AltoDirectivo

En varias comunidades autónomas se ha establecido la obligación de llevar un registro con los datos de contacto de los clientes, aplicable a locales de ocio nocturno, restauración y salones de banquetes. Con esta medida, las autoridades sanitarias pretenden agilizar la detección de contactos de una persona que haya dado positivo de Covid-19, facilitando el seguimiento y medidas preventivas de confinamiento.

Se trata de una medida que procura garantizar la salud pública frente al peligro de los contagios y rebrotes de la pandemia de coronavirus, pero supone una sobrecarga de trabajo y un reto extra en el cumplimiento normativo. Y es que afrontan el riesgo de que el tratamiento de estos datos suponga la apertura de un expediente sancionador por parte de la Agencia Española de Protección de Datos (AEPD), que podría derivar en una multa. Este riesgo se puede concretar en una inspección o en una denuncia que presente cualquier cliente que haya dado sus datos personales.

¿Qué pueden hacer los empresarios para garantizar el cumplimiento de la normativa? Los abogados del área de Tecnología y Telecomunicaciones del Bufete Mas y Calvet, Alejandro Álvarez y Carlos Albareda, han elaborado una lista de ocho aspectos básicos para el cumplimiento en materia de protección de datos que deberían tener en cuenta los empresarios de estos sectores en las comunidades autónomas donde deban realizar dicho registro:

1. Estar adecuados a la normativa de protección de datos que instauró el Reglamento General de Protección de Datos (RGPD). Esto implica tener un Registro de Actividades de Tratamiento actualizado, recoger los datos con el consentimiento informado, libre y expreso de los titulares de los datos personales, etc.
2. Contar con un protocolo de actuación para el caso de que un cliente decida ejercitar alguno de sus derechos: acceso, rectificación, supresión (olvido), oposición, limitación del tratamiento, etc.
3. Proteger la confidencialidad de los distintos documentos con datos personales, ya sean en formato físico o digital. Esto supone que el cuaderno o dispositivo electrónico en el que se registren los datos personales de los clientes estén debidamente protegidos, ya sea bajo llave, con una contraseña o con un código de acceso.
4. El dispositivo de registro de los datos debe ser propiedad de la empresa. Tanto si se usa un móvil, una Tablet o un portátil, este siempre debe pertenecer a la empresa. En ningún caso se puede usar un dispositivo que pertenezca a los trabajadores y/o colaboradores de la empresa.
5. Los datos deben ser recogidos por personal laboral de la empresa. Si es alguien subcontratado, se ha de tener un contrato de encargado de tratamiento en el que se regule cómo se van a tratar esos datos personales que se recogen por cuenta de la empresa. Las cláusulas deben ser revisadas por un abogado de confianza que esté especializado en contratos en el ámbito de la protección de datos, asegurándose que estén adaptadas a la realidad particular de cada negocio.
6. Los datos deben estar a disposición de las autoridades. Si la entidad ha designado un delegado de protección de datos (DPD, o DPO en sus siglas en inglés), este será quien actúe de enlace con la autoridad de control.
7. Es necesario comunicar a los titulares de los datos personales la finalidad para la que se recaban sus datos. En la normativa autonómica se señalará dicha finalidad. Los empresarios deben saber que si utilizan dichos datos para otros fines como enviar publicidad del local u otro tipo de comunicaciones, se expondrá a ser denunciado ante la Agencia Española de Protección de Datos (AEPD).
8. Los datos recabados con esta finalidad deben ser destruidos en el mínimo tiempo posible y con sujeción a los plazos que fijen las autoridades competentes, si los hay.

Lo más recomendable es que los empresarios que estén obligados a desempeñar esta nueva función busquen asesoramiento legal especializado. Tal como ha señalado la AEPD, el perfil ideal para buscar asesoramiento es el de un abogado con formación específica en la normativa de privacidad y protección de datos, que informe tanto al responsable como al encargado del tratamiento de los datos personales sobre sus obligaciones legales, asegurando el cumplimiento normativo y cooperando con la autoridad de control. De ser necesario, este profesional podrá ejercer como Delegado de Protección de Datos (DPD) y, al ser un abogado, podrá representar los intereses de la empresa frente a posibles conflictos legales relacionados con la protección de datos, en expedientes sancionadores, etc.

*Si te ha resultado interesante este artículo, te animamos a seguirnos en TWITTER y a suscribirte a nuestra NEWSLETTER DIARIA.

Alto Directivo