Toda empresa trata datos personales y debe aplicar el RGPD. Descubre cómo preparar el registro de actividades, las cláusulas informativas y los procedimientos básicos de protección de datos.
La protección de datos personales es una obligación que afecta a casi todos los empresarios, independientemente del tamaño de la empresa o del sector. El RGPD (Reglamento del Parlamento Europeo y del Consejo (UE) 2016/679) está vigente en Polonia desde mayo de 2018 y, sin embargo, muchas pequeñas y medianas empresas aún no han implementado ni siquiera sus requisitos básicos. En este artículo explicamos por dónde empezar, qué documentos son indispensables y cómo evitar los errores más frecuentes. También mostraremos de qué manera una oficina contable puede apoyar al empresario en materia de documentación laboral y financiera vinculada al RGPD.
El RGPD regula los principios de recopilación, almacenamiento y tratamiento de datos personales, es decir, toda información que permita identificar a una persona física concreta. Esto incluye, entre otros, los datos de clientes, empleados, socios comerciales y usuarios de sitios web. Las obligaciones derivadas del RGPD corresponden a: • personas físicas con actividad económica individual (equivalente a JDG), • sp. z o.o. (sociedades de responsabilidad limitada) y otras sociedades mercantiles, • asociaciones, fundaciones y otras entidades. No existe un umbral mínimo de empleados ni de facturación: si tratas datos personales con fines profesionales, el RGPD te obliga. La falta de implementación puede acarrear una sanción económica de hasta 20 millones de euros o el 4 % de la facturación global anual, además de reclamaciones por parte de las personas cuyos datos se vean afectados.
Todo tratamiento de datos personales debe contar con una base jurídica. El RGPD establece seis bases, de las cuales en la práctica empresarial se utilizan con mayor frecuencia: 1. Ejecución de un contrato – datos de clientes tratados para cumplir un pedido o prestar un servicio. 2. Obligación legal – datos de empleados tratados para fines de gestión laboral, nóminas e impuestos. 3. Interés legítimo del responsable del tratamiento – por ejemplo, marketing directo dirigido a clientes actuales. 4. Consentimiento de la persona – requerido, entre otros, para el newsletter o el tratamiento de datos sensibles. La elección de la base jurídica correcta es fundamental, ya que influye en el alcance de las obligaciones informativas y en el período de conservación de los datos. La clasificación incorrecta de la base es uno de los errores más frecuentes detectados por la Autoridad de Protección de Datos Personales (UODO, por sus siglas en polaco).
El registro de actividades de tratamiento (RCP, por sus siglas en polaco) es un documento interno que describe qué datos recopila la empresa, con qué finalidad, sobre qué base jurídica y durante cuánto tiempo los conserva. Llevar este registro es obligatorio para los responsables del tratamiento (es decir, para la gran mayoría de las empresas). El registro debe contener: • nombre y datos de contacto del responsable del tratamiento, • finalidades del tratamiento (p. ej., atención a clientes, empleo, contabilidad), • categorías de personas y datos (p. ej., empleados – datos laborales y de nómina), • destinatarios de los datos (p. ej., oficina contable, ZUS (seguridad social), US (administración tributaria)), • plazos previstos para la supresión de los datos, • descripción de las medidas técnicas y organizativas de seguridad. El registro no tiene que ser complicado: basta con una tabla clara en Excel o una herramienta especializada. Lo importante es que esté actualizado y disponible en caso de una inspección de la UODO.
La obligación de información es uno de los pilares del RGPD. El responsable del tratamiento debe informar a la persona cuyos datos recopila sobre: quién es el responsable, con qué finalidad y sobre qué base jurídica trata los datos, a quién los comunica y durante cuánto tiempo los conserva. Las cláusulas informativas deben utilizarse, entre otros casos: • en formularios de selección de personal (para candidatos a un puesto de trabajo), • en contratos con clientes y socios comerciales, • en el sitio web (formularios de contacto, suscripciones al newsletter), • al celebrar contratos de trabajo o contratos de prestación de servicios. La cláusula debe redactarse en un lenguaje sencillo, comprensible para cualquier persona, no solo para un abogado. Evita copiar modelos genéricos sin adaptarlos a las particularidades de tu empresa, ya que con frecuencia son demasiado generales o están desactualizados.
Si transfieres datos personales a otra entidad que los trata en tu nombre, debes celebrar un contrato de encargo del tratamiento de datos (UPP, por sus siglas en polaco). Esto aplica, entre otros, cuando: • utilizas los servicios de una oficina contable (con acceso a datos de empleados y clientes), • usas un software externo de CRM o de gestión laboral y nóminas en la nube, • contratas la gestión de TI a una empresa externa, • colaboras con una agencia de marketing que administra tu base de datos de correo electrónico. El UPP debe celebrarse por escrito (o en formato electrónico) y especificar, entre otros aspectos, el objeto, la duración, la naturaleza y la finalidad del tratamiento. La falta de este contrato es una infracción grave del RGPD, tanto para el responsable del tratamiento como para el encargado del tratamiento.
Durante las inspecciones de la UODO y las auditorías internas, las deficiencias detectadas con mayor frecuencia son las siguientes: 1. Ausencia o desactualización del registro de actividades de tratamiento. 2. Uso de una única cláusula informativa genérica para todas las finalidades. 3. Falta de contratos de encargo con la oficina contable, proveedores de TI o agencias. 4. Conservación de datos por más tiempo del necesario (p. ej., currículums de candidatos tras varios años). 5. Documentos físicos sin protección o ausencia de una política de puesto de trabajo despejado. 6. Falta de un procedimiento de respuesta ante violaciones de la seguridad de los datos. La buena noticia es que la mayoría de estos errores puede corregirse en un tiempo relativamente corto, estableciendo procedimientos claros y asignando responsabilidades a personas concretas dentro de la empresa. Implementar el RGPD no tiene que ser costoso: requiere, sobre todo, tiempo y constancia.
La implementación del RGPD en una empresa no es una tarea puntual, sino un proceso continuo: los documentos deben actualizarse y los empleados deben conocer los principios básicos de protección de datos. Si tienes una actividad económica individual o una sp. z o.o. y quieres asegurarte de que tu documentación laboral y de nóminas, así como tu colaboración con una oficina contable, cumplen con los requisitos del RGPD, comunícate con Danexis. Nuestros especialistas te ayudarán a organizar la documentación e indicarán qué pasos dar primero. Llámanos al +48 780 760 666 o escríbenos a kontakt@danexis.pl.