PUBLICIDAD
PUBLICIDAD

Las microempresas y las pymes en el Reglamento Europeo de Protección de Datos

Javier Puyol es el socio director de Puyol Abogados, una boutique legal especializada en el mundo de las nuevas tecnologías y el cumplimiento normativo. Confilegal.
|

En el ámbito del nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas, en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), se expresa una especial preocupación por la aplicación del nuevo régimen de privacidad a las microempresas, y también a las pequeñas y medianas empresas.

Dicha nueva normativa parte derecho de la necesidad de garantizar un nivel coherente de protección de las personas físicas en toda la Unión Europea, y evitar divergencias que dificulten la libre circulación de datos personales dentro del mercado interior, y para ello es necesario una normativa materializada en el nuevo  Reglamento General, que proporcione seguridad jurídica y transparencia a los operadores jurídicos y económicos, entre las que se incluyen las microempresas, y las pequeñas y medianas empresas.

Concretamente, en su Expositivo número 13 se señala literalmente que con objeto de tener en cuenta la situación específica de las microempresas y las pequeñas y medianas empresas, dicho Reglamento incluye una serie de excepciones en materia de llevanza de registros para organizaciones con menos de 250 empleados.

Además, alienta a las instituciones y órganos de la Unión y a los Estados miembros y a sus autoridades de control a tener en cuenta las necesidades específicas de las microempresas y las pequeñas y medianas empresas en la aplicación de la nueva normativa comunitaria, como más adelante se analizará.

PUBLICIDAD
PUBLICIDAD

El concepto de “microempresas” y de “pequeñas” y “medianas” empresas debe extraerse del contenido normativo incluido en el artículo 2º del Anexo de la Recomendación 2003/361/CE de la Comisión Europea, la cual hace referencia a la definición del concepto de “microempresa”, y también de las “pequeñas” y de las “medianas” empresas.

En el mismo, se señala que, la categoría de microempresas, pequeñas y medianas empresas (PYME) está constituida por aquel segmento de empresas que ocupan a menos de 250 personas, y cuyo volumen de negocios anual no excede de 50 millones de euros, o cuyo balance general anual, no excede de 43 millones de euros.

Pequeña empresa

Así, en la categoría de las PYME, se define a una “pequeña empresa”, como una empresa que ocupa a menos de 50 personas, y cuyo volumen de negocios anual o cuyo balance general anual, no supera los 10 millones de euros, y a una “microempresa”, como una empresa que ocupa a menos de 10 personas, y cuyo volumen de negocios anual, o cuyo balance general anual, no supera los 2 millones de euros.

Dicha Recomendación hace referencia a los datos que se deben tomar en cuenta para calcular los efectivos, los importes financieros y el periodo de referencia, a los efectos de poder encasillar a una determinada empresa dentro de una de las tipologías empresariales descritas.

PUBLICIDAD

En este sentido, se indica que los datos seleccionados para el cálculo del personal y los importes financieros son los correspondientes al último ejercicio contable cerrado, y se calculan sobre una base anual. Consecuentemente con ello, dichos datos se toman en consideración, a partir de la fecha en la que se cierran las cuentas.

El total de volumen de negocios se calculará sin el Impuesto sobre el Valor Añadido (IVA), y tampoco se tienen cuenta el cómputo generado por los tributos indirectos.

A los efectos de generar criterios prácticos, resolviendo las dudas que se puedan plantear, cuando una empresa, en la fecha de cierre de las cuentas, constate que se han rebasado en un sentido o en otro, y sobre una base anual, los límites máximos de efectivos o los límites máximos financieros antes indicados, esta circunstancia sólo le hará adquirir o perder la calidad de media o pequeña empresa, o de microempresa, si este rebasamiento se produce en dos ejercicios consecutivos.

PUBLICIDAD

En las empresas de nueva creación, en las que por dicho motivo que no se hayan cerrado todavía sus cuentas, se utilizarán, a tales efectos, los datos basados en las estimaciones que se consideren fiables realizadas durante el ejercicio financiero en curso.

Número de trabajadores

Otro elemento a considerar es el relativo al número de trabajadores empleados en la empresa.

PUBLICIDAD

Así, se señala, que los efectivos se corresponden con el número de unidades de trabajo anual, concepto que se denomina “UTA”, y que hace referencia al número de personas que trabajan en la empresa en cuestión, o por cuenta de dicha empresa a tiempo completo, durante todo el año de que se trate.

El trabajo de las personas que no trabajan todo el año, o que, por ejemplo, trabajan a tiempo parcial, independientemente de la duración de su trabajo, o el trabajo estacional, se cuentan como fracciones de UTA.

En los efectivos se contabiliza a las categorías siguientes:

PUBLICIDAD

a) Los asalariados.

b) Las personas que trabajan para la empresa, que tengan con ella un vínculo de subordinación y estén asimiladas a asalariados con arreglo al Derecho nacional.

c) Los propietarios que dirigen su empresa.

d) Los socios que ejerzan una actividad regular en la empresa y disfruten de ventajas financieras por parte de la empresa.

Los aprendices o alumnos de formación profesional con contrato de aprendizaje o formación profesional no se contabilizarán dentro de los efectivos.

No se contabiliza la duración de los permisos de maternidad o de los permisos parentales.

Debe indicarse, que la determinación concreta del concepto de “microempresa”, y de la “pequeña” y de la “mediana” empresa, y de la determinación cuantitativa de dichos conceptos, es sumamente importante a los efectos de la asunción o no de las nuevas y concretas obligaciones que se imponen en el nuevo Reglamento General en materia de protección de datos de carácter personal. Por eso determinar el alcance de estos conceptos, adquiere una nueva importancia a los efectos de la determinación de la existencia del cumplimiento o no de estas obligaciones en materia de privacidad.

Códigos de conducta

Sin embargo, debe tenerse presente, que el nuevo Reglamento General con relación a estas tipologías empresariales, aborda otras cuestiones de suma importancia, entre las que se encuentra, por ejemplo, la necesidad de que dichas empresas se vean inmersas, o incluso elaboren códigos de conducta en lo que respecta, al menos, en esta materia.

En este sentido, el artículo 40 del Reglamento obliga a los Estados miembros de la Unión Europea, a las autoridades de control, al Comité y a la Comisión a promover la elaboración de códigos de conducta destinados a contribuir a la correcta aplicación del presente Reglamento, teniendo en cuenta las características específicas y las necesidades de los distintos sectores de tratamiento y especialmente en lo referente a las microempresas y las pequeñas y medianas empresas.

Del mismo modo, y de manera complementaria a ello, el Reglamento en su Expositivo número 98 señala que, se debe incitar a las asociaciones u otros organismos que representen a categorías de responsables o encargados a que elaboren códigos de conducta, dentro de los límites fijados por el propio Reglamento, con el fin de facilitar su aplicación efectiva, teniendo en cuenta las características específicas del tratamiento llevado a cabo en determinados sectores y las necesidades específicas de las microempresas y las pequeñas y medianas empresas.

En este caso, los códigos de conducta deberían establecer las obligaciones de los responsables y encargados del tratamiento, teniendo en cuenta el riesgo probable para los derechos y libertades de las personas físicas que se derive del tratamiento.

En alguna manera se trata de que estos códigos de conducta recojan específicamente la problemática de los diferentes sectores o ámbitos económicos y comerciales de que se trate, y al mismo tiempo, tal como se ha indicado, las concretas circunstancias en las que se desenvuelven las pequeñas y las medianas empresas, a los efectos de que desarrollen estos códigos que tienen un contenido tanto de carácter ético como de índole normativo en materia de privacidad, con la finalidad de que los mismos garanticen, incluso por encima del tenor literal de la legalidad vigente, su compromiso de cumplimiento de la misma, para con los ciudadanos, los mercados, y la sociedad en general.

Dicho impulso no sólo lo prevé el legislador comunitario con relación a los códigos de conducta, sino también, en los que atañe a la suscripción de certificaciones en esta materia, determinándose otra vez, la obligación que tienen los Estados miembros de la Unión Europea, las autoridades de control, el Comité y la Comisión de promover igualmente a nivel de la Unión, la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de tratamiento de los responsables y los encargados, y para ello, se tienen que tener también especialmente en cuenta las necesidades de las microempresas y las pequeñas y medianas empresas.

Sensibilización del público

Por último, debe hacerse alusión al contenido del Expositivo número 132 de dicho Reglamento General, en el que se señala que entre las actividades de sensibilización del público por parte de las autoridades de control deben incluirse medidas específicas dirigidas a los responsables y los encargados del tratamiento, entre los que se hace expresa mención a las microempresas y las pequeñas y medianas empresas.

En este caso, el compromiso se trata de establecer en un doble sentido, por un lado, la necesidad de instaurar una cultura de cumplimiento, que sin lugar a dudas parece mucho más eficaz de cara al cumplimiento de la legalidad vigente en materia de privacidad, que el desarrollo de políticas de cumplimiento basadas en el carácter represivo de multas administrativas mucho más contundentes que las contenidas en la legislación que ahora se deroga, y por otra parte, no debe olvidar que el tejido empresarial está compuesto en un 95% aproximadamente por este tipo de empresas, y por ello, es importante impulsar e incidir por parte de los reguladores en la materia un cumplimiento generalizado por parte de dichas empresas en lo que atañe a sus obligaciones sobre privacidad.

Y finalmente debe recordarse el contenido del Expositivo número 167 del Reglamento, donde se señala que, con la finalidad de garantizar unas condiciones uniformes de ejecución de dicho Reglamento, se deben conferir a la Comisión competencias de ejecución cuando así lo establezca el presente Reglamento.

Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) número 182/2011 del Parlamento Europeo y del Consejo, y en este contexto, se insta a la Comisión Europea, para que considere la adopción de medidas específicas para favorecer y potenciar el cumplimiento por parte de las microempresas y las pequeñas y medianas empresas de las obligaciones que el nuevo Reglamento General impone a las mismas.

Por todo ello, cabe concluir que, si bien inicialmente el nuevo Reglamento General no constituye un instrumento elaborado ad hoc para las microempresas y las pequeñas y las medianas empresas, el legislador comunitario siendo sensible a esta situación y a la problemática específica de las mismas, cree que es necesario complementar dicha nueva normativa con medidas eficaces, que potencien, tal como ha quedado dicho anteriormente, el cumplimiento de sus obligaciones, y por ende, la nueva normativa sobre privacidad por parte de estas pequeñas empresas.

por Javier Puyol.

Javier Puyol es abogado, socio director de Puyol Abogados, magistrado excedente, exletrado del Tribunal Constitucional, exdirector de la Asesoría Jurídica Contenciosa del BBVA, consultor en tecnologías de la información y comunicación, administrador concursal, árbitro y mediador civil y mercantil, profesor universitario y académico de la Real Academia de Jurisprudencia.
Para comentar, suscríbete
Si ya eres suscriptor, Inicia sesión