Todos los datos o información que se relacionan con una persona física y que tu empresa almacena o maneja deben estar debidamente protegidos. Desde la información financiera y los detalles de pago hasta la información de contacto.
En este artículo explicamos por qué la protección de datos no es solo una necesidad legal, sino crucial para proteger y mantener tu negocio.
¿Cuáles son los datos personales y por qué deben protegerse?
Como «datos personales», según se define en el artículo 4 del Reglamento General de Protección de Datos (RGPD), entendemos a toda información sobre una persona física identificada o identificable (jurídicamente descrito como «el interesado»).
Se considera persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador.
Estas piezas clave de información que comúnmente almacenan las empresas deben protegerse para evitar que terceros utilicen indebidamente esos datos con fines fraudulentos, como estafas de phishing y robo de identidad, entre otros.
Los datos comunes que tu empresa podría almacenar incluyen elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona:
- Nombres
- Direcciones
- Correos electrónicos
- Números telefónicos
- Datos bancarios y de tarjetas de crédito
- Información de salud
Un número de móvil o un correo electrónico también es considerado un dato personal, ya que unido a otros datos, sirve para identificar a una persona física.
Estos datos contienen información confidencial que podría relacionarse con: personal actual y sus socios o familiares más cercanos; accionistas, socios comerciales y clientes; clientes y otros miembros del público.
La protección de toda esta información, de acuerdo con la Ley de Protección de Datos, requiere que las empresas se adhieran a principios específicos.
¿Cómo se pueden obtener los datos personales?
Los datos personales dentro del entorno digital se pueden obtener bien por parte del propio interesado, bien de otra fuente.
- Si se obtiene de parte del interesado, de conformidad con lo dispuesto en el artículo 4.11 del Reglamento (UE) 2016/679, se entiende por consentimiento del afectado toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
En este caso, es el responsable del tratamiento quien deberá dar cumplimiento al deber de información establecido en el artículo 13 del Reglamento (UE) 2016/679 facilitando al afectado la información básica e indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información. (art.11.1)
- Cuando los datos personales no hubieran sido obtenidos directamente del afectado, el responsable podrá dar cumplimiento al deber de información establecido en el artículo 14 del Reglamento (UE) 2016/679 facilitando a aquel la información básica señalada en el apartado anterior, indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.
En este último caso, la información básica incluirá también:
a. Las categorías de datos objeto de tratamiento.
b. Las fuentes de las que procedieran los datos.
Licitud del tratamiento de los datos personales
Has de tener en cuenta que el tratamiento de los datos personales solo será lícito si se cumple al menos una de las siguientes condiciones:
a. el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos
b. el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c. el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d. el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e. el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f. el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
Cuando el tratamiento de datos es utilizado para otro fin distinto de aquel para el que se recogieron los datos personales, no esté basado en el consentimiento del interesado o en el Derecho de la Unión Europea o de los Estados miembros, el responsable del tratamiento, debe tener en cuenta, entre otras cosas, la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.
Tratamiento de datos personales que no requiere identificación: anonimización y seudonimización
Si los fines para los cuales, como responsable que trata datos personales, no requieren la identificación de un interesado, no estarás obligado a mantener, obtener o tratar información adicional con vistas a identificar, con la única finalidad de cumplir con el reglamento.
De ahí, que podamos aplicar la anonimización y seudonimización:
La anonimización
La anonimización es el proceso mediante el cual los datos personales se convierten en anónimos. Es decir, se da cuando se produce una ruptura total de los datos personales que vamos a tratar con los datos identificativos, para que no se pueda asociar a una persona ni identificarla.
Desde el punto de vista de la AEPD la anonimización se define como “la ruptura de la cadena de identificación de las personas.”
De conformidad con la legislación en materia de protección de datos de la Unión Europea, los datos anónimos constituyen «aquella información que no hace referencia a personas naturales identificadas o identificables o a datos personales que se anonimizan de tal forma que dejan de ser identificables».
Estos conjuntos de datos pueden incluir información personal a través de identificadores directos e indirectos, lo que permite que se identifique o que pueda identificarse a una persona física.
- Un identificador directo es la información específica que puede atribuirse a un individuo, como su nombre o un número de identificación.
- Un identificador indirecto (también denominado cuasi-identificador) es cualquier dato que pueda utilizarse, ya sea de forma individual o combinada con otros cuasi-identificadores, por alguien que posea conocimientos sobre ese individuo con el fin de identificarle. Como, por ejemplo, una situación geográfica en un momento determinado o una opinión sobre un tema en particular.
Si tuviéramos que poner un ejemplo de procesos de anonimización que se hubieran llevado a cabo de forma errónea, podríamos acudir a uno citado por la propia AEPD, en el que en el año 2006, cuando un servicio de visionado en streaming de películas publicó un conjunto de datos que contenía 10 millones de clasificaciones de películas realizadas por 500.000 clientes alegando que era anónimo. Cuando en realidad se descubrió que con los datos recogidos, se podía identificar a los suscriptores.
Aplicado al ámbito empresarial, se ha de tener en cuenta que:
1. Un número de teléfono o email de uno de tus clientes es un dato personal, siempre que unido a otro dato, permita identificar a esa persona.
2. Si se quiere usar datos provenientes de terceros, para fines publicitarios entre otros, las empresas deben garantizar que el medio por el que se han obtenido dichos datos es lícito, o bien, que el o los datos con los que cuenten, no permiten en ningún caso identificar a la persona en cuestión, sino que una vez contactada (por ejemplo, vía teléfono), sea esa persona quien te informe quién es, y por tanto, de forma activa, sea el propio interesado quien te ceda sus datos.
La Seudonimización
Para el RGPD, la seudonimización es “aquella información que, sin incluir los datos denominativos de un sujeto, permiten identificarlo mediante información adicional, siempre que ésta figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.”
Es decir, hablamos de tratar los datos personales sin los datos identificativos del interesado, pero sin suprimir la vinculación entre los datos que consigan determinar la persona titular de los mismos.
Un ejemplo sería sustituir nombres de clientes por un código o por un identificador numérico, es decir, cambiar los datos personales por seudónimos, cifras o letras.
La anonimización o seudonimización, a pesar de ser técnicas que resultan atractivas para el tratamiento de datos, no siempre son eficaces, ya que desde que la persona sea identificable mediante la unión de otro dato, ya expone a la persona, lo que deriva o puede incurrir en una violación de la privacidad.
Es por ello que tu empresa es responsable de verificar si los datos proceden de forma lícita, porque el usuario puede exigir conocer de dónde fueron obtenidos ya que, como hemos visto, existe obligación legal de informarlo.
Recuerda. Si vas a hacer uso de datos anónimos o seudónimos, garantizar que no permiten la identificación, para que realmente sean «utilizables» sin necesidad de considerarlos datos personales que se deban tratar conforme la LOPD y RGPD.
Normativa de datos personales a tener en cuenta
Por su parte, el Artículo 19 de la LOPD hace mención al tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales.
Esto es interesante porque hace referencia a los datos de contacto y, en su caso, a los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos:
- Que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional.
- Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.
La misma presunción operará para el tratamiento de los datos relativos a los empresarios individuales y a los profesionales liberales, cuando se refieran a ellos únicamente en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.
Así, los responsables o encargados del tratamiento a los que se refiere el artículo 77.1 de esta ley orgánica podrán también tratar los datos mencionados en los dos apartados anteriores cuando ello se derive de una obligación legal o sea necesario para el ejercicio de sus competencias.
Como conclusión a este tema de tan amplio espectro, lo que podemos recomendar y ponemos especial énfasis es que cuando quieras utilizar un dato personal de un particular para fines comerciales (ventas, marketing,…) deberás asegurarte de que dichos datos se hayan obtenido de forma lícita, o bien que los datos sean lo suficientemente anónimos, para que puedan usarlos sin poner en riesgo la identidad del particular.
Realizarlo de forma distinta, podría suponer la imposición de una sanción por no realizar un correcto tratamiento de los datos de tu cliente dentro de la empresa.
Seguiremos ampliando los conceptos en lo que se refiere a la normativa que afecta a los datos personales en entornos digitales, desde nuestra área especializada de jurídico digital.
Si deseas más información de manera personalizada o quieres saber si estás cumpliendo realmente con un adecuado tratamiento de los datos, no dudes en ponerte en contacto con BIPLAZA.
Cuenta con nuestro equipo de expertos
Solicita una reunión con nuestro equipo
Imagen | Franck de Unsplash