
En el día a día, el taller debe tratar con información de diversa índole: ficheros de clientes, ficheros de empleados, ficheros de proveedores…
Los datos personales de personas físicas sobre las que el taller crea ficheros están protegidos por la Ley Orgánica de Protección de Datos (LOPD), creando una serie de obligaciones cuyo incumplimiento, voluntario o involuntario, puede generar denuncias y sanciones.
A continuación mostramos 8 pautas básicas e imprescindibles para comprender y dar cumplimiento a la LOPD.
LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Y SUS SANCIONES
La Agencia Española de Protección de Datos (en lo sucesivo AEPD) es el guardián de hacer cumplir la Ley Orgánica de Protección de Datos de Carácter Personal (en lo sucesivo LOPD). Se encarga básicamente de velar por su cumplimiento, lo que se traduce en atender las reclamaciones legítimas de aquellas personas que se sienten afectadas por un tratamiento anómalo respecto a sus datos personales e investigar y, en su caso, sancionar a las empresas infractoras. Cuenta para ello con un equipo de inspectores (como los de Hacienda o los de Trabajo) encargado de instruir los procedimientos.
La AEPD puede iniciar en cualquier momento un procedimiento contra una empresa ante cualquier indicio de que se pueda estar cometiendo una infracción.
Sanciones: las sanciones de la AEPD con célebres por su cuantía (de 900 a 40.000 € por las infracciones más leves, hasta 600.000 € por las muy graves).
- EN QUÉ CASOS SE APLICA LA LOPD EN LA EMPRESA
[level-asociados]
La LOPD se aplica a todos los datos personales concernientes a personas físicas identificadas o identificables, con los que tu empresa haya creado o pretenda crear un fichero (conjunto organizado de datos, que permita el acceso a los mismos con criterios determinados).
Teniendo en cuenta que una empresa en su actividad normal recaba una ingente cantidad de información personal (de empleados, de clientes, de potenciales clientes, …) y que, necesariamente, la incorpora a algún tipo de fichero para poder manejarla (lo que la LOPD llama «tratamiento de datos»), nuestro taller queda sometido a las exigencias e la normativa de protección de datos.
Ejemplos:
-¿Tienes los nombres y direcciones de tus clientes para enviarles sus productos o prestarles un servicio? Pues eso es un fichero con información personal sometido a la LOPD.
-¿Tienes archivados los contratos de trabajo de sus empleados? Pues eso también es un fichero con información personal sometido a la LOPD.
Y a partir de ahí, las cosas se pueden ir complicando: videocámaras en los centros de trabajo, fotografías, direcciones de e-mail, campañas de marketing con nuestros servicios, currículos de candidatos a un puesto de trabajo, etc.
- INSCRIPCIÓN DE FICHEROS
La primera obligación de una empresa que maneje ficheros con datos personales es inscribirlos en el Registro General de Protección de Datos (RGPD).
No hacerlo constituye una infracción leve sancionable con una multa de hasta 40.000 €, además de un error estratégico gravísimo.
Si una empresa tiene algún problema con la AEPD (y es investigada por alguna razón), lo primero que verificará la AEPD es si dicha empresa tiene sus ficheros inscritos y actualizados. Si no es así, ya poco podrá alegar a su favor, puesto que habrá empezado por incumplir la más elemental de sus obligaciones.
EL CONSENTIMIENTO, LA LLAVE QUE ABRE TODAS LAS PUERTAS
Muchas empresas sienten que la LOPD les impide tomar iniciativas empresariales o de marketing. Y no es del todo cierto, aunque es evidente que ha obligado a hacer las cosas de otra forma, eso no significa renunciar a realizar campañas de marketing, a estar en contacto con los clientes y a otras acciones imprescindibles para la buena marcha del negocio.
La clave está en el consentimiento, es decir, que cada persona de quien se recojan datos personales dé su autorización para que se utilicen para la finalidad concreta para la que se le han pedido. Y, a partir de ahí, vienen excepciones a la necesidad del consentimiento (situaciones en las que no es necesario que una empresa solicite consentimiento), otras en las que el consentimiento es tácito (se parte de que la empresa tiene el consentimiento y lo que tiene el afectado es un plazo concreto para oponerse), necesidad de un consentimiento «reforzado» para tratar datos especialmente protegidos (ideología, religión, afiliación sindical, creencias, origen racial, salud y vida sexual).
- DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN
Si la empresa ya tiene el dato personal que necesitaba y cuenta para ello con el consentimiento de la persona a quien pertenece esa información… ¿Terminan ahí sus obligaciones?
¡Ni mucho menos! En realidad acaban de empezar. Partimos de la base de que al recabarlos informó a esa persona de quién es la empresa Responsable del Tratamiento, para qué va a utilizar esa información y de todos los derechos que le asisten.
Ahora toca ponerlos en práctica y prever cauces para ello, teniendo en cuenta que cuando esa persona ejerza alguno de esos derechos (como los de rectificación o cancelación) la empresa solo cuenta con 10 días para responder y que se exige por no solo actuar dentro del plazo, sino contestar razonadamente por escrito al titular de ese dato. Estamos hablando de que esa persona quiera saber qué información se posee de ella, se oponga a recibir publicidad, revoque el consentimiento que antes había dado, pida que se le borre del fichero (lo que no siempre puede legalmente hacer una empresa pues pueden existir otras leyes que le obliguen a conservar la información).
- A CADA TIPO DE DATO, SU NIVEL DE PROTECCIÓN
No todos los datos personales merecen la misma protección. Así, no es lo mismo archivar información como el nombre y los apellidos, la dirección y el teléfono (que la LOPD considera de nivel «básico»), que datos de nivel «medio» o datos especialmente sensibles como salud, ideología, religión, etc. (que son de nivel «alto»). Saber qué datos utiliza la empresa respecto a cada colectivo del que maneja información (trabajadores, clientes, potenciales clientes, proveedores, etc.) es esencial porque condiciona las medidas de seguridad que deberá aplicar a cada uno de ellos (a mayor nivel, mayores medidas de seguridad).
Ejemplos de medidas son: contraseñas informáticas confidenciales y que deben cambiarse regularmente, control de acceso a los locales, copias de seguridad, registros de incidencias actualizados, comunicaciones encriptadas, destrucción de documentos, cláusulas legales que deben firmar los trabajadores de la empresa que manejen datos personales, etc.
Todos los procedimientos de seguridad de una empresa deben quedar recogidos en lo que la AEPD denomina «Documento de Seguridad», incluso si solo maneja datos de nivel básico, debiendo estar actualizado y pudiendo ser requerido en cualquier momento.
- EL DEBER DE SECRETO
¿Recuerdas el secreto profesional al que se deben profesionales como los médicos o los abogados respecto a sus pacientes o clientes? Pues exactamente lo mismo es lo que debe garantizar una empresa respecto a los datos personales que maneja, implantando sistemas eficaces, que impliquen a todos los empleados que utilizan los datos, para que la información que manejan no pueda filtrarse por ningún lado ni intencionadamente ni por error o equivocación.
CÓMO CEDER O COMUNICAR LEGALMENTE DATOS PERSONALES A UN TERCERO
Si una empresa piensa ceder los datos a otra empresa (o permitirles acceder a ellos) necesita el consentimiento expreso de cada persona a quien corresponden esos datos. Sería el caso, por ejemplo, de que una empresa pensara ceder sus bases de datos de clientes a otras empresas del grupo para que las usaran en sus campañas de marketing.
¿Pero qué pasaría si alguien externo a la empresa tiene que tener acceso a los datos personales no porque tenga interés en ellos, sino simplemente como parte de la prestación de un servicio a la empresa (la gestoría que prepara las nóminas, los informáticos que acceden a la red, la empresa que gestiona la vigilancia de la salud de los trabajadores….)? Siguiendo la lógica de la Ley, se trataría en principio de una cesión o comunicación de datos y necesitaría el consentimiento de cada afectado, pero la normativa es «compresiva» en este punto y entiende que en los casos en los que un tercero accede a los datos personales que maneja una empresa como parte imprescindible de la prestación de un servicio (como los ejemplos anteriores), entonces no es necesario el consentimiento.
Pero eso sí, es imprescindible que la empresa suscriba un contrato de acceso a los datos por cuenta de terceros con cada una de ellos que regule las relaciones entre el Responsable de Fichero y el Encargado del Tratamiento (la empresa contratada) y las condiciones del acceso a esos datos, así como las responsabilidades de cada una de las partes.
Importante: si una empresa no firma ese contrato, estaría llevando a cabo una cesión no consentida de datos (infracción grave castigada con hasta 300.000 €) y, además, si no existiera el contrato y se produce alguna infracción por parte de la otra empresa, la empresa que posee los ficheros será tan responsable de la infracción como la otra.
[/level-asociados]
Fuente, gt motive