Acatar las normativas vigentes en materia de tratamiento de información personal es un requisito que todas las compañías en Reino Unido deben cumplir. En caso contrario, podrán enfrentarse a problemas legales, además de a la pérdida de confianza de sus clientes en el negocio. En este artículo, explico el GDPR y protección de datos para empresas.

GDPR y protección de datos para pequeñas empresas

¿Qué es el GDPR?

El Reglamento General de Protección de Datos (GDPR por sus siglas en inglés) es una regulación europea relativa a la privacidad y protección de datos personales. El GDPR se aplica cuando una empresa tiene su sede en territorio comunitario o si sus oficinas se ubican fuera de la UE, pero trata con los datos de ciudadanos de países miembros.

A pesar de la salida de Reino Unido de la Unión Europea, se sigue aplicando esta legislación en el país. No obstante, las autoridades británicas han modificado algunos preceptos de las normas, sobre todo en lo que se refiere a la transferencia de datos entre Reino Unido y el Espacio Económico Europeo.

¿Cuándo permite el GDPR que una empresa trate datos personales?

Existen diversas formas de realizar tratamientos de datos legal y lícitamente. Estas son:

  • El interesado da su consentimiento expreso. Esta persona debe haber aceptado de manera consciente e inequívoca. Además, la empresa debe darle la opción de retirar su autorización si el individuo lo desease.
  • Para ejecutar las cláusulas de un contrato con el interesado.
  • Para cumplir con ciertas obligaciones legales. Por ejemplo, conservar facturas por motivos fiscales.
  • Defensa de intereses propios legítimos. Para proteger a la compañía de posibles estafas o fraudes.
  • Fin de interés público. Normalmente, para que organizaciones públicas realicen estudios estadísticos.
  • Protección de intereses vitales. Puede ser el caso de que sea necesario recopilar ciertos datos para evitar la muerte de una persona.

Por otra parte, el GDPR de Reino Unido considera como mayores de edad a aquellos individuos de 13 años o superior. A partir de este umbral, podrán dar su consentimiento como adultos para los tratamientos de datos. En el caso de los menores de 13 años, el interesado no podrá dar su autorización, sino que serán sus tutores legales los que la otorguen.

Adicionalmente, no se aplicará el GDPR cuando el interesado ha fallecido, si este es una persona jurídica o si un individuo efectúa el tratamiento de datos con fines ajenos a sus actividades comerciales, empresariales o profesionales.

Leyes de protección de datos aparte del GDPR para empresas en Reino Unido

Además de cumplir con el GDPR, las empresas en Reino Unido también deberán acatar otras regulaciones que protegen la información personal de sus clientes o empleados. Algunos ejemplos serían mantener sus direcciones personales, las anotaciones de las horas laborables de sus trabajadores o proporcionar datos de envío de los clientes a las empresas de mensajería. Estas normas se aplican, entre otros casos, durante los procesos de contratación de personal, cuando se comercializan nuevos productos y servicios o si se utilizan cámaras de videovigilancia.

Las autoridades competentes han establecido unos principios básicos de protección de datos. Entre estos se incluyen:

  • Mantener los datos almacenados de manera segura, incluida la protección contra el tratamiento no autorizado o ilícito y contra la pérdida, destrucción o daños accidentales. Para ello, se emplearán las medidas técnicas u organizativas adecuadas.
  • Legalidad y transparencia. Informar a los usuarios sobre cómo se van a utilizar los datos que recopilan de ellos.
  • Minimización de datos. Solo se recopilará la información relevante y necesaria para los motivos por los que se procesa.
  • Se almacenarán los datos solo durante el tiempo que resulte imprescindible para completar los objetivos del tratamiento de información que está llevando a cabo la empresa.

Por último, cada negocio deberá informar a la Information Commissioner’s Office (ICO) sobre los usos que les da a los datos personales y responder a las peticiones de protección de datos si un individuo preguntase sobre qué información se conserva de él.

En sociedadesuk encontrará información sobre cómo establecer, registrar y operar empresas con distintas estructuras jurídicas y actividades empresariales en Reino Unido.