Guía para empresas y autónomos

Tu programa de facturación y contabilidad

La protección de datos en tu negocio

Todas las empresas y autónomos deben cumplir con las leyes de protección de datos vigentes en España y Europa. No hacerlo acarrea enormes sanciones.


La protección de los datos de carácter personal por parte de empresas, organismos, gobiernos, etc., ha cobrado especial relevancia en los últimos años, especialmente con la irrupción del mundo digital.

Por este motivo, el 25 de mayo de 2018 entraba en vigor en la Unión Europea el Reglamento General de Protección de Datos (RGPD), un conjunto de regulaciones sobre el tratamiento y recopilación de datos personales de obligatorio cumplimiento en todos los países comunitarios.

La importancia de la protección de datos en empresas y autónomos

Quién está obligado a cumplir con las leyes de protección de datos

Cualquier empresa, autónomo, organismo, administración, etc., que trate datos de carácter personal de clientes, proveedores, empleados, etc., está obligado a cumplir todas las normas vigentes de protección de datos.

Esto incumbe, evidentemente, a cualquier negocio, pues todavía no se ha dado caso en el mundo de un negocio que no trate con datos de carácter personal (los de sus clientes, sin ir más lejos).

Reglamentos de protección de datos

En la actualidad hay dos normas en vigor en España: la Ley Orgánica de Protección de Datos (LOPD), vigente desde 1999, y el RGPD, vigente desde 2018.

El LOPD ya velaba por que los datos de carácter personal estuvieran protegidos de modo vinculante para cualquier ente o persona que recopilara y tratara dichos datos.

Para su cumplimiento, se creó un organismo público nuevo: la Agencia Española de Protección de Datos (AEPD).

¿Qué ha aportado entonces el RGPD? Para empezar, ha unificado la legislación comunitaria, que hasta la fecha divergía de país en país.

No obstante, su punto fuerte ha sido el resolver todas las lagunas sobre protección de datos que dejaba el mundo digital, algo que, por ejemplo, la LOPD no contemplaba.

En definitiva, el RGPD ha significado un mayor fortalecimiento de la privacidad y protección de datos personales en todo el territorio comunitario, algo que obliga también a empresas y demás entes no comunitarios pero que operan en la Unión Europea.

¿Qué obligaciones de protección de datos debe cumplir un negocio?

Ya seas una empresa o autónomo, has de cumplir con una serie de obligaciones:

1) Información

El primer deber es el de informar a los interesados qué datos se van a recopilar y con qué finalidad así como sus derechos (acceso, rectificación, supresión, limitación, portabilidad, y oposición).

Esto implica informar también sobre la identidad del recopilador (el negocio, en este caso), la base jurídica de dicho tratamiento, así como la identidad del DPO (el Delegado de Protección de Datos), el plazo de conservación y las consecuencias de no facilitar los datos que se requieren.

2) El consentimiento expreso

Ya no vale el consentimiento tácito al que estábamos habituados muchos usuarios. Ahora cualquier negocio debe pedir el consentimiento expreso de sus clientes, proveedores, empleados y demás interesados para poder recopilar y tratar sus datos personales.

3) Notificación de incidencias de seguridad

Todo negocio tiene la obligación de informar al interesado de cualquier incidencia que pueda afectar a sus datos recopilados. Y en esto el nuevo reglamente es claro: 72 horas es el plazo máximo para informar.

Dicha información no puede ser vaga ni genérica. Más bien al contrario: se debe informar al interesado de qué tipo de datos se han visto afectados, en qué circunstancias se ha producido la incidencia, las consecuencias de esta y las medidas que se han adoptado.

A todo esto, por incidencia el RGPD deja claro a qué se refiere: cualquier tipo de destrucción, pérdida o sustracción ilícita de datos de carácter personal.

4) Delegado de Protección de Datos (DPO)

Esta es una de las novedades del RGPD y consiste en una suerte de representante y asesor de la empresa con respecto al cumplimiento de la normativa de protección de datos.

El DPO tiene también como funciones:

  • Asesoramiento y supervisión.
  • Representanción frente a la autoridad pública (la AEPD).
  • Atención a los interesados.

Puede ser una figura externa o interna de la empresa y no es obligatorio para todos, pero sí para aquellos que, por la naturaleza de su actividad y, por tanto, de los datos que maneja, requieran un especial cuidado y supervisión de los datos que tratan.

Hablamos de colegios profesionales, cualquier ente u organismo público, servicios digitales, entidades financieras, centros sanitarios, etcétera.

5) Evaluación de Impacto de Protección de Datos (EIPD)

Cualquier empresa que inicie una actividad que implique un tratamiento de datos personales - como un programa de facturación en la nube - ha de llevar a cabo una evaluación que estudie todos los riesgos y tenga en cuenta las medidas necesarias para afrontarlos.

Este EIPD es obligatorio, por tanto, para muchas empresas y autónomos que manejan una página web - quién no lo hace en los tiempos que corren - donde se recopilan y tratan datos de carácter personal.

Sanciones por incumplir las leyes de protección de datos

Cumplir el RGPD es obligatorio. Su incumplimiento, ya sea parcial o total (incluyendo la no adaptación del reglamento), puede suponer sanciones que lleguen hasta los 20 millones de euros o un 4% de la facturación anual del año anterior.

No es, por tanto, un tema baladí ni para tomárselo con pachorra mediterránea. Es por ello que es recomendable consultar siempre con un experto en materia de protección de datos. Por tirar de refranero: siempre es mejor prevenir que curar.

Datos generales: Debitoor permite mediante sencillos pasos organizar tu contabilidad. Debitoor es un programa de facturación y contabilidad diseñado para pequeñas empresas y autónomos. Es simple, intuitivo y eficiente. Comienza ahora gratis. Incluye facturación y gastos, más la gestión total de tu lista de clientes y productos.