La Protección de Datos Personales en el mundo del autónomo y Microempresas.

La Protección de Datos Personales en el mundo del autónomo y Microempresas.

¿Cuáles son las obligaciones del trabajador autónomo y la PYME que debe cumplir en relación con la protección de Datos Personales?

Se entiende datos de carácter personal a cualquier información que permita identificar o hacer identificable a una persona.

Así la protección de datos personales  no es más que un derecho fundamental de las personas como máxima expresión de su derecho a la intimidad. Dicha ley reconoce a cada persona la propiedad de sus datos.

Y son responsables de la custodia de esos datos las empresas y profesionales que traten datos de carácter personal, como fruto de sus relaciones comerciales.

La AEPD es la autoridad de control independiente que vela por el cumplimiento de la normativa sobre protección de datos y garantiza y tutela el derecho fundamental a la protección de datos personales.

¿Pero tiene el autónomo realmente  datos de carácter personal que deba proteger?

Si todos tenemos datos de  nuestros clientes o de gestiones comerciales, correos electrónicos, contactos, formularios web, curriculum, impagados, morosos…etc..

¿ Y Realmente que es lo que debemos hacer?

Las medidas de seguridad exigibles a los ficheros y tratamiento de datos personales se clasifican en tres niveles acumulativos: Básico, Medio y Alto; dependiendo de su mayor o menor importancia.

Así se consideran datos de nivel básico: el nombre, los apellidos, el D.N.I., la dirección, etc.

Son datos de carácter personal de nivel medio los ficheros que contengan datos fiscales, ficheros relativos a servicios financieros, infracciones administrativas o penales, datos que permitan evaluar determinados aspectos de la personalidad, etc.

Aplicarán niveles de seguridad alto aquellos ficheros que incluyan datos policiales, de salud, ideología, afiliación sindical, religión, origen racial o étnico, vida sexual, aquellos derivados de servicios de telecomunicaciones electrónicas y aquellos que contengan datos derivados de actos de violencia de género.

Para Datos con nivel básico:

  • Documento de seguridad. Que no es más que la política sobre el tratamiento, acceso y rescisión de los datos implantada en la empresa y difundido a todo el personal.
  • Inscripción de los ficheros en la AEPD.

Fichero no es más que cualquier conjunto organizado de datos de carácter personal, cualquiera que fuese la forma o modalidad de su creación almacenamiento y acceso:

Soporte informático (Excel, Outlook,…)
Soporte papel (Archivador de nóminas, contabilidad, facturas,….)

  • Crear cláusulas información y contratos de confidencialidad (trabajadores, fugas de información, informáticos, auditores, asesores etc…)
  • Funciones y obligaciones del personal.
  • Gestión de soportes y documentos.
  • Identificación y autorización de usuarios al acceso de datos
  • Control de acceso a los datos de carácter personal
  • Copia de seguridad al menos una semana.

Medidas de seguridad de nivel alto además de las nivel básico tendrán que:

  • Designar uno o varios responsables de seguridad.
  • Auditoria interna o externa al menos cada dos años.
  • Establecer un registro de salida de soportes con datos
  • Establecer mecanismo que limiten el acceso no autorizado.
  • Registro de incidencias (pérdida de pendrive con datos se debe registrar…)

Medidas de seguridad de nivel alto además de las de nivel básico y medio tendrán que:

  • Gestión y distribución de soportes. (cifrado de datos o cualquier otro mecanismo que garantice la seguridad de dichos datos)
  • Copias de respaldo y recuperación.
  • Registros de accesos a ficheros.
  • Transmisión de datos a través de redes públicas deberán ser cifradas.

Normativa

  • Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (Título VI con rango de ley ordinaria).
  • Real Decreto 1720/2007 por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
  • Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos.