Cómo cumplir con la Ley de Protección de Datos LOPD

Es de vital importancia conocer y cumplir Ley de Protección de Datos (LOPD), para evitar posibles sanciones por el incumplimiento de la normativa en la gestión de datos personales en los ficheros de clientes. Las pequeñas y medianas empresas deben comunicar la existencia de un archivo con información sobre sus clientes, las medidas de protección y los canales disponibles para que las personas ejercer los derechos reconocidos en la ley. En este artículo queremos mostrarte cómo cumplir con la Ley de Protección de Datos LOPD.

Las 4 obligaciones que toda empresa tiene ante la LOPD

Inscripción de archivos

Ya antes de comenzar a reunir la información, debemos avisar sobre la existencia del archivo a la Agencia Española de Protección de Datos (AGPD). Hay que precisar los datos que se almacenarán, el empleo que se hará de ellos y las medidas de seguridad con las que protegeremos esos datos.

Posteriormente, esta información va a ser accesible por los afectados desde la web de la AGPD. Debemos repetir este procedimiento por cada archivo que se abre: de clientes, distribuidores, empleados, listas de email para newsletter, etc. De hecho con este trámite no garantiza que la PYME no vaya a percibir sanciones.

Solicitud de información

Los datos solicitados por la PYME deben ajustarse a lo preciso para efectuar su actividad. Por ejemplo, puede consultar a los usuarios sobre su capacidad económica para promocionar un determinado servicio, pero no es preciso conocer sus gustos sexuales o políticos. Al pedir la información hay que comunicar a los clientes del servicio las consecuencias de no darla, el empleo que se hará de ella, si se va a ceder a terceros y los canales (Correo postal, teléfono, etc.) mediante los que van a poder ejercer sus derechos. Para esto, hay que conseguir su permiso por escrito.

Derechos de los afectados

Todas y cada una de las personas están en su derecho a conocer los datos sobre ellos que nuestra empresa tiene guardados. Para esto, pueden solicitarlos a la empresa y esta tiene la obligación de contestar, dando la información en el formato solicitado (físico o bien electrónico) en un plazo máximo de 30 días.

Los clientes, distribuidores o empleados asimismo están en su derecho a pedir que sus datos desaparezcan del archivo. El negocio solamente va a estar forzado a atender este requerimiento cuando no los necesite para cumplir con sus obligaciones (Facturación, Contabilidad, impuestos, etc.). Por ejemplo, las compañías deben preservar la información sobre sus clientes del servicio para presentar sus declaraciones del Impuestos o bien sus cuentas anuales. El derecho de oposición deja que los perjudicados se puedan oponer a que los datos estén a cargo de un tercero, salvo en los casos en los que haya una obligación legal. Por último pueden pedir las rectificaciones y modificaciones precisas para solventar cualquier fallo o bien actualizar la información. En todos estos casos, la compañía debe contestar en un máximo de diez días.

Empleo y cesión a terceros

Las PYMES van a poder efectuar cualquier clase de uso con los datos del fichero, por ejemplo cruzar los datos para conseguir información relevante sobre la clientela con el fin de realizar campañas de marketing, siempre y cuando se ajuste a su actividad y lo hayan notificado a la AGPD.

En el caso del envío de información de carácter comercial, deben haber logrado el expreso consentimiento del cliente del servicio, mediante una cláusula concreta que este va a poder corregir en cualquier instante.

Una cuestión delicada acostumbra a ser la cesión de esta información a otras organizaciones. Para efectuar esta operación, generalmente es preciso que lo haya autorizado la persona afectada. Si bien asimismo se le puede solicitar el permiso a posteriori, lo mejor es prevenir e informar de este posible empleo en exactamente el mismo instante de pedir la información. Los únicos casos en los que no es preciso conseguir la aprobación explícita es cuando los datos hayan sido recogidos de fuentes alcanzables al público o bien se cedan cumpliendo con una obligación legal, por poner un ejemplo con Hacienda.

Niveles de seguridad en función del tipo de información

Niveles de seguridad en función del tipo de información

Niveles de seguridad en función del tipo de información

Cualquier empresa que almacene archivos debe contar con un documento de seguridad que recoja las medidas adoptadas. La ley establece 3 niveles diferentes de protección dependiendo del género de datos recogidos.

  • Nivel básico. Incluye los datos más frecuentes, como el documento nacional de identidad, domicilio o bien la información bancaria.
  • Nivel Intermedio. Incluye los que revelan faltas administrativas o bien delitos, la solvencia financiera o bien los gustos y aficiones de la persona.
  • Nivel Alto. Incluye los datos que definen la identidad del individuo, como la ideología política, las creencias de tipo religioso, la salud o bien la vida sexual.

La normativa aconseja que no se recojan los datos de estas 2 últimas categorías a menos que sea preciso para la actividad de la organización, como en el caso por ejemplo de una clínica de fertilidad, un sitio web de citas online, etc.

Artículos importantes de la LOPD

ARTÍCULO 89. Funciones y obligaciones del personal.

Las funciones y obligaciones de cada uno de los usuarios o bien perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información han de estar claramente definidas y documentadas en el documento de seguridad. Asimismo se definirán las funciones de control o bien autorizaciones encargadas por el responsable del archivo o bien tratamiento.
El responsable del archivo o bien tratamiento adoptará las medidas precisas a fin de que el personal conozca de una manera legible las reglas de seguridad que afecten al desarrollo de sus funciones como las consecuencias en que pudiese incurrir en el caso de incumplimiento.

ARTÍCULO 90. Registro de incidencias.

Debe existir un procedimiento de notificación y administración de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el género de incidencia, el instante en que se ha producido, o bien en su caso, detectado, la persona que efectúa la notificación, a quién se le comunica, los efectos que se hubiesen derivado de exactamente la misma y las medidas correctoras aplicadas.

ARTÍCULO 91. Control de acceso.

Los usuarios van a tener acceso solamente a aquellos recursos que precisen de cara al desarrollo de sus funciones. El responsable del archivo se ocupará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos de ellos. También será el encargado de establecer los mecanismos para eludir que un usuario pueda acceder a recursos con derechos diferentes de los autorizados.

Únicamente el personal autorizado para esto en el documento de seguridad va a poder otorgar, trastocar o bien cancelar el acceso autorizado sobre los recursos, de conformidad con los criterios establecidos por el responsable del archivo. En caso de que exista personal ajeno al responsable del archivo que tenga acceso a los recursos habrá de estar sometido exactamente a las mismas condiciones y obligaciones de seguridad que el personal propio.

ARTÍCULO 92. Administración de documentos y soportes.

Los documentos y soportes que contengan datos de carácter personal deber permitir identificar el género de información que poseen, ser catalogados y solo habrán de ser alcanzables por el personal autorizado para esto en el documento de seguridad. Se excluyen estas obligaciones cuando las peculiaridades físicas del soporte imposibiliten su cumplimiento, quedando constancia y explicación motivada de ello en el documento de seguridad.

La salida de soportes y documentos que contengan datos de carácter personal, incluyendo los comprendidos y/o anexos a un email, fuera del centro de trabajo y bajo el control del responsable del archivo o bien tratamiento habrá de ser autorizada por el responsable del archivo o bien encontrarse correctamente autorizada en el documento de seguridad. En el traslado de la documentación se adoptarán las medidas dirigidas a eludir la sustracción, pérdida o bien acceso incorrecto a la información a lo largo de su transporte.

Siempre y cuando vaya a desecharse cualquier documento o bien soporte que contenga datos de carácter personal va a deber procederse a su destrucción o bien borrado, a través de la adopción de medidas dirigidas a eludir el acceso a la información contenida en exactamente el mismo o bien su restauración siguiente.

ARTÍCULO 93. Identificación y autentificación.

El responsable del archivo o bien tratamiento va a deber adoptar las medidas que garanticen la adecuada identificación y autentificación de los usuarios. El responsable del archivo o bien tratamiento establecerá un mecanismo que deje la identificación de forma indudable y adaptada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.

ARTÍCULO 94. Copias de seguridad y restauración.

Se establecerán procedimientos de actuación para la realización semanal como mínimo,de copias de seguridad, a menos que en tal periodo no se hubiese producido ninguna actualización de los datos. También, se establecerán procedimientos para la restauración de los datos que garanticen en todo instante su reconstrucción en el estado en que se hallaban al mismo tiempo de generarse la pérdida o bien destrucción.

Sanciones

Cuando advierte que no se están cumpliendo estas obligaciones, por lo general en base a reclamaciones de los perjudicados, la AGPD manda apercibimientos o bien establece multas que hoy día fluctúan entre 600€ y 600.000€. La cuantía final depende de si se ha recibido un aviso o bien sanciones precedentes, la relevancia del fallo y el perjuicio ocasionado a los perjudicados.

Fuente: Label Key