Los cambios recientes en la normativa de protección de datos de Reino Unido y Europa han impuesto requisitos estrictos para todas las empresas que traten datos personales, incluidas pequeñas y medianas empresas (PyMEs), que deben asegurarse de cumplir con todas las normas.
El panorama de regulación de protección de datos ha cambiado de manera significativa en los últimos años, especialmente en Reino Unido y Europa, con grandes implicaciones para las pequeñas y medianas empresas (PyMEs). La principal ley de protección de datos en Europa es el Reglamento General de Protección de Datos /RGPD) y la directiva ePrivacy. Sus equivalentes en Reino Unido son el UK GDPR y la normativa PECR, ambos sin cambios materiales desde el Brexit y complementados por la ley de protección de datos británica, la DPA 2018.
Estas leyes se enfocan a proteger los datos personales de los interesados y establecer normas claras para empresas y organizaciones sobre recoger, almacenar y utilizar estos datos. Para las PyMEs, esta normativa implica una mayor responsabilidad en cuanto a la protección de los datos personales. Por ejemplo, es necesario tener sistemas y procesos robustos y ser capaz de demostrar cumplimiento. En caso contrario, se podrán imponer sanciones y multas, lo que implica que es fundamental que todos los departamentos y cada una de las personas involucradas en el tratamiento de datos personales comprendan sus obligaciones.
El RGPD impone medidas de protección de datos para todas las empresas, incluidas PyMEs, que traten datos personales de residentes europeos o que lleven a cabo actividades de tratamiento de datos personales en el contexto de un establecimiento en la UE.
El RGPD es una norma de protección de datos integral que comenzó a aplicarse en la Unión Europea el 25 de mayo de 2018. Es un reglamento que se aplica a todas las empresas que traten datos personales de residentes europeos o que lleven a cabo actividades de tratamiento de datos personales en el contexto de un establecimiento en la UE, independientemente de su tamaño, lo cual incluye PyMEs. El RGPD define algunos principios básicos como la legalidad y legitimidad del tratamiento, la transparencia, la precisión, la limitación de tratamiento, la integridad y la confidencialidad. Asimismo, requiere que las PyMEs identifiquen una base de tratamiento legítima antes de tratar datos personales de los sujetos y que proporcionen información clara sobre cómo se van a tratar los datos. Las PyMEs deberán también implementar sistemas y procesos robustos para proteger los datos personales y demostrar cumplimiento con el RGPD. El no cumplimiento puede derivar en importantes sanciones, con multas que pueden alcanzar los 20 millones de euros o el 4% del beneficio anual anterior, según la cifra que sea mayor. En consecuencia, el RGPD impacta de manera significativa en las operaciones diarias de las empresas, y destaca la necesidad de implementar fuertes medidas de seguridad.
La Directiva ePrivacy define normas para PyMEs en relación con las comunicaciones electrónicas, incluidas cookies, marketing y requisitos de confidencialidad.
La directiva ePrivacy, formalmente conocida como Directiva 2002/58/EC, es una legislación crítica en la UE que aborda de manera específica la protección de la privacidad en el contexto de las comunicaciones electrónicas. Complementa el RGPD añ añadir normas concretas para el tratamiento de datos personales en el entorno digital.
La normativa ePrivacy cubre algunas áreas muy importantes para PyMEs. En primer lugar, regula el uso de cookies y tecnologías similares al requerir que las empresas obtengan el consentimiento de los usuarios antes de instalar cookies en sus dispositivos, excepto en el caso de aquellas estrictamente necesarias para proporcionar los servicios solicitados por el usuario. También establece normas sobre marketing directo y estipula que las comunicaciones de marketing no solicitadas sólo pueden enviarse con consentimiento, salvo en algunas circunstancias específicas.
La directiva enfatiza la importancia de la confidencialidad de las comunicaciones, lo que supone que las PyMEs deben respetar la confidencialidad de las comunicaciones de sus clientes e implementar las medidas apropiadas para proteger la seguridad de las mismas. Es importante ddestacar que la UE está trabajando en un Reglamento ePrivacy, el cual reemplazaría la directive actual y se aplicaría de manera directa a todos los Estados Miembro para ofrecer un enfoque harmonizado sobre privacidad y comunicaciones electrónicas.
El UK GDPR, implementado después del Brexit, requiere que las PyMEs traten los datos personales de manera legítima y transparente, que apliquen medidas de seguridad y que comuniquen las brechas de datos personales inmediatamente.
El UK GDPR regula el tratamiento de datos personales en Reino Unido. Se implementó después del Brexit e incorpora todos los principios del RGPD en la normativa británica y refleja la mayoría de los requisitos del RGPD, para tratamiento de datos personales de residentes de Reino Unido o en el contexto de un establecimiento en Reino Unido. Al igual que el RGPD, el UK GDPR está diseñado para ofrecer a los sujetos un mayor control sobre sus datos personales, asegurando la protección de su privacidad.
Esta ley tiene implicaciones significativas para las PyMEs, que deben tratar los datos personales de manera legítima, transparente y sólo para finalidades específicas, lo cual hace necesario definir la base de tratamiento más adecuada antes de llevar a cabo las actividades, proporcionar información clara sobre cómo se utilizarán los datos y garantizar los derechos de acceso, rectificación y eliminación de datos, entre otros. De la misma forma que el RGPD, las PyMEs también tendrán que implementar medidas de seguridad apropiadas para proteger los datos y notificar las brechas de seguridad dentro de las primeras 72 horas, excepto cuando sea improbable que ésta resulte en un riesgo para los derechos y libertades de las personas. La falta de cumplimiento puede resultar en grandes multas, hasta un máximo de 17,5 millones de libras o el 4% del beneficio anual, según la cantidad que sea mayor.
La DPA 2018 establece normas sobre tratamiento de datos para PyMEs, incluida la obligación de identificar una base legítima para el tratamiento e implementar medidas de seguridad.
La DPA 2018 es la ley principal de Reino Unido en este ámbito y regula la recogida, almacenamiento y tratamiento de datos personales. No sólo incorpora y suplementa el UK GDPR sino que también contiene provisiones únicas en aspectos como implementación de la normativa y servicios de inteligencia. Las normas aplicables a las PyMEs cubren elementos como las bases de tratamiento, la precisión de los datos personales o la limitación del tratamiento a las finalidades originales con las que fueron recogidos. Además, la DPA 2018 estipula medidas para proteger los datos frente accesos, usos o cesiones no autorizados y garantizar que los sujetos puedan solicitad la eliminación o corrección de los datos, entre otros derechos como la portabilidad. Si bien la DPA 2018 es una normative compleja, es fundamental que las PyMEs entiendan cuáles son sus responsabilidades, pues las infracciones pueden conducir a importantes multas, tal y como sucede con el UK GDPR.
La normativa PECR incluye normas sobre comunicaciones electrónicas y uso de cookies, con sanciones por no cumplimiento.
La PECR es una normativa específica de Reino Unido que complementa a la DPA 2018 y el UK GDPR y que contiene normas sobre el uso de comunicaciones electrónicas con finalidades de marketing, la instalación de cookies y la seguridad. Para las PyMEs, comprender estas obligaciones es esencial en aspectos como la utilización de canales de comunicaciones electrónicas para marketing, como el email o los mensajes de texto, pues deberán confirmar que cuentan con el consentimiento del interesado, salvo que exista una relación previa con el receptor y se publiciten productos o servicios similares a los ya adquiridos. Por otro lado, si se emplean cookies, se deberá asegurar que los usuarios reciben toda la información necesaria y que proporcionan su consentimiento, salvo cuando las cookies sean estrictamente necesarias para el funcionamiento de la página web. Cualquier incumplimiento de estas normas puede también suponer una multa de forma es importante contar con recursos internos que permitan definir e implementar las acciones necesarias para cumplir con la normativa PECR.
Hay múltiples medidas que las PyMEs pueden tomar para asegurar cumplimiento con la normativa de protección de datos.
Hay varios pasos que las PyMEs pueden llevar a cabo para garantizar cumplimiento con la normativa. Cuando se trate de actividades de tratamiento que conlleven un alto riesgo para los derechos y libertades de los interesados, las PyMEs deberían como primera medida elaborar una Evaluación de Impacto de Datos Personales (DPIA), lo que implica identificar y evaluar los potenciales riesgos asociados con las actividades de tratamiento. Los resultados de la DPIA definirán las medidas a implementar. Además, se debería designar a un Delegado de Protección de Datos (DPO) cuando las actividades principales de la empresa consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala o en el tratamiento a gran escala de categorías especiales de datos personales. El DPO es responsable de supervisar la estrategia de protección de datos y asegurar cumplimiento con el RGPD o el UK GDPR según corresponda. Las empresas pueden decidir entre designar a un DPO externo o subcontratar la función a un DPO externo. En este artículo comparamos las dos alternativas, con una valoración de los pros y los contras de cada una de las opciones para ayudar a las empresas a tomar la decisión óptima en función de sus circunstancias. Asimismo, se deberá proporcionar formación a los empleados para asegurar que comprenden sus responsabilidades bajo la normativa de protección de datos y minimizar así el riesgo de brecha de datos personales o garantizar que conocen las acciones que deben tomar para lidiar con ellas en caso de que sucedan. Como última recomendación, las PyMEs deberán implementar medidas claras y robustas de protección de datos, lo cual incluye almacenamiento, cesiones y transferencias, brechas de seguridad y derechos individuales. Estas políticas tienen que comunicarse a todo el personal y requerirán de revisiones y actualizaciones regulares.
Si eres una pequeña o mediana empresa y necesitas cumplir con la normativa de protección de datos, Aphaia puede ayudarte. Nuestro equipo de expertos puede conformar tu DPO externo y ofrecerte también soluciones a medida conforme a tus necesidades específicas. Contacta con nosotros para saber más.
