✔ Hay todavía quienes piensan que los autónomos no deben cumplir con la normativa sobre protección de datos puesto que, por lo general, el tratamiento de datos de carácter personal que realizan es escaso o de poca relevancia. Sin embargo, existen muchos autónomos (por ejemplo, desarrolladores informáticos) que pueden acceder y, por tanto, manipular datos de carácter personal muy relevantes de sus clientes (por ejemplo, imaginemos un desarrollador informático autónomo que ha sido contratado por un banco para configurar una herramienta informática donde se almacenan las cuentas bancarias de sus clientes).

En todo caso, debe quedar claro que, los autónomos, independientemente de la relevancia de los tratamientos que efectúen, están sometidos a la normativa sobre protección de datos y, por tanto, al cumplimiento del Reglamento (UE) 2016/679 General de Protección de Datos (“RGPD”) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (“LOPDGDD”).

En el post de hoy explicamos cuáles son las obligaciones mínimas que deben cumplir los autónomos en esta materia.

Las obligaciones que, como mínimo, deben cumplir los autónomos en materia de protección de datos son las siguientes:

 

  • Elaborar un Registro de Actividades de Tratamiento (RAT), si el tratamiento que realizan es habitual y no ocasional. Por lo general, aunque un proveedor únicamente trate datos de contacto de personas físicas que trabajan para clientes y proveedores, este tratamiento se realizará de forma habitual en el tiempo.
  • Mantener el deber de confidencialidad de los datos tratados, es decir, mantener el secreto de todos los datos de carácter personal que maneje y, por tanto, no poder reproducirlos, copiarlos, transmitirlos, difundirlos, divulgarlos o comunicarlos aunque sea parcialmente, a terceras partes ni utilizarlos en interés propio o de familiares o amigos.
  • Adoptar medidas de seguridad técnicas y organizativas apropiadas (política de contraseñas, realización de copias de seguridad) en función del riesgo, teniendo en cuenta: el estado de la técnica; los costes de aplicación y la naturaleza; el alcance, el contexto y los fines del tratamiento; y los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.
  • Informar a sus clientes y proveedores del tratamiento de sus datos, mediante cláusulas informativas y recabar su consentimiento para el mismo salvo que pudiera ampararse en otra base que legitime el tratamiento como, por ejemplo, la ejecución del contrato.
  • Firmar contratos de Encargado de Tratamiento con los clientes por cuenta del cual actúa. En el ejemplo anterior del desarrollador informático, el autónomo debe firmar con el banco, un acuerdo donde se refleje que va a actuar conforme a sus instrucciones, donde se delimite a qué datos puede acceder, y demás requisitos que contempla el artículo 28 RGPD.
  • Atender las solicitudes de ejercicios de derechos de los interesados (derecho de acceso, rectificación, supresión, oposición, portabilidad, limitación al tratamiento y a no ser objeto de decisiones automatizadas) en el plazo máximo de un mes. Para ello, debe tener disponible una dirección de correo electrónico o postal visible en sus cláusulas informativas, donde los interesados puedan hacer llegar sus solicitudes.
  • En caso de padecer una violación de seguridad, debe registrarla a nivel interno en un “registro de incidencias” y, además, notificarla a la autoridad de control (en el ámbito nacional, la Agencia Española de Protección de Datos) en el plazo máximo de 72 horas en el caso de que la violación sea probable de entrañar “un riesgo” para los derechos y libertades de los interesados; y, además, comunicarla a los interesados afectados en el caso de que la violación sea probable de entrañar no solo un riesgo, sino un “alto riesgo”, para sus derechos y libertades.

⚖️ CURSO ONLINE PARA EMPRESAS Y EMPLEADOS

 

Portada del vídeo de introducción al curso online de COVID

➥ Formación impartida por el Dpto. de Formación de Grupo Adaptalia

➥ Dirigido a empresas y empleados «con o sin opción de teletrabajo»

¿Cuál debe ser el contenido del contrato corresponsables RGPD?

De conformidad con el artículo 26 RGPD, para regular esta corresponsabilidad, los corresponsables deberán firmar un “contrato corresponsable RGPD” donde determinen de modo transparente y de mutuo acuerdo, las funciones y relaciones respectivas con los interesados, debiendo poner a disposición de los mismos los contenidos esenciales de este contrato corresponsables RGPD (por ej. a través de la página web, en las oficinas y/o instalaciones físicas, etc.).

En el acuerdo de corresponsabilidad, los corresponsables deberán concretar sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el RGPD, en particular, en cuanto al ejercicio de los derechos del interesado y a las obligaciones de suministro de información (“deber de información”, artículo 12 y 13 RGPD). Con independencia de lo que se haya acordado respecto a la gestión de solicitudes de ejercicio de derechos, los interesados podrán ejercer los derechos frente a, y en contra de, cada uno de los responsables.

Conclusiones

Las conclusiones que podemos extraer del presente post sobre contrato corresponsables RGPD son las siguientes:

 

    • Una organización puede actuar como Responsable, Encargado o Corresponsable del Tratamiento.
    • Actuará como Corresponsable cuando determine conjuntamente los objetivos y medios del tratamiento con otra organización.
    • En tal caso, ambos corresponsables, deberán suscribir un contrato que contemple, al menos, el contenido mínimo del artículo 26 RGPD.
Si te gustó este contenido quizás te interese…
Videovigilancia: uno de los motivos de sanción más frecuentes en protección de datos
Consejos para garantizar la privacidad en reuniones online
Publicación de la AEPD sobre cómo garantizar la privacidad en reuniones online
La Prevención de Blanqueo de Capitales en las criptodivisas