Hace un año, 5 de diciembre de 2018, se publicó la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales. Una ley que incorporó aspectos novedosos que afectan no sólo a ciudadanos, sino a los sectores público y privado. Una Ley que cerró el 2018, con un hito relevante como fue la entrada en vigor, vencido el período de aplicación, del Reglamento Europeo 2016/679 General de Protección de Datos.
2018. Un año de grandes cambios en materia de protección de datos personales para todas las empresas
El tratamiento de datos personales de empleados, por tanto, ha de cumplir con lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (eRGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), leyes que tienen por objeto la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos así como garantizar los derechos digitales.
Entre los aspectos más relevantes introducidos hay que destacar:
- La Ley obliga a las organizaciones cuyas actividades principales consistan en tratamientos que requieran una observación habitual y sistemática de los ciudadanos a gran escala a designar un Delegado de Protección de Datos que cuente con la debida cualificación.
- Además de la designación, las organizaciones deberán garantizarle los medios necesarios para el ejercicio de sus funciones y notificar la designación a la AEPD para su inclusión en el Registro público de Delegados de Protección de Datos. Esto puede ocurrir ante el tratamiento a gran escala de categorías especiales de datos personales o datos relativos a condenas e infracciones penales.
- El RGPD y la Ley Orgánica recogen varias bases jurídicas legitimadoras del tratamiento de datos personales por parte de las organizaciones privadas. Algunas de ellas son la relación contractual previa que contemple el tratamiento, el consentimiento del ciudadano o que el interés legítimo prevalezca sobre los derechos de las personas, por ejemplo. Por tanto, en la actualidad, no resulta necesario que el particular consienta al tratamiento de sus datos personales si existe otra base jurídica que legitime el tratamiento.
- La Ley Orgánica garantiza el derecho a la intimidad de los empleados en el lugar de trabajo frente al uso de dispositivos de videovigilancia y de grabación de sonidos, así como frente al uso de los dispositivos digitales y sistemas de geolocalización, de los que deberán ser informados de forma expresa, clara e inequívoca.
- Los contratos de encargo de tratamiento de datos personales entre las organizaciones (como responsables) y terceros (como encargados de tratamiento) suscritos antes del 25 de mayo de 2018 mantendrán su vigencia como máximo hasta el 25 de mayo de 2022
Un año después, ¿cuál es el balance que podemos hacer?
El nuevo reglamento es legalmente complejo y ante todo supuso un cambio de paradigma en la gestión de los datos. El nuevo Reglamento de Protección de Datos obliga las empresas a ponerse al día e incita su digitalización para hacer más eficiente el cumplimiento de la gestión y recogida de datos. En este primer año, se denota un cambio en la cultura ciudadana y el las empresas versus sus datos personales. Según datos oficiales de la Agencia Española de Protección Datos, el número de reclamaciones en 2018 registró un aumento del 32,8% de las reclamaciones de particulares.
El tratamiento de datos de terceros en coordinación empresarial.
Cuando una organización pública, empresa o autónomo trata datos personales (clientes, trabajadores, etc.) y los comunica a terceros ajenos, se está realizando un encargo de tratamientos de datos personales y por ello deberá asegurarse que se tiene un contrato de Encargado de Tratamiento con este tercero que accede o usa estos datos personales.
Por ello, uno de los primeros puntos a abordar es el alcance de su aplicación y, en consecuencia, las responsabilidades del tratamiento. En coordinación de actividades empresariales y en lo referente a la subcontratación, existen relaciones jurídicas en las que los sujetos asumen el rol de Responsable o de Encargado de tratamiento, ya que la empresa titular o cliente solicita documentación a sus contratas en cumplimiento con el deber de control regulado en el RD 171/2004 de coordinación de actividades empresariales; pudiendo tratar estos datos directamente o externalizarlo a un tercero. Quién es el responsable del tratamiento y quién el Encargado deberá estar identificado en el flujo documental definido.
Cuando gestionamos la prevención de riesgos laborales de nuestros trabajadores propios o contratados, es numerosa la documentación que hay que gestionar: solicitar, enviar, almacenar, custodiar…etc. Es fundamental hacer un uso y tratamiento correcto de dicha información; de lo contrario se vulnerarán los derechos fundamentales del trabajador. El no hacerlo, por desconocimiento u omisión es una acción que puede ser sancionada igualmente.
En Grupo CTAIMA somos expertos auditores en el tratamiento de datos personales tanto de empleados, como de clientes y proveedores. ¿Necesitas ayuda? No dudes en llamarnos y te explicaremos cómo podemos ayudarte.