Si eres autónomo y recopilas datos personales de clientes, proveedores y/o empleados, tienes que cumplir con la Ley de Protección de Datos (LOPD) que se aplica en España y con el Reglamento General de Protección de Datos (RGPD) que entrará en vigor a partir del 25 de mayo de 2018 en el ámbito europeo. Ambas leyes tienen el objetivo de garantizar la protección de los datos personales y su incumplimiento puede exponerte a graves sanciones económicas.
Si tienes empleados, clientes privados, proveedores o usuarios web, es probable que almacenes datos de carácter personal. El simple hecho de brindar la posibilidad de subscribirse a tu sitio web ya implica que debes cumplir con la LOPD como autónomo. Por tanto, el primer paso consiste en identificar los ficheros que contienen esos datos personales.
Como regla general, cuanta más información sensible recopiles, más medidas de seguridad tendrás que implementar. El nombre, dirección postal, correo electrónico, NIF y teléfono son datos de nivel básico. La información sobre la solvencia, créditos, infracciones administrativas y los datos referentes a la personalidad, aficiones y costumbres se consideran de nivel medio. La ideología, origen racial, religión, genética y orientación sexual son datos de nivel de seguridad alto.
Si recopilas datos de nivel de seguridad alto que pueden representar un riesgo para los derechos y libertades de las personas, es obligatorio evaluar la probabilidad de que se produzcan situaciones de riesgo y la gravedad de las mismas. Lo más conveniente es contratar a un profesional que administre los ficheros y lleve la seguridad, aunque también puedes recurrir a la figura del Delegado de Protección de Datos, cuya contratación es obligatoria si, por ejemplo, tienes una tienda online o trabajas con pacientes.
En este documento debes explicar cómo tratas los datos personales que recopilas, indicando desde el tipo de ficheros inscritos hasta los empleados que pueden acceder a ellos y el sistema de seguridad que usas. Puedes basarte en la guía del Modelo de Seguridad que ha diseñado la AGPD.
Con la entrada en vigor de la RGPD, el silencio no se puede asumir como consentimiento, por lo que tendrás que implementar un mecanismo para que las personas den su consentimiento expreso. También debes informar de manera clara por qué recoges sus datos, para qué los usas y cómo pueden ejercer sus derechos.
La LOPD indica que debes cancelar los datos cuando ya no sean necesarios para el fin por el cual los recogiste. Por ejemplo, si recopilaste los currículos de personas que solicitaban un empleo, debes cancelar sus datos apenas cubras la vacante.
Si gestionas datos de nivel de seguridad medio y/o alto, estás obligado a realizar al menos una auditoría cada dos años, o si realizas cambios en el sistema de información que afectan las medidas de protección de datos personales que habías implantado. Puedes hacerla tú mismo, redactando un informe que quedará a disposición de la AEPD, o contratar un profesional externo que conozca la ley de protección de datos para autónomos y te señale las deficiencias y medidas correctoras más oportunas.