Buscador
cerrar

Muy práctico

Algunas cláusulas que debes incluir con la nueva ley de protección de datos

La nueva normativa de la protección de datos no afecta sólo a los negocios digitales y a las relaciones que estos mantienen con sus clientes. Atañe también a las relaciones con los empleados, los proveedores o los candidatos a un puesto de trabajo.

Ana Delgado | 31/01/2018
Linkedin Whatsapp

Son muchas las dudas que suscita el Reglamento General de Protección de Datos (RGPD) cuyo cumplimiento será exigible en España a partir del 25 de mayo. La Ley introduce nuevos principios, nuevas categorías de datos, nuevas figuras y roles dentro de la empresa así como distintos procedimientos para obtener el consentimiento de los usuarios y muchos elementos más que imponen cierto respeto a las empresas.

El problema es que algunos piensan que sólo afecta a los negocios digitales y a sus relaciones con los clientes. David García Rodríguez, responsable de Marketing OnLaw, especialistas en marketing jurídico y LOPD para negocios digitales, habla de otros aspectos que se verán afectados por la normativa y cómo deben afrontarlos las pequeñas empresas. García Rodríguez no entra tanto en la parte digital, por lo mucho que se ha publicado ya sobre el tema, pero facilita algunas de las principales cláusulas informativas que, sobre esta materia, deberán introducirse en los contratos que se suscriban con los distintos agentes, como son los proveedores, clientes, potenciales clientes o los candidatos a trabajar en tu empresa. Las cláusulas que a continuación se recogen las extrajeron David García y su socio, Daniel Rodríguez Peral, tras realizar un simulacro de pyme ficticia haciendo uso de la herramienta 'Facilita' que la Agencia Española de Protección de Datos pone a disposición de todos los usuarios en su página web.

Tratamiento de datos de clientes

Por clientes hay que entender aquellas personas con las que se mantiene una relación comercial. La definición incluye distintas categorías de datos personales: los necesarios para el mantenimiento de la relación comercial y su gestión como facturar, enviar publicidad postal o por correo electrónico, servicio postventa y fidelización;  los datos de identificación: nombre y apellidos, NIF, dirección postal, teléfonos, e-mail y, finalmente, los datos bancarios: para la domiciliación de pagos.

Cláusula informativa: Este es un ejemplo del texto que deberá incluirse en todos aquellos formularios que utilice para recabar datos personales de sus clientes, tanto si se realiza en soporte papel como si los recoge a través de un formulario web:
Responsable: Identidad: pepe - CIF: 55555555Q  Dir. postal: calle XXXX Teléfono: 555555555   Correo elect: XXXXX@......com
“En nombre de la empresa tratamos la información que nos facilita con el fin de prestarles el servicio solicitado y realizar la facturación del mismo. Los datos proporcionados se conservarán mientras se mantenga la relación comercial o durante los años necesarios para cumplir con las obligaciones legales. Los datos no se cederán a terceros salvo en los casos en que exista una obligación legal. Usted tiene derecho a obtener confirmación sobre si en ‘pepe’ estamos tratando sus datos personales por tanto tiene derecho a acceder a sus datos personales, rectificar los datos inexactos o solicitar su supresión cuando los datos ya no sean necesarios.
Asimismo solicito su autorización para ofrecerle productos y servicios relacionados con los solicitados y fidelizarle como cliente.” A continuación deberán incluirse dos únicas casillas para que el destinatario marque un SI o un NO. Si la respuesta es la segunda, advierte David García que en ningún caso podrá enviarle publicidad posteriormente.

Tratamiento de datos con potenciales clientes

Se incluyen aquí los datos necesarios para llevar a cabo la promoción comercial de la empresa. Estos son los correspondientes a identificación: nombre y apellidos y dirección postal, teléfonos, e-mail.

En cuanto a la obtención de los datos de estos potenciales clientes, recuerda García Rodríguez que solo pueden extraerse cuando se facilitan voluntariamente o de fuentes de acceso público, donde no entra internet. Las únicas fuentes de acceso púbico son: el censo promocional, del que se puede obtener, nombre, apellidos y dirección de las personas allí inscritas; el repertorio telefónico (regulado por la normativa vigente); lista de personas que se encuentran en un grupo profesional, de las que solo se puede extraer el nombre, la profesión, título, actividad, grado académico, dirección profesional y que se indique que pertenece a ese grupo; diarios y boletines oficiales (con algunas excepciones) y los medios de comunicación.

Recordar también que esto afecta a la práctica habitual de muchas empresas de realizar llamadas comerciales a domicilio o remitir emails con la misma finalidad. Conforme al nuevo reglamento esto solo podrá hacerse si son clientes y las llamadas comerciales están relacionadas con el producto o servicio contratado. También hay que tener en cuenta que el reglamento de protección de datos exige consentimiento expreso, afirmativo e inequívoco, por tanto deben dar su consentimiento de esa manera. Si son antiguos clientes, deberían eliminar los datos personales, puesto que ya no se cumple la finalidad por la que se recogieron. Si los datos han sido extraídos  de fuentes de acceso público, el reglamento recoge un artículo que establece lo que hay que  hacer. En el caso de correos electrónicos, para poder enviar mails comerciales, han de haber dado su consentimiento (en papel o por formulario digital).

Clausula informativa: El texto que deberá incluirse es:

Responsable: Identidad: pepe - CIF: 55555555Q  Dir. postal: calle paco Teléfono: 555555555    Correo elect: XXXXX@......com
“En nombre de la empresa tratamos la información que nos facilita con el fin de enviarle publicidad relacionada con nuestros productos y servicios por cualquier medio (postal, email o teléfono) e invitarle a eventos organizados por la empresa. Los datos proporcionados se conservarán mientras no solicite el cese de la actividad. Los datos no se cederán a terceros salvo en los casos en que exista una obligación legal. Usted tiene derecho a obtener confirmación sobre si en pepe estamos tratando sus datos personales por tanto tiene derecho a acceder a sus datos personales, rectificar los datos inexacto o solicitar su supresión cuando los datos ya no sean necesarios para los fines que fueron recogidos”.

Aviso: “Si compra datos personales a terceros para realizar publicidad de sus productos y servicios, debe tener en cuenta que los mismos proceden de fuentes accesibles al público y que están contrastados con la lista Robinson”. Asimismo deberán eliminarse los datos cuando haya transcurrido un tiempo sin hacer uso de los mismos.

Tratamiento de datos de candidatos

Son los datos aportados voluntariamente por el candidato a un empleo dentro de una determinada empresa. Aquí suelen incluirse tanto datos personales como los académicos y los profesionales. El uso que podrá hacerse de ellos es exclusivo para el fin que los desencadena y deberán suprimirse antes de que transcurra un año desde la presentación de la candidatura.

Clausula informativa: Deberá incluirlo en todos aquellos formularios que utilice para recabar datos personales de los candidatos a un puesto de trabajo, tanto si se realiza en soporte papel como si los recoge a través de un formulario web:

Responsable: Identidad: pepe - CIF: 55555555Q  Dir. postal: calle paco Teléfono: 555555555    Correo elect: XXXXX@......com
“En nombre de la empresa tratamos la información que nos facilita con el fin de mantenerle informado de las distintas vacantes a un puesto de trabajo que se produzcan en nuestra organización. Los datos proporcionados se conservarán hasta la adjudicación de un puesto de trabajo o hasta que usted ejerza su derecho de cancelación por tanto tiene derecho a acceder a sus datos personales, rectificar los datos inexactos o solicitar su supresión cuando los datos ya no sean necesarios. Los datos no se cederán a terceros.”
Si los candidatos aportan su CV en papel normal, sin formulario, se les pedirá que firmen un formulario fechado en que figure al información antes citada.

Datos de los proveedores

Serían aquellos datos que se obtienen con la finalidad de gestionar la relación con los proveedores de productos y servicios. Los datos son todos los necesarios para el mantenimiento de la relación laboral como la identificación, nombre, NIF, dirección postal, teléfonos, e-mail. Los datos podrán conservarse hasta cumplir con los plazos previstos por la legislación fiscal respecto a la prescripción de responsabilidades.

Clausula informativa. El texto deberá incluirlo en todos aquellos formularios que utilice para recabar datos personales de los proveedores como por ejemplo en facturas:

Responsable: Identidad: pepe - CIF: 55555555Q  Dir. postal: calle paco Teléfono: 555555555   Correo elect: XXXXX@......com
“En nombre de la empresa tratamos la información que nos facilita con el fin de realizar pedido y facturar los servicios. Los datos proporcionados se conservarán mientras se mantenga la relación comercial o durante los años necesarios para cumplir con las obligaciones legales. Los datos no se cederán a terceros salvo en los casos en que exista una obligación legal. Usted tiene derecho a obtener confirmación sobre si en pepe estamos tratando sus datos personales por tanto tiene derecho a acceder a sus datos personales, rectificar los datos inexactos o solicitar su supresión cuando los datos ya no sean necesarios.”

Si los proveedores aportan sus datos mediante otro sistema, se les pedirá que firmen un formulario fechado en que figure al información antes citada.

Aviso: “No olvide firmar la última hoja de cada uno de los contratos que se han obtenido”.

Empresas de servicios

Por último, cabe citar qué sucede con aquellas empresas que prestan servicios a la empresa matriz como puede ser una compañía de hosting. En este caso en su contrato con la empresa que le presta el servicio deberá incluir las siguientes cláusulas contractuales:

Cláusulas:  “Mediante las presentes cláusulas se habilita a empresa hosting, como encargado del tratamiento, para tratar por cuenta de XXXXX, en calidad de responsable del tratamiento, los datos de carácter personal necesarios para prestar el servicio que en adelante se especifican. El tratamiento consistirá en empresa hosting. Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, la entidad XXXXXX como responsable del tratamiento, pone a disposición de la entidad empresa hosting la información disponible en los equipos informáticos que dan soporte a los tratamientos de datos realizados por el responsable. Duración: El presente acuerdo tiene una duración de XXXXXX, renovable. Una vez finalice el presente contrato, el encargado del tratamiento debe devolver al responsable los datos personales, y suprimir cualquier copia que mantenga en su poder. No obstante, podrá mantener bloqueados los datos para atender posibles responsabilidades administrativas o jurisdiccionales.

Otras cláusulas

Ademas de las referidas sobre el consentimiento de tratamiento de datos personales es importante también disponer cláusulas de cesión de derechos de imagen , “en casos en que, por ejemplo, si tienen perfiles en redes sociales, y van a publicar fotos de un evento o acto, siempre siempre, deben firmarse estas cláusulas”, recuerda García Rodríguez.

En lo que respecta a los empleados podrán recabarse todos aquellos datos que atañen a la relación laboral, es decir los datos personales de identificación (nombre, apellidos, número de Seguridad Social, dirección postal, teléfonos, e-mail), datos académicos, profesionales y bancarios. Todos ellos pueden ser transferidos a la gestoría laboral y podrán conservarse mientras no prescriban las responsabilidades. En este sentido, conviene también introducir alguna cláusula que especifique la autorización a la gestoría a tratar con esos datos para prestar su servicio. y la renovación automática siendo renovado automáticamente salvo decisión en contra por alguna de las partes.

En caso de que la empresa aplique la videovigilancia para las instalaciones su consentimiento no es necesario en tanto en cuanto , el tratamiento de sus datos personales estaría basado en otra base jurídica: el interés legítimo, es decir que se considera una medida necesaria para el la seguridad o el buen funcionamiento de la empresa en cuestión.

Suscríbete
  • Suscríbete a la revista y consigue 12 números por solo 28,80 € (un 20% menos).

  • Emprendedores en un iPad

    Accede a nuestro Quiosco Digital y disfruta de la revista en tu tableta, estés donde estés.

  • ¿Quieres recibir todas las semanas lo mejor de Emprendedores en tu correo? Solo tiene que darte de alta en nuestra Newsletter.


Encuentra tu franquicia

Ver más articulos