✔ Hay todavía quienes piensan que los autónomos no deben cumplir con la normativa sobre protección de datos, puesto que, por lo general, el tratamiento de datos de carácter personal que realizan es escaso o de poca relevancia. Sin embargo, existen muchos autónomos (por ejemplo, desarrolladores informáticos) que pueden acceder y, por tanto, manipular datos de carácter personal muy relevantes de sus clientes (por ejemplo, imaginemos un desarrollador informático autónomo que ha sido contratado por un banco para configurar una herramienta informática donde se almacenan las cuentas bancarias de sus clientes).
En todo caso, debe quedar claro que, los autónomos, independientemente de la relevancia de los tratamientos que efectúen, están sometidos a la normativa sobre protección de datos y, por tanto, al cumplimiento del Reglamento (UE) 2016/679 General de Protección de Datos (“RGPD”) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (“LOPDGDD”).
En el post de hoy explicamos cuáles son las obligaciones mínimas que deben cumplir los autónomos en esta materia.
¿Qué obligaciones deben cumplir los autónomos en protección de datos?
Las obligaciones que, como mínimo, deben cumplir los autónomos en materia de protección de datos son las siguientes:
- Elaborar un Registro de Actividades de Tratamiento (RAT), si el tratamiento que realizan es habitual y no ocasional. Por lo general, aunque un proveedor únicamente trate datos de contacto de personas físicas que trabajan para clientes y proveedores, este tratamiento se realizará de forma habitual en el tiempo.
- Mantener el deber de confidencialidad de los datos tratados, es decir, mantener el secreto de todos los datos de carácter personal que maneje y, por tanto, no poder reproducirlos, copiarlos, transmitirlos, difundirlos, divulgarlos o comunicarlos aunque sea parcialmente, a terceras partes ni utilizarlos en interés propio o de familiares o amigos.
- Adoptar medidas de seguridad técnicas y organizativas apropiadas (política de contraseñas, realización de copias de seguridad) en función del riesgo, teniendo en cuenta: el estado de la técnica; los costes de aplicación y la naturaleza; el alcance, el contexto y los fines del tratamiento; y los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.
- Informar a sus clientes y proveedores del tratamiento de sus datos, mediante cláusulas informativas y recabar su consentimiento para el mismo salvo que pudiera ampararse en otra base que legitime el tratamiento como, por ejemplo, la ejecución del contrato.
- Firmar contratos de Encargado de Tratamiento con los clientes por cuenta del cual actúa. En el ejemplo anterior del desarrollador informático, el autónomo debe firmar con el banco, un acuerdo donde se refleje que va a actuar conforme a sus instrucciones, donde se delimite a qué datos puede acceder, y demás requisitos que contempla el artículo 28 RGPD.
- Atender las solicitudes de ejercicios de derechos de los interesados (derecho de acceso, rectificación, supresión, oposición, portabilidad, limitación al tratamiento y a no ser objeto de decisiones automatizadas) en el plazo máximo de un mes. Para ello, debe tener disponible una dirección de correo electrónico o postal visible en sus cláusulas informativas, donde los interesados puedan hacer llegar sus solicitudes.
- En caso de padecer una violación de seguridad, debe registrarla a nivel interno en un “registro de incidencias” y, además, notificarla a la autoridad de control (en el ámbito nacional, la Agencia Española de Protección de Datos) en el plazo máximo de 72 horas en el caso de que la violación sea probable de entrañar “un riesgo” para los derechos y libertades de los interesados; y, además, comunicarla a los interesados afectados en el caso de que la violación sea probable de entrañar no solo un riesgo, sino un “alto riesgo”, para sus derechos y libertades.
Estimado lector, si tiene alguna duda relacionada con la «protección de datos», no dude en ponerse en contacto con nosotros utilizando nuestro formulario corporativo.
