Ley de protección de datos para autónomos: 7 respuestas a todas tus dudas

¿Cumple tu negocio con la ley de protección de datos? Seguramente tengas muchas dudas, especialmente si estás empezando a trabajar como autónomo. 

Y es que la nueva legislación de protección de datos es tan estricta que da un poco de miedo. 

¿Pero cómo afecta a los autónomos? ¿Están obligados a cumplirla? Y, si es así, ¿de qué manera? 

En lo que sigue damos respuesta a tus principales dudas y preocupaciones. 

¡Marchando una de protección de datos! 👇

Qué es la LOPD y para qué sirve

“La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.

Esto que te acabamos de citar es el artículo 18.4 de la Constitución Española. ¿Y esto a cuento de qué viene? 

Pues que esa ley a la que hace referencia es la Ley Orgánica de Protección de Datos (LOPD), aprobada por primera vez en 1999. 

La LOPD se puso en marcha para proteger los datos personales de las personas físicas. Es decir, personas individuales, de carne y hueso, como tú. 

La idea detrás es evitar que profesionales, empresas, administraciones públicas y otro tipo de organizaciones (públicas y privadas) puedan hacer un uso ilícito o lesivo para su dignidad.

Dicho de otra manera: que si un ciudadano presta a una empresa sus datos personales para recibir un servicio, esta empresa no pueda usarla con fines no consentidos. 

La ley regula, por tanto, las obligaciones de quienes tratan datos personales, así como los derechos de las personas físicas. 

Y ahora te vamos a contar una cosita: esta ley, que todavía se menciona como referencia en protección de datos, ya quedó desfasada debido a la irrupción de internet y sus desafíos por lo que hace a la protección de datos personales.  

En 2018 fue sustituida por otra. Con nombre parecido, pero un poco más largo: Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

La razón tiene nombre propio y más siglas: RGPD o Reglamento General de Protección de Datos. 

LOPD y RGPD: ¿son lo mismo?

La LOPD se adaptó cuando apareció el Reglamento General de Protección de Datos (RGPD), que es la normativa europea aplicable desde 2018

El RGPD lo que hace es, por un lado, unificar a escala europea todas las legislaciones nacionales sobre protección de datos (lo que es lógico: somos un mercado único) y, por otro, responder al reto que te mencionábamos antes: 

“¿Cómo proteger los datos personales en la era de internet, cuando los datos viajan fácilmente entre países y casi sin límites?” 

El RGPD es una legislación muy amplia, y nos sería imposible resumirte en unas pocas líneas todo lo que incluye. 

Por eso vamos a responder a las principales dudas que tienen los autónomos, empezando por la primera y esencial: ¿están obligados los autónomos a cumplirla? 

1) ¿Es obligatorio la protección de datos para los autónomos?

De modo muy genérico, la respuesta es sí.

Pero otra manera de responder a esta duda es preguntándote lo siguiente: ¿en tu actividad tratas datos personales de clientes y proveedores que sean personas físicas (autónomos), empleados o solicitantes de empleo?

Por datos personales debes entender cualquier información sobre una persona física viva que pueda ser identificada e identificable. Estos son los ejemplos más corrientes: 

  • Nombre y apellidos
  • Domicilio
  • Dirección de email, tanto personal como corporativa (por ejemplo: [email protected], pero no emails del tipo [email protected] o [email protected], ya que no se identifica a ninguna persona física)
  • Número de DNI
  • Datos de localización (como las del teléfono móvil)
  • Dirección de protocolo de internet (IP)
  • El identificador de una cookie (*)
  • El identificador de la publicidad del teléfono, que es un identificador que usan las apps de tu móvil para enviarte publicidad 
  • Los datos de un historial médico (o los de un fisioterapeuta o un dentista)

¿Y qué no son datos personales

Pues, por ejemplo, los datos del registro mercantil o cualquier otra información relativa a personas jurídicas (su razón social, CIF, dirección, etc.) o datos anonimizados, que son aquellos que no pueden identificar a una persona física de ninguna de las maneras. 

Resumiendo: la aplicación de la ley de protección de datos no depende de si eres autónomo o empresa, sino de tu actividad. Es decir, si por tu actividad debes tratar datos personales.  

Y ahora veamos esto último con un poco más de detalle. 

2) ¿En qué casos se pueden tratar datos de carácter personal?

Si prestas servicios a clientes particulares o a autónomos (que también son personas físicas), seguramente vas a tratar datos personales. 

Si tienes proveedores que son autónomos, también. Y si tienes empleados o los buscas y te envían el currículum, pues también. 

Imagínate, por tanto, la cantidad de casos y actividades involucradas en el tratamiento de datos personales: envío de newsletters (porque debes pedir el email), una tienda online, un blog o un canal en redes sociales con suscripción y un largo etcétera de aquí a Bruselas.   

Y si tratas con empresas, en principio no deberás aplicar la ley de protección de datos. A no ser que trates, por ejemplo, con empleados de esas empresas que puedan ser identificados de forma personal (por ejemplo, a partir del email, porque aparece su nombre y apellidos). 

Sí, los datos personales, sobre todo en la era de internet, están por todos lados 🧐

Lo que te habrá llevado a preguntarte la siguiente duda: 

3) ¿Es obligatorio contratar una empresa de protección de datos?

Ni es obligatorio ni siempre necesario

Como recuerda la Agencia Española de Protección de Datos (AEPD), que es el organismo público encargado de que se cumpla el RGPD en nuestro país, la gran mayoría de autónomos y pymes realizan actividades en las que el tratamiento de datos personales es de riesgo escaso. 

Es decir, que es muy difícil que haya un robo masivo de datos personales o que pueda afectar a gran escala a los derechos y libertades de los ciudadanos. 

Esto no significa que no deban cumplir el RGPD, pero sus obligaciones pueden variar. 

De hecho, la Comisión Europea recuerda en su web que las empresas con menos de 250 empleados (y aquí entran los autónomos), por ejemplo, no deben llevar registros de sus actividades de tratamiento, a no ser que traten datos personales de manera habitual. 

Hay alrededor de 3 millones de autónomos en España y es difícil, de entrada, detallarte el nivel exacto de cumplimiento del RGPD para todos ellos porque depende de la actividad de cada uno.  

Pero aquí te presentamos una especie de atajo o solución: la AEPD ha creado una herramienta. Se llama Facilita RGPD y está pensada para que autónomos y pymes como tú conozcan mejor su situación respecto al cumplimiento de la ley de protección de datos. 

A partir de unas pocas preguntas, la herramienta te informará si el tipo de tratamiento es de escaso riesgo y te generará unos documentos que te orientarán sobre el cumplimiento del RGPD. 

¿Cuándo es recomendable consultar una empresa especializada en protección de datos? Por ejemplo, cuando esta herramienta que te hemos indicado concluye que el tipo de tratamiento de tu actividad es de riesgo elevado.

Más que nada, porque ahí tendrás que ser muy meticuloso con el tratamiento de los datos personales y cumplir con más exigencias. 

Y porque las sanciones no son moco de pavo: entre 40.000 € y 300.000 € dependiendo de la gravedad del incumplimiento 😱

4) ¿Necesito un Delegado de Protección de Datos (DPD) para cumplir con el RGPD?

Respuesta rápida: si eres autónomo, seguramente no

¿Vemos ahora los detalles? 

Una de las novedades de la nueva normativa de protección de datos es la figura del Delegado de Protección de Datos (DPD a partir de ahora), que sería el responsable de la empresa para el tratamiento de datos personales. 

Puede que hayas leído por ahí, de manera genérica, que debes designar un DPD y cumplir otras obligaciones como:

  • Elaborar un registro de actividades de tratamiento
  • Hacer un análisis de riesgo
  • Revisar las medidas de seguridad de protección de datos a partir de ese análisis
  • Establecer mecanismos y procedimientos para notificar cuando haya quiebras en la seguridad de los datos que tratas
  • Hacer una evaluación de impacto en la protección de datos

¡Así quién no va a necesitar una empresa que le ayude!

Pues bien, si la herramienta Facilita RGPD te ha informado que el riesgo de tratamiento de datos para tu actividad es escaso, puedes olvidarte de esas obligaciones. Tampoco tendrás que contratar un DPD. 

El DPD solo deberías contratarlo si, por tu actividad, tratas datos personales sensibles a gran escala o te dedicas a tareas de videovigilancia. 

Por datos sensibles se entiende: 

  • Aquellos que informen sobre el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas
  • La afiliación sindical
  • Datos genéticos o datos biométricos que puedan identificar a una persona
  • Datos relativos a la salud
  • Datos relativos a la vida sexual u orientación sexual de una persona

Por ejemplo, un hospital o una empresa de cazatalentos. Pero también una empresa con una gran cartera de clientes que sean personas físicas y empleados. 

Pero un autónomo que solo trata los datos personales de unos pocos clientes o de algún que otro proveedor, no debe designar un DPD. Ni cumplir con las obligaciones que te hemos mencionado antes. 

Así que ya puedes darle un respiro a tu bolsillo y a otros procedimientos no obligatorios que te seguimos contando a continuación. 

5) ¿Hay que darse de alta en la AEPD?

No, ya no tienes que darte de alta en la Agencia Española de Protección de Datos (AEPD). 

Antes de la entrada en vigor del reglamento europeo de protección de datos, debías notificar unos ficheros de tratamiento de datos de manera regular. 

Para eso tenías que darte de alta en el AEPD. Pero si consultas ahora su web, ahí mismo se te informará que la obligación de notificar ficheros se suprimió con motivo del RGPD. 

6) ¿Debo poner un texto RGPD en mis facturas?

Depende. Si facturas a empresas no debes hacerlo, porque tu cliente es una persona jurídica. 

Pero si facturas a clientes que son personas físicas (otros autónomos o particulares), entonces deberás incluir una cláusula informativa en todos aquellos formularios en los que recabes sus datos personales. 

Eso lo puedes hacer en la factura o en el formulario (o email) con el que le pediste los datos personales para facturarle. 

Generalmente, se entrega un formulario antes, porque la ley exige el consentimiento previo. 

Un ejemplo de cláusula informativa que recomienda la AEPD sería este: 

“En [tu nombre o razón social] tratamos la información que nos facilita con el fin de prestarle el servicio solicitado y realizar su facturación. Los datos proporcionados se conservarán mientras se mantenga la relación comercial o durante el tiempo necesario para cumplir con las obligaciones legales y atender las posibles responsabilidades que pudieran derivar del cumplimiento de la finalidad para la que los datos fueron recabados. Los datos no se cederán a terceros salvo en los casos en que exista una obligación legal. Usted tiene derecho a obtener información sobre si en [tu nombre o razón social] estamos tratando sus datos personales, por lo que puede ejercer sus derechos de acceso, rectificación, supresión y portabilidad de datos y oposición y limitación a su tratamiento ante [tu nombre o razón social, dirección] o en la dirección de correo electrónico [tu correo electrónico], adjuntando copia de su DNI o documento equivalente.  Asimismo, y especialmente si considera que no ha obtenido satisfacción plena en el ejercicio de sus derechos, podrá presentar una reclamación ante la autoridad nacional de control dirigiéndose a estos efectos a la Agencia Española de Protección de Datos, C/ Jorge Juan, 6 – 28001 Madrid.”

7) ¿Cómo sé si mi negocio cumple con la ley de protección de datos?

Y ahora llegamos a la pregunta del millón: ¿cómo sé si mi negocio cumple con el RGPD? 

Como te decíamos antes, las obligaciones varían según tu actividad, el tipo de datos que trates o en qué escala lo hagas

Si eres un autónomo que trata datos personales con riesgo bajo (que es el caso de la mayoría), la respuesta es más fácil: solo tienes que dirigirte a la herramienta Facilita RGPD, responder a las preguntas que te formula y consultar el documento que se generará después. 

En ese documento, en función de tus respuestas, se te informará de lo que tienes que hacer para cumplir con el RGPD. Y es a partir de ahí como sabrás si estás cumpliendo ahora mismo con la ley de protección de datos.  

Los principios o normas clave que debes conocer son los siguientes: 

  • Debes tratar los datos personales de manera lícita, transparente y leal hacia esas mismas personas. Esto implica obtener siempre su consentimiento previo e informar de qué manera y con qué fines vas a utilizar sus datos.
  • Debes tratar los datos personales con fines específicos (por ejemplo, para facturar tus servicios) e informar de esto a la persona al recopilar sus datos.
  • Solo puedes recopilar los datos personales necesarios (para facturar a un cliente no te hace falta conocer, por ejemplo, su estado civil).
  • Debes asegurarte de que los datos personales son exactos y están actualizados.
  • No puedes usar los datos personales para otros fines que los señalados cuando los recopilaste (si los recopilaste para facturar, no los uses para enviar una newsletter).
  • Solo puedes conservar esos datos el tiempo necesario para el fin por el que los recopilaste.
  • Debes asegurar la seguridad, confidencialidad y protección de los datos personales con las medidas técnicas y organizativas necesarias.

Una manera de mantener protegido tus datos —y cumplir así con el RGPD— es con el uso de software de gestión seguros, como la plataforma online de Declarando.

Declarando es una asesoría fiscal online especializada en que los autónomos como tú ahorren dinero en impuestos y puedan llevar la facturación con sus clientes y proveedores. 

¡Solicita ahora una llamada gratuita y uno de nuestros asesores te ayudará sobre todas las dudas que tengas con tus impuestos!

Marta Zaragozá
Autor:
Marta Zaragozá
Marta es CEO de Declarando, la asesoría fiscal que ya ha ayudado a más de 100.000 autónomos a ahorrar 50 millones de euros. Adicta al derecho financiero y tributario, la tarta de queso, la natación y Juego de Tronos.