RGPD para autónomos: checklist de lo que debes tener en orden

Maria

hace 2 años

Una mujer autónoma trabajando en un escritorio luminoso junto a una ventana con vistas a la ciudad. Está escribiendo en un documento y rodeada de elementos clave del RGPD resaltados en burbujas de texto flotantes: 'DATA SECURITY', 'CONSENT', 'PRIVACY POLICY' y 'RECORD KEEPING', con sus traducciones al español. Un ordenador portátil, un cuaderno y una tableta están sobre la mesa.

Si eres autónomo y tienes cualquier tipo de presencia digital, tratas datos personales. Da igual que seas diseñador, consultor, fisioterapeuta o electricista. En cuanto guardas el nombre y el correo de un cliente, ya entras en el ámbito de aplicación del Reglamento General de Protección de Datos.

El problema es que la mayoría de autónomos saben que el RGPD existe pero no saben exactamente qué deben tener en orden. Este artículo resuelve eso con un listado práctico y concreto.

Qué documentos necesitas tener

Política de privacidad

Es obligatoria si tienes web y recoges datos de cualquier tipo, aunque sea solo un formulario de contacto. Debe informar de quién trata los datos, con qué finalidad, durante cuánto tiempo, y cuáles son los derechos del usuario.

No vale copiar la de otra web. Debe reflejar tu actividad real.

Aviso legal

Obligatorio para cualquier web que preste servicios o informe sobre una actividad económica. Identifica al titular de la web, su NIF, dirección y datos de contacto. No es lo mismo que la política de privacidad, aunque mucha gente los confunde.

Política de cookies

Si tu web usa cookies que no son estrictamente técnicas, necesitas informar al usuario y pedirle consentimiento antes de instalarlas. Esto incluye Google Analytics, el píxel de Facebook, o cualquier herramienta de seguimiento.

Cláusula informativa en formularios

Cada formulario donde recojas datos (contacto, presupuesto, newsletter, reserva) debe incluir una casilla o texto que informe al usuario de cómo se van a usar sus datos. No puede ser una casilla premarcada.

El Registro de Actividades de Tratamiento

Es un documento interno que muchos autónomos no conocen. Debes tener un registro de todas las actividades en las que tratas datos personales: qué datos recoges, con qué finalidad, cuánto tiempo los conservas, y con quién los compartes.

No tiene que ser un documento complejo. Para un autónomo puede ser una hoja de cálculo o un documento de texto con estas columnas:

  • Nombre de la actividad (por ejemplo: "gestión de clientes")
  • Tipo de datos que tratas (nombre, email, teléfono, datos de salud...)
  • Finalidad del tratamiento
  • Base jurídica (consentimiento, contrato, interés legítimo...)
  • Tiempo de conservación
  • Con quién compartes los datos (gestor, plataforma de email marketing...)

Contratos con proveedores que tratan tus datos

Si usas herramientas externas que procesan datos de tus clientes, necesitas tener firmado un contrato de encargado de tratamiento con esos proveedores. Esto incluye:

  • Tu plataforma de email marketing (Mailchimp, Brevo, ActiveCampaign...)
  • Tu software de facturación o CRM
  • Tu gestor o asesor si le mandas datos de clientes
  • Tu proveedor de hosting si en tu servidor hay datos personales

La mayoría de plataformas grandes tienen este contrato disponible de forma automática en sus términos de servicio. Para servicios locales como tu gestor, puede que tengas que pedirlo o firmarlo expresamente.

Consentimiento: cuándo necesitas pedirlo y cuándo no

El consentimiento no siempre es la base jurídica adecuada. Hay situaciones donde no necesitas pedir permiso para tratar datos:

  • Cuando el tratamiento es necesario para ejecutar un contrato con esa persona (guardar los datos de un cliente para hacerle la factura).
  • Cuando tienes una obligación legal (conservar facturas durante el plazo establecido por Hacienda).
  • Cuando tienes un interés legítimo razonable y no prevalecen los derechos del interesado.

Donde sí necesitas consentimiento expreso:

  • Para enviar comunicaciones comerciales a personas que no son tus clientes actuales.
  • Para instalar cookies no técnicas.
  • Para tratar datos sensibles (salud, ideología, religión...).

Derechos de los interesados: cómo responderlos

Cualquier persona cuyos datos tratas tiene derecho a acceder a ellos, rectificarlos, suprimirlos, limitar su tratamiento, y en algunos casos oponerse o solicitar su portabilidad.

Tienes un mes para responder desde que recibes la solicitud. No hace falta que la solicitud tenga ningún formato especial: un email es suficiente.

Para no pillarte desprevenido, prepara por adelantado:

  • Un email o formulario donde las personas puedan ejercer sus derechos.
  • Un proceso interno para localizar y entregar o eliminar los datos de una persona.

Brechas de seguridad: qué hacer si algo sale mal

Si sufres un incidente de seguridad que afecta a datos personales (te hackean, pierdes un ordenador con datos de clientes, mandas un email con copia visible a cientos de destinatarios...), tienes 72 horas para notificarlo a la AEPD si el incidente puede suponer un riesgo para los derechos de las personas afectadas.

Si el riesgo es alto, además tienes que informar a los afectados.

Checklist rápido: lo mínimo que debes tener en orden

  • Política de privacidad en tu web
  • Aviso legal en tu web
  • Política de cookies y banner de consentimiento si usas cookies de terceros
  • Cláusula informativa en todos tus formularios
  • Registro de actividades de tratamiento (aunque sea un documento sencillo)
  • Contratos de encargado de tratamiento con tus proveedores que traten datos
  • Canal para recibir y gestionar solicitudes de ejercicio de derechos
  • Medidas de seguridad básicas: contraseñas fuertes, cifrado de correo si mandas datos sensibles, copias de seguridad

Esto no es una lista exhaustiva para empresas grandes. Es el mínimo razonable para un autónomo. Si tu actividad implica datos sensibles (salud, datos de menores, datos financieros), las exigencias aumentan y conviene consultar con un especialista.

Maria

También te podría interesar

Subir