La obligación de cumplir la Ley de protección de datos de carácter personal

Cualquier empresa maneja datos personales en el desarrollo normal de su actividad. Datos de clientes, de proveedores, del personal de la empresa, Curriculum vitaes…

La Ley de Protección de Datos de Carácter Personal (LOPD), regula y obliga a como se debe tratar de forma correcta estos datos personales, bien sean propios o de terceros, con el fin de preservar la seguridad de sus titulares y garantizar sus derechos.

Tan obligado está a la Ley un autónomo que trata un solo dato, como una multinacional con millones de datos. La LOPD afecta a la práctica totalidad de las organizaciones por el simple hecho de almacenar datos de personas físicas o de otras organizaciones. Están obligados las personas físicas, autónomos, empresas, entidades públicas, asociaciones, fundaciones, comunidades de propietarios… En definitiva, cualquiera que desarrolle una actividad profesional.

Y esta Ley no es una broma. La vigilancia y el control de la Agencia Española de Protección de Datos es cada vez mayor y aplica sanciones importantes que van desde los 900 a los 600.000 euros.

La cuantía de las sanciones se gradúa atendiendo a la naturaleza de los derechos personales afectados, a su volumen, a los beneficios que podamos haber obtenido, a la intencionalidad, a la reincidencia, a los daños y perjuicios causados,… Por tanto, el no estar al día con la LOPD, pueden causar graves daños económicos a nuestro negocio.

Y un dato muy importante a tener en cuenta es la posibilidad que existe de ser denunciados por su incumplimiento. La denuncia puede venir de cualquiera. Es habitual que este tipo de denuncias provengan de ex trabajadores, clientes insatisfechos, competencia, etc.

Cumplimiento y Adaptación

Cada organización es muy diferente. Si los datos de que disponemos son muy sencillos la adaptación a la LOPD será también muy sencilla.

La Ley determina tres niveles de datos: básico, medio y alto, catalogados en función de la sensibilidad de los mismos, y sobre los cuales establece diferentes tipos de obligaciones.

• Nivel básico: Datos identificativos, tales como NIF, Nº Seguridad Social, nombre, apellidos, dirección, teléfono, firma, imagen, e-mail, nombre de usuario, número de tarjeta, matrícula…
• Nivel medio: Datos sobre infracciones administrativas o penales, solvencia o crédito, datos tributarios o de la Seguridad Social, datos de prestación servicios financieros, y datos referentes a la personalidad o comportamiento de las personas, como gustos, costumbres, aficiones…
• Nivel alto: Datos acerca de la ideología, religión, creencia, origen racial, salud, vida sexual o sobre violencia de género.

La LOPD regula las acciones que se deben llevar a cabo:

• Inscripción de los ficheros en la Agencia Española de Protección de Datos.
• Elaboración e implantación del Documento de Seguridad.
• Regulación del movimiento de datos con terceros.
• Auditoría bianual (para nivel medio o alto de datos)

De manera más amplia, el proceso de implantación y cumplimiento es:

• Identificación del responsable de los ficheros.
• Análisis de los medios informáticos y las instalaciones físicas.
• Identificación de los ficheros, tanto en formato papel como informático, según los fines con los que se traten.
• Inscripción de los ficheros en la Agencia Española de Protección de Datos.
• Elaboración del Documento de Seguridad.
• Elaboración del Manual de Implantación.
• Elaboración del Certificado LOPD.
• Guía de los protocolos ARCO. Guía de actuación para el personal de la empresa de cómo debe recibir, gestionar y atender las peticiones de acceso, rectificación, cancelación, y oposición (ARCO) que cualquier persona pueda solicitar a la empresa en ejercicio de sus derechos contemplados en la LOPD.
• Elaboración del contrato de acceso a datos por cuenta de terceros.
• Elaboración del Compromiso de confidencialidad y secreto.
• Definición de Cláusulas legales, para inclusión en documentos de papel y electrónicos.
• Definición de Aviso legal para el cumplimiento de la LSSI en nuestra web.
• Formación de los responsables y encargados del tratamiento de los ficheros.
• Información a los propietarios de los datos, sobre la existencia de los ficheros.
• Elaboración de circulares informativas y difusión interna: Preparación y elaboración de material informativo para la empresa, tales como anuncios, carteles, comunicados…
• Mantenimiento. Las empresas que no se adapten a los cambios vuelven a ser susceptibles de incumplimiento y por tanto, de sanciones.
• Realización cada dos años de auditoría (sólo para aquellas empresas que tengan nivel medio o alto de datos). Finalizará con un Informe que determinará si nuestra empresa se adecua o no a la Ley. La ley permite que una empresa puede auditarse a sí misma.

Además, la LOPD impone la identificación de los usuarios mediante el uso de contraseñas, el control de la entrada y salida de soportes con datos, la instalación de sistemas de protección tales como antivirus, cortafuegos, encriptación de datos, etc. o la gestión de copias de seguridad.

Guía del responsable del fichero:

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/pdfs/guia_responsable_ficheros.pdf

Ley de Protección de Datos de Carácter Personal. Agencia española de protección de datos.

http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/estatal/index-ides-idphp.php