La información económica de los líderes

Ya me había adaptado al RGPD ¿Ahora qué?


Abogada Asociada Gómez Acebo & Pombo
Fundación de Estudios Bursátiles y Financieros
Logo firma

Con la entrada en vigor, el pasado 7 de diciembre, de la nueva Ley Orgánica de Protección de Datos (LOPD) acorde, por fin, con el Reglamento General de Protección de Datos europeo (RGPD), muchas empresas, que ya habían adaptado su organización a la norma europea, se preguntan si deben o no introducir nuevos cambios. Que no cunda el pánico, tan solo deberán tener presentes algunas cuestiones, de entre las que destacamos las siguientes:

Información por capas

Si ya ha implantado el RGPD en su organización, es probable que ya informe al interesado por el denominado sistema de capas, que es la forma más sencilla y eficaz de hacerlo. Solo debe saber que la nueva LOPD ha reducido la información mínima que la Agencia Española de Protección de Datos venía recomendando para esa primera capa.

Ahora bastará con informar acerca de la identidad del responsable del tratamiento y de su representante, la finalidad del tratamiento, así como la posibilidad de ejercer los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.

Si además se pretende elaborar perfiles con esos datos, deberá advertirse asimismo en esa primera capa. Por último, si los datos no han sido proporcionados directamente por el interesado, esa información básica deberá indicar además las categorías de datos objeto de tratamiento, así como las fuentes de las que proceden los datos.

La información más amplia sobre el resto de los aspectos requeridos por el RGPD, como, por ejemplo, la base de legitimación para ese tratamiento (consentimiento, interés legítimo, etc.), o los destinatarios de cesiones o transferencias, podrá ponerse a disposición del interesado a través de un correo electrónico u otro medio (un enlace o un código QR, por ejemplo), que permita acceder a la política de privacidad completa de una forma rápida y sencilla.

Datos de contacto profesionales

En la práctica comercial, raro es el día en el que no recibamos una tarjeta de visita con los datos de contacto de una persona. Si vamos a incorporar esos datos a un CRM o cualquier otra base de datos, ya deberíamos saber que, con la entrada en vigor del RGPD, esos datos de contacto pasaron a ser considerados también datos personales.

La nueva LOPD lo ha querido poner un poco más fácil, ya que permite tratar esos datos sin el consentimiento expreso de su titular, siempre que sean los datos indispensables para su localización profesional, y se haga con la finalidad de mantener relaciones con la persona jurídica para la que el afectado preste servicios. Lo mismo ocurre si hablamos de empresarios individuales o profesionales liberales.

La norma ampara este tratamiento porque presume que prevalece el interés legítimo del responsable del tratamiento, si bien, dicha presunción puede ser destruida mediante prueba en contrario.

Ahora bien, ello no impide gestionar estos datos al amparo de cualquier otra base jurídica prevista en el RGPD, como puede ser el consentimiento expreso de su titular, o la necesidad de su tratamiento para la ejecución de un contrato. Eso sí, recordemos que, en todo caso, habrá que informar siempre al interesado de que sus datos van a ser tratados, proporcionándole la información que exige el RGPD.

Videovigilancia y control de los trabajadores

Las empresas podrán contar con un sistema de videovigilancia, con el fin de preservar la seguridad tanto de las personas como de sus bienes e instalaciones. Solo se podrán captar imágenes de la vía pública en lo que resulte imprescindible. Para las instalaciones vinculadas al transporte, podrá hacerse en una extensión superior si fuera necesario para su seguridad. En ningún caso se podrán captar imágenes del interior de un domicilio.

Las imágenes deberán ser suprimidas, sin que les resulte de aplicación la obligación de bloqueo, en el plazo máximo de un mes desde su captación, salvo que deban conservarse para acreditar la comisión de actos ilícitos. En estos casos, las imágenes deberán ponerse a disposición de la autoridad competente en el plazo máximo de 72 horas, desde que se tenga conocimiento de la grabación de la infracción.

El deber de información a los afectados se entenderá cumplido mediante la colocación de un dispositivo informativo en un lugar visible, en el cual se identifique al menos la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos previstos en el RGPD.

Esta videovigilancia podrá usarse igualmente para ejercer las funciones de control sobre los trabajadores. No obstante, con carácter previo, la empresa deberá informarles de forma expresa, clara y concisa, acerca de esta medida y, en su caso, también a sus representantes.

Si las cámaras captaran la comisión de un ilícito, bastará con que esa información se haya proporcionado mediante el dispositivo informativo al que antes hemos hecho referencia. Las cámaras nunca podrán captar imágenes de las zonas de descanso, comedores, aseos, vestuarios, o análogos. Similar es la previsión relativa a los sistemas de geolocalización.

A destacar también la posibilidad de usar los dispositivos digitales puestos a disposición del trabajador, para supervisar, entre otros, el cumplimiento de sus obligaciones laborales, previo cumplimiento de determinados requisitos.

DPD

Otra de las cuestiones que la nueva LOPD contempla son los 15 supuestos en los que será obligatorio que la empresa nombre a un Delegado de Protección de Datos (DPD). Fuera de ellos, su nombramiento será facultativo. No obstante, contar con un DPD en la empresa cuando este no sea obligatorio, podrá ser valorado por la AEPD a modo de atenuante a la hora de aplicar una sanción.

Cuestión esta que no es baladí, atendiendo al régimen sancionador impuesto por el RGPD, con multas de hasta 20.000.000 de euros, o del 4 % de la cifra de negocio para las infracciones más graves.

A la vista está que, aunque con retraso, lo cierto es que la nueva norma ha logrado despejar algunas de las incógnitas que el RGPD dejaba en manos de los Estados miembros. En este sentido, a destacar también la posibilidad de que las denuncias en el seno de la empresa puedan ser anónimas o que los menores puedan consentir el tratamiento de sus datos a partir de los 14 años.

No obstante, creemos que el Legislador ha desaprovechado la oportunidad de concretar a los ciudadanos el régimen sancionador impuesto por el RGPD, así como establecer con claridad, tal y como ha hecho con el DPD, los casos en los que sería necesaria la elaboración de una evaluación de impacto (o PIA en sus siglas en inglés). En estos campos, qué remedio, tocará de nuevo esperar a un desarrollo reglamentario o a las nuevas directrices que la AEPD quiera dar al respecto.

Suscríbete a nuestra newsletter