Cada vez é maior a cantidade de datos que, como empresas e autónomos, tratamos para desempeñar a nosa actividade empresarial e levar adiante o noso negocio. Con independencia de que vendamos produtos ou prestemos un servizo, cada vez tratamos unha maior cantidade de datos.
Os datos son o petróleo do S. XXI, segundo as palabras de Neelie Kroes Ex Comisaria Europea da Axenda Dixital.
Se ben, o petróleo é un recurso limitado e os datos son un recurso ilimitado, pois cantos máis tratamentos e análises realicemos sobre os datos, maior é a cantidade de información que obtemos para mellorar a nosa actividade empresarial.
Quen non quere incrementar as vendas e as rendas?
Raro é o caso no que o empresariado non teña este obxectivo. Pois para acadar esta finalidade, o tratamento dos datos é fundamental. E con isto, tamén a primeira das grandes dúbidas, tódolos datos que tratamos son datos de carácter persoal? Non, non tódolos datos son de carácter persoal. A modo de símil, temos unha grande bolsa con datos xerais (tamaño XXL), e dentro desa grande bolsa hai outra bolsa máis pequena (e aínda así de tamaño XL) que contén eses datos de carácter persoal.
E entón, que é un dato de carácter persoal? Referímonos a calquera información relativa a unha persoa física. Polo tanto, a información relativa ás Sociedades, tales como denominación social e datos de contacto, non son datos de carácter persoal se através deles non identificamos a unha persoa física. Os datos dos traballadores sexan, persoal laboral ou autónomos, son datos de carácter persoal.
Mais concretamente, que tipo de información é un dato de carácter persoal? Un correo corporativo como info@sociedadelimitadagalega.com é un dato de carácter persoal? Pois nese caso, a resposta é afirmativa se a través dese dato podo identificar a unha persoa física, que por exemplo, desempeñe un posto nesa empresa.
Normativa aplicable á protección de datos de carácter persoal
Na actualidade, a normativa aplicábel é o Regulamento Xeral Europeo de Protección de Datos (Regulamento 2016/679 27 de abril de 2016 relativo á protección das persoas físicas no que respecta ao tratamento de datos persoais e á libre circulación destes datos (RXPD), e a nova LOPD, norma estatal, a Lei Orgánica 3/2018, de 5 de decembro, de Protección de Datos Persoais e garantía dos dereitos dixitais.
Pero, en que casos estou obrigada como empresa a cumprir coa normativa de protección de datos?
Sempre que se traten datos de carácter persoal.E tódalas empresas, sexan sociedades de capital (SL, SA…) ou traballadores autónomos, tratan datos de carácter persoal:
– datos persoais relativos ao seus propios traballadores ou ao persoal de clientes e provedores.
– datos persoais relativos aos seus propios provedoresou potenciais clientes se estes non son persoas xurídicas, senón autónomos e/ou consumidores finais.
En calquera caso, preciso o consentimento para tratar os datos de carácter persoal?
O consentimento é unha das bases lexítimas para tratar os datos, máis non é a única. Estas bases son, entre outras,
– o cumprimento dunha obriga contractual: Como empresa teño a obriga de cumprir coas cláusulas do contrato co cliente/provedor, como por exemplo, entregarlle a Xoán os zapatos que comprou na tenda e que chegaron dias máis tarde. Trato os seus datos para contactalo e entregar o produto vendido.
– o cumprimento dunha obriga legal: Como empresa teño a obriga de emitir a factura e de conservar ese documento fiscal durante o prazo legalmente determinado. Continuando co exemplo, emítolle a factura a Xoán pola compra dos zapatos.
– interese lexítimo:Como empresa pretendo satisfacer un interese co tratamento de determinados datos, e sobre ese interese non prevalecen os intereses da persoa física, e esa persoa física ten como expectativa que as empresas da categoría/sector da miña traten os seus datos de carácter persoal para conseguir unha determinada finalidade. A modo de exemplo: os responsables de compra dunha cadea hoteleira teñen a expectativa de que unha empresa de mobiliario para hoteis trate os seus datos profesionais (datos de contacto e posto desempeñado) para establecer unha relación comercial e remitirlle publicidades sobre os seus produtos.
O RXPD non só non establece a obrigatoriedade do consentimento senón que establece outras bases para o tratamento de datos, como o interese lexítimo. Polo tanto, a resposta é non, non sempre preciso o consentimento para tratar datos de carácter persoal.
Pero se non sempre é preciso, podo empregar calquera desas bases (obriga legal ou contractual ou interese lexítimo) indistintamente?
Para saber que base lexítima podemos empregar para realizar o tratamento dos datos, temos que ter en conta a finalidade para a que tratamos eses datos. Isto é, identificar o obxectivo que queremos alcanzar co tratamento dos datos.
Posibles finalidades, son, entre outras, prestar o servizo, enviar comunicacións comerciais, facer un estudo de mercado e levar a contabilidade.
Ademais, debemos ter en conta que o Principio de Minimización de Datos esixe que só tratemos aqueles datos mínimos e necesarios para conseguir a finalidade para a cal son tratados os datos, polo que non podemos tratar calquera tipo de datos de carácter persoal.
A modo de exemplo, se vendo gafas de sol e o que pretendo (a finalidade do tratamento dos datos) é remitir información comercial sobre os meus produtos, non teño motivo para tratar o dato relativo ao tamaño do pé desa persoa física.
Obrigas sobre a información da Política de Protección de Datos
Debemos lembrar que temos a obriga de informar sobre a nosa Política, con independencia de cal sexa a base legal para o tratamento dos datos, de forma simultánea no momento da captación dos datos, ou en todo caso, se os datos foron obtidos por un terceiro, no momento da primeira comunicación e sempre antes dos 30 días á captación dos datos.
E así mesmo, deberemos informar, como mínimo, sempre que haixa modificacións na nosa Política de Privacidade.
Ademáis, cumprir a normativa en materia de protección de datos non é para evitar o pago dunha sanción, senón para converter unha obriga legal nunha inversión que faga máis rendible o meu negocio, aproveitando o potencial das bases de datos da empresa, a través do coñecimento de qué e cómo podo facelo.
Se precisas maior información sobre como poder obter o máximo proveito dos datos de carácter persoal que pode tratar a empresa, a modo de exemplo, se se pode enviar un correo comercial a un cliente sen ter o seu consentimento, podes solicitar asesoramento, sen custe, a través do formulario do Igape Responde.