas por prácticas tan habituales como usar cookies sin consentimiento válido, no eliminar datos de exempleados o transferir datos a terceros países sin garantías adecuadas.

Tratamientos de datos más frecuentes en empresas españolas

Casi todas las empresas, independientemente de su tamaño y sector, realizan tratamientos de datos personales que requieren cumplimiento RGPD:

• Datos de empleados: Gestión de nóminas, control de presencia, videovigilancia, uso de dispositivos corporativos, comunicaciones internas.
• Datos de clientes: CRM, facturación, historiales de compra, comunicaciones comerciales, encuestas de satisfacción.
• Datos de proveedores y contactos: Agendas de contactos, intercambio de tarjetas de visita, comunicaciones de negocio.
• Datos en la web: Cookies, formularios de contacto, registro de usuarios, tiendas online, chatbots.

El papel del DPO externo

El Delegado de Protección de Datos (DPO, por sus siglas en inglés) es la figura clave del sistema de cumplimiento RGPD. Sus funciones incluyen informar y asesorar al responsable del tratamiento y a los empleados, supervisar el cumplimiento del reglamento, cooperar con la autoridad de control y actuar como punto de contacto con la AEPD.

El DPO externo ofrece las mismas ventajas que el interno (expertise especializado, independencia, acceso a información actualizada sobre la regulación) sin los costes de contratación de un recurso a tiempo completo. Es la solución más eficiente para la mayoría de pymes y medianas empresas.

Transferencias internacionales de datos

Si su empresa utiliza servicios en la nube de proveedores estadounidenses (Google Workspace, Microsoft 365, Salesforce, AWS, etc.), esta realizando transferencias internacionales de datos personales a países terceros. Desde la invalidacion del Privacy Shield en 2020 y la aprobación del EU-US Data Privacy Framework en 2023, el marco legal para estas transferencias ha cambiado. En BMC le asesoramos sobre las garantías adecuadas que debe implementar para cada proveedor y región.

Las bases jurídicas del RGPD: elegir la correcta es crítico

El artículo 6 del RGPD establece seis bases jurídicas que pueden legitimar el tratamiento de datos personales: el consentimiento del interesado; la ejecución de un contrato en el que el interesado es parte; el cumplimiento de una obligación legal; la protección de intereses vitales; el cumplimiento de una misión de interés público; y el interés legítimo del responsable o de un tercero, siempre que no prevalezcan los derechos del interesado.

La elección correcta de la base jurídica para cada tratamiento es una de las decisiones más importantes del proceso de adecuación al RGPD. Elegir el consentimiento como base jurídica cuando no es la adecuada es uno de los errores más frecuentes: el consentimiento debe ser libre, específico, informado e inequívoco, y el interesado tiene derecho a retirarlo en cualquier momento. Si el tratamiento es necesario para ejecutar un contrato con el interesado (por ejemplo, el tratamiento de datos de facturación de un cliente), la base correcta es la ejecución del contrato, no el consentimiento. Solicitar consentimiento cuando la base es el contrato genera una falsa expectativa de que el interesado puede oponerse al tratamiento retirando el consentimiento, cuando en realidad el tratamiento es necesario para la relación contractual.

Para el tratamiento de datos de empleados, la base jurídica principal es la obligación legal (el Estatuto de los Trabajadores y la normativa laboral obligan a la empresa a tratar ciertos datos) y la ejecución del contrato de trabajo, complementados con el interés legítimo en algunos casos (videovigilancia con límites, control de accesos). El consentimiento del trabajador no es una base jurídica válida para los tratamientos vinculados a la relación laboral, dado que la relación de dependencia laboral hace que el consentimiento no sea libre.

Las categorías especiales de datos: el régimen de protección reforzada

El artículo 9 del RGPD establece un régimen de protección reforzada para determinadas categorías de datos personales cuyo tratamiento queda prohibido con carácter general, salvo que concurra una de las excepciones específicas previstas: datos reveladores del origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos para identificar inequívocamente a una persona, datos relativos a la salud, datos relativos a la vida sexual u orientación sexual.

En el contexto empresarial, los tratamientos de categorías especiales más frecuentes son: datos de salud de empleados en el contexto de la gestión de bajas por enfermedad o incapacidad temporal (la empresa puede tratar el hecho de la baja, pero no el diagnóstico); datos biométricos en sistemas de control de presencia por huella dactilar o reconocimiento facial (requieren evaluación de impacto y base jurídica específica, generalmente consentimiento explícito o necesidad para la gestión de la relación laboral bajo convenio colectivo); y datos de afiliación sindical en el contexto de descuentos en nómina de cuotas sindicales.

La Evaluación de Impacto de Protección de Datos (EIPD) es obligatoria cuando el tratamiento implique categorías especiales de datos a gran escala, vigilancia sistemática a gran escala de una zona de acceso público, o evaluaciones sistemáticas de personas mediante elaboración de perfiles. La EIPD debe realizarse antes de iniciar el tratamiento y debe incluir la descripción del tratamiento, la evaluación de la necesidad y proporcionalidad, la evaluación de los riesgos y las medidas para abordarlos.

La gestión de brechas de seguridad: el protocolo de las 72 horas

El artículo 33 del RGPD impone la obligación de notificar a la autoridad de control (la AEPD en España) cualquier brecha de seguridad de los datos personales que sea probable que suponga un riesgo para los derechos y libertades de las personas físicas, en el plazo de 72 horas desde que el responsable del tratamiento haya tenido conocimiento de ella.

El proceso de gestión de una brecha de seguridad debe seguir un protocolo establecido: detección y contención (aislar los sistemas afectados, evitar la propagación del incidente); evaluación del impacto (qué datos se han visto afectados, cuántas personas, qué probabilidad de daño para los interesados); notificación a la AEPD si el riesgo es probable (mediante el sistema habilitado en la web de la AEPD, indicando al menos la naturaleza de la brecha, las categorías de datos afectados, el número aproximado de interesados y las medidas adoptadas); y comunicación a los interesados si el riesgo es alto (por ejemplo, si hay riesgo de robo de identidad, pérdida financiera o daño a la reputación de los afectados).

El incumplimiento del plazo de 72 horas, la no notificación de brechas que debían notificarse, o la notificación incorrecta o incompleta son infracciones sancionables por la AEPD. BMC actúa como punto de contacto con la AEPD en brechas de seguridad y gestiona el protocolo completo desde la detección hasta la resolución del incidente.

Transferencias internacionales de datos: el marco post-Schrems II

El Reglamento UE 2016/679 establece que los datos personales solo pueden transferirse a terceros países que ofrezcan un nivel de protección equivalente al de la UE. Tras la sentencia del TJUE en el caso Schrems II (julio 2020), que anuló el Privacy Shield EU-USA, el mecanismo principal para las transferencias a Estados Unidos y otros países sin decisión de adecuación son las Cláusulas Contractuales Tipo (CCT) adoptadas por la Comisión Europea.

Las empresas españolas que utilizan servicios en la nube de proveedores estadounidenses (Google Workspace, Microsoft 365, Salesforce, AWS, Zoom, Slack, HubSpot, etc.) están realizando transferencias internacionales de datos personales de sus empleados, clientes y contactos. En la mayoría de los casos, estos proveedores ofrecen las CCT como mecanismo de transferencia, pero la empresa española es responsable de verificar que el proveedor las tiene firmadas y actualizadas (las CCT se actualizaron en 2021) y de realizar la Transferencia Impact Assessment (TIA) para evaluar si la legislación del país de destino permite a las autoridades acceder a los datos de forma incompatible con los derechos de los interesados europeos.

La aprobación del EU-US Data Privacy Framework en julio de 2023 ofrece un mecanismo adicional de transferencia para empresas estadounidenses que se autoCertifiquen en el framework, equivalente a la antigua Safe Harbor y al Privacy Shield. Sin embargo, la solidez jurídica del framework es controvertida y puede ser objeto de nuevos recursos ante el TJUE. BMC asesora sobre el mecanismo de transferencia más adecuado para cada proveedor y actualiza la documentación de transferencias internacionales de sus clientes cuando cambia el marco normativo.

El registro de actividades de tratamiento: la columna vertebral del cumplimiento RGPD

El registro de actividades de tratamiento (RAT) es el documento central del sistema de cumplimiento RGPD para los responsables del tratamiento. El artículo 30 del RGPD exige que cada organización responsable del tratamiento mantenga un registro escrito (en papel o formato electrónico) de todas las actividades de tratamiento bajo su responsabilidad.

Para cada actividad de tratamiento, el RAT debe incluir: el nombre y datos de contacto del responsable y, en su caso, del DPO; las finalidades del tratamiento; la descripción de las categorías de interesados y las categorías de datos personales; las categorías de destinatarios; las transferencias a países terceros; los plazos de conservación de los datos; y las medidas técnicas y organizativas de seguridad. El RAT no es un documento que se elabora una vez y se olvida: debe actualizarse cada vez que se incorpore un nuevo tratamiento, cuando cambie la finalidad o la base jurídica de un tratamiento existente, o cuando se produzca un cambio de proveedor o de sistema tecnológico. BMC mantiene el RAT actualizado de sus clientes y lo revisa con carácter semestral.