Protección de datos en tu empresa: ¿cumple con todas las condiciones de la LOPD?

La Ley Orgánica de Protección de Datos (LOPD) es un conjunto de normas que regulan el uso de los datos de carácter personal (cuentas bancarias, dirección, deudas, etc.) que puedan tener en su posesión empresas o profesionales para poder desarrollar su actividad. En otras palabras, la LOPD nos da las directrices de lo que sí se puede y no se puede realizar con dichos datos, así como los derechos que tienen los que son titulares de ellos.

Muchas empresas creen cumplir con la LOPD con el mero hecho de registrar los ficheros en la Agencia Española de Protección de Datos (AEDP) o por contratar los servicios de una empresa para que nos lo gestione. No obstante, en muchas ocasiones, no es suficiente con lo anterior y podemos convertirnos en dianas para sanciones de altas cuantías. Por eso, es necesario revisar la Protección de Datos de nuestra empresa y comprobar que cumplimos con todas las condiciones.

Y aunque hay ciertas acciones que son básicas para cumplir con la LOPD, se avecinan cambios. El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD). Sin embargo, muchos desconocen este cambio legal y las relevantes repercusiones que tiene para todas las empresas, sin importar su tamaño o el tipo negocio al que se dediquen. Y aunque su aplicabilidad no será obligatoria hasta mayo del 2018, conviene estar al tanto de su contenido.

Nivel de seguridad

Cualquier profesional, entidad, empresa pública o privada que trate datos de carácter personal de clientes, proveedores, personal, etcétera, se encuentra en la obligación de cumplir con la LOPD. El primer paso es comprobar si el nivel de seguridad que le hemos dado a nuestros datos es el correcto.

Tenemos que tener en cuenta que hemos podido dar de alta los ficheros con un nivel de seguridad inadecuado o que ha podido haber cambios en el desarrollo de nuestro negocio que supongan tratar con otro tipo de datos.

La LOPD fija diferentes niveles en función de la naturaleza de los datos:

1. Se aplicará un nivel básico a los ficheros que contienen datos meramente identificativos, como puedan ser el nombre, apellidos, nº de cuenta, imagen, teléfono, sexo, nacionalidad, etc.
2. Se establecerá un nivel medio de seguridad a los los ficheros que contengan información relativa a la solvencia patrimonial, operaciones financieras y de crédito, antecedentes penales, pruebas psicotécnicas e incluso datos de carácter personal que permitan obtener una evaluación de la personalidad del individuo.
3. Nivel alto a todos los ficheros que contengan información relativa a ideología, afiliación sindical y política, creencias, salud, vida sexual, origen racial, etc.

¿Dudas sobre los ficheros inscritos?

Para cumplir con la LOPD, tenemos la obligación de notificar los ficheros que contengan datos de carácter personal a la AEPD. El acceso a la información sobre ficheros inscritos es público, por lo tanto podemos acceder a la página de la AEPD y, mediante una rápida comprobación, podemos buscar qué ficheros tiene la empresa inscritos.

Y, ¿qué pasa si dimos de alta a la empresa pero no tenemos los ficheros actualizados? Es obligatorio tener actualizados en todo momento los ficheros ya inscritos, especialmente si se desarrollan nuevos tratamientos de datos que implican la inscripción de nuevos ficheros, su modificación o supresión.

Asignar un responsable de seguridad

El responsable de seguridad es la persona encargada de coordinar y controlar las medidas de seguridad aplicables a los documentos asignados. Podrán existir varios responsables de seguridad, en cuyo caso se delimitarán los ficheros y tratamientos asignados a cada uno de ellos. Su nombramiento será obligatorio en el caso de existir ficheros de seguridad media o alta.

Documento de seguridad

Será necesario contar con un documento de seguridad y mantenerlo permanentemente actualizado siempre que se daten datos personales, sea cual sea su nivel. En caso de inspección, puede suponer una infracción grave la inexistencia de dicho documento.

Significaría que no estamos adoptando ningún tipo de medidas de índole técnica y organizativa que garanticen la seguridad de los datos y eviten su alteración, robo o pérdida. Su adopción es de obligado cumplimiento para el responsable del fichero.

Medidas de seguridad

Es momento de pararse a pensar sobre las medidas de seguridad que protegen los datos. ¿Contamos con un antivirus que minimice la posibilidad de recibir ataques informáticos y que se actualice periódicamente? ¿Tenemos un servidor de calidad y cambiamos las contraseñas de forma regular?

De nada sirve inscribir unos ficheros en AEPD si luego no se implantan las oportunas medidas técnicas y de seguridad en la empresa (muebles con llave, archivos con acceso restringido, etc.) que podemos encontrar en el documento de seguridad. Se suele decir que hasta que no se ven las orejas al lobo, este no existe. Por eso no debemos arriesgarnos a quedarnos sin nuestra fuente de información.

En cuanto al RGPD, contempla medidas de seguridad que deben adaptarse a las características de los tratamientos, al tipo de datos que se tratan y a la tecnología de cada momento. Los tratamientos que impliquen un bajo riesgo no requerirán, en principio, medidas de seguridad más complejas que las que actualmente establece la LOPD para el nivel básico.

Adaptación de la página web

Cuando ampliamos nuestras fronteras y creamos una página web, muchas veces no tenemos en cuenta aspectos fundamentales como la política de privacidad, el aviso legal o la política de cookies de dicha web.

Es vital tener un apartado donde se especifique que contamos con una política de privacidad a la hora de recoger y hacer uso de los datos de los subscriptores, así como contar con un aviso legal para cumplir con las especificaciones de la Ley de los Servicios de la Información (LSSICE).

Igualmente, si existen formularios de recogida de datos personales, los interesados a los que se recojan deber ser informados previamente de que existe un fichero de carácter personal y que está protegido, de la posibilidad de ejercitar los derechos ARCO, etc.

También recordar que los datos que se recojan a través de la web no deben ser excesivos, es decir, no debemos pedir más que aquellos que sean necesarios para el fin que se persigue.

No obstante, si tenemos grandes dudas sobre si nuestra empresa está o no adecuada a la LOPD, lo mejor será acudir a un especialista de la materia para que pueda ofrecernos soluciones acordes a nuestra empresa y a la ley.

RGPD: comencemos con la puesta a punto

Muchos son los cambios que se avecinan con la RGPD. Como hemos dicho, este reglamento no comenzará a aplicarse hasta dos años después de su entrada en vigor, el 25 de mayo del 2018. Hasta entonces, todo lo comentado anteriormente y todas las normas nacionales siguen siendo plenamente válidas y aplicables. Abordemos algunos de los cambios.

En el apartado anterior hablábamos de que los propietarios de los datos deben de tener la posibilidad de ejercitar los derechos ARCO, un acrónimo que se corresponde con los derechos básicos que los titulares teníamos: acceso, rectificación, cancelación y oposición. Y aunque con la RGPD no desaparecen, se amplían y cambian de nombre: acceso, transparencia, información, portabilidad, rectificación, limitación del tratamiento, oposición y, cómo no, el derecho al olvido.

Los más novedosos son el derecho al olvido y de portabilidad. El primero hace referencia al derecho a solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones que le afecten y resulten obsoletas, falsas, etc. El segundo, por su parte, implica que el interesado pueda solicitar la recuperación de los datos automatizados en un formato que permita su traslado a otro responsable.

Algunos del gran abanico de cambios que se avecinan son los siguientes:

• La información deberá permanecer cifrada, incluso si se viaja con ella o se almacenan en la nube.
• Hasta ahora bastaba con que hubiera un consentimiento tácito por parte del cliente para tratar con los datos. Sin embargo, con el nuevo reglamento, todos los contactos o consentimientos para el uso de sus datos que se den deberán ser claramente expresos y revocables.
• Obligación de realizar una auditoría periódica que demuestre la adecuación al nuevo reglamento de los datos que se dispone y las medidas que se aplican.
• A la familia se unirán nuevas figuras. La nueva norma exige que el responsable y el encargado del tratamiento designe un delegado de protección de datos en determinadas empresas.
• Los certificados. Hasta ahora, muchas empresas contrataban los servicios para adecuarse a la LOPD y terminaba siendo un libro archivado en las estanterías. Eso tendrá que cambiar. La RGPD establece mecanismos de certificación y sellos que confirmen el cumplimiento de la nueva normativa, de modo que contribuyan a generar confianza entre los actuales y futuros clientes.

Con tanto cambio, es imprescindible ir tomando las riendas de la situación. Además, el reglamento impondrá sanciones muy elevadas. Las violaciones graves tendrán multas de hasta 10 millones de euros. Las muy graves hasta 20 millones o el 4% de la facturación total.