Cualquier empresa que trate datos de carácter personal (de sus empleados, clientes, proveedores, etcétera) tiene que cumplir el nuevo reglamento general de protección de datos con independencia de su tamaño o del volumen de datos que maneje. De la mano de los especialistas en urbanismo y derecho inmobiliario, Illeslex , damos respuestas a algunas de las preguntas más frecuentes que se pueden plantear las empresas en este campo.
¿Qué implica la responsabilidad proactiva?
Las empresas deben adoptar medidas que aseguren de manera razonable que están en condiciones de cumplir con el RGPD. La propia normativa prevé una batería completa de medidas: protección de datos desde el diseño; protección de datos por defecto; medidas de seguridad; mantenimiento de un registro de tratamientos; realización de evaluaciones de impacto sobre la protección de datos; nombramiento de un delegado de protección de datos; notificación de violaciones de la seguridad de los datos; y promoción de códigos de conducta y esquemas de certificación.
¿Se puede seguir usando la base de clientes?
El RGPD exige que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Para considerar que sea inequívoco, se requiere que haya una declaración de los interesados o una acción positiva que indique su acuerdo, por lo que ya no vale una casilla preseñalada en un formulario.
¿El RGPD también afecta a los trabajadores de una empresa?
Los empleados tienen los mismos derechos que cualquier otro interesado: acceso, rectificación, olvido, limitación del tratamiento, portabilidad de los datos, oposición y no ser objeto de decisiones individualizadas
¿Es necesario recabar el consentimiento de los trabajadores para tratar sus datos?
Cuando se tratan datos personales cuyo uso está justificado por parte de la empresa por ser necesarios para mantener la relación laboral, como el nombre, no es necesario recabar el consentimiento de los trabajadores. Sin embargo, si que habrá que hacerlo para aquellos datos que pueden considerarse no necesarios para la prestación de servicios, como puede ser la cuenta de correo electrónico personal.
Además, la empresa estará obligada a proporcionar información sobre los derechos que asisten a los trabajadores, junto con los datos de contacto de la compañía y de quienes hayan sido designados para responder las cuestiones planteadas por los trabajadores (el delegado de protección de datos en los casos en los que exista esta figura).
¿Puede un trabajador denunciar las infracciones en protección de datos?
La protección de datos de carácter personal constituye un derecho constitucional, por lo que los trabajadores pueden solicitar a los tribunales del orden social su protección frente a la empresa. Con ello, se pedirá tanto el cese de la conducta como una reparación por los daños causados. Además, el empleado puede comunicar los incumplimientos a la AEPD, lo que podría suponer sanciones de carácter administrativo.
¿Hay que seguir registrando los ficheros ante la AEPD?
No, ya no es obligatorio. Sin embargo, si es necesario contar con un registro de actividades de tratamiento, es decir, una especie de inventario para saber para qué y de qué manera se están usando los datos. En el caso de las empresas con más de 250 trabajadores, el registro es obligatorio.
