Toda empresa, organización o profesional que trate datos personales tiene la obligación legal de garantizar su protección, actuar con responsabilidad y respetar los derechos de las personas. El cumplimiento del RGPD y la LOPDGDD no es opcional, y su aplicación afecta tanto a grandes corporaciones como a autónomos o pequeñas empresas.
Obligaciones básicas que deben cumplir:
- Obtener un consentimiento válido:
Si el tratamiento de datos no se basa en una obligación legal, un contrato o un interés legítimo justificado, la empresa debe recabar el consentimiento previo, libre, informado y explícito del usuario. No valen las casillas premarcadas ni el silencio como forma de aceptación. - Informar con transparencia:
Las entidades deben comunicar, de forma clara y comprensible, aspectos esenciales como:- Qué datos personales están recopilando.
- Con qué finalidad los van a usar.
- Durante cuánto tiempo los conservarán.
- Si serán cedidos a terceros o transferidos fuera de la UE.
Esta información debe proporcionarse, por ejemplo, en una política de privacidad accesible o antes de que el usuario complete un formulario.
- Aplicar medidas de seguridad adecuadas:
La empresa debe garantizar la integridad, confidencialidad y disponibilidad de los datos mediante medidas técnicas y organizativas. Esto incluye desde contraseñas seguras y cifrado, hasta protocolos internos para evitar accesos indebidos o filtraciones. - Diseñar tratamientos con enfoque preventivo (responsabilidad proactiva):
No basta con reaccionar ante una incidencia: las empresas deben prever los riesgos y diseñar sus procesos para garantizar el cumplimiento desde el inicio (“privacidad desde el diseño”) y por defecto (“privacidad por defecto”). - Facilitar el ejercicio de derechos:
Las empresas deben habilitar canales para que cualquier persona pueda ejercer fácilmente sus derechos de acceso, rectificación, supresión, oposición, etc., y responder en los plazos establecidos por la ley. Ignorar o denegar injustificadamente estos derechos puede dar lugar a sanciones. - Documentar su actividad de tratamiento:
En muchos casos, especialmente si se tratan datos sensibles o a gran escala, es obligatorio llevar un registro de actividades de tratamiento, que incluya detalles del tipo de datos, finalidades, destinatarios, medidas de seguridad aplicadas, entre otros aspectos.