PROTECCIÓN DE DATOS,

¿CÓMO CUMPLIR CON LA NORMATIVA?

La Agencia Española de Protección de Datos (AEPD) fue fundada en 1994 y es el organismo público encargado de velar por el cumplimiento de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) promulgada en 1999. Posteriormente, fue modificada en algunos aspectos por la Ley 2/2011, de 4 de marzo de Economía Sostenible, así como en 2016, con el Reglamento General de Protección de Datos (RGPD) publicado, que introducen adaptaciones, ampliaciones y modificaciones al mismo pretendiendo mejorar el proceso y reducir trámites burocráticos.

Esta Ley tiene como finalidad garantizar la protección y optimo tratamiento de los datos de carácter personal. Estos datos se dividen en tres niveles atendiendo al nivel de la información que se recabe de los clientes y/o usuarios:

  • Nivel básico: datos identificativos, como el NIF, NºSS, nombre, apellidos, dirección, teléfono, firma, imagen, e-mail, nombre de usuario, número de tarjeta, matrícula, etc…
  • Nivel medio: datos a cerca de infracciones administrativas o penales, solvencia o crédito, datos tributarios o de la Seguridad Social, datos de prestación servicios financieros, y datos referentes a la personalidad o comportamiento de las personas, como gustos, costumbres aficiones etc…
  • Nivel alto: datos a cerca de ideología, religión, creencia, origen racial, salud, vida sexual o violencia de género.

El responsable de estos datos y de su tratamiento será la persona que decida sobre la finalidad, el contenido y el uso del tratamiento de los datos personales. Y por tanto, será sobre quién recaerán las obligaciones establecidas por la LOPD, y quien deberá hacer que se cumpla la Ley.

Es necesario que todas las empresas cumplan con la Ley Orgánica de Protección de Datos (LOPD) cuando recaben datos de carácter personal, de forma que garanticen que están dentro de las exigencias legales y puedan evitar sanciones económicas además de la perdida que conllevará un impacto negativo en su imagen de marca. Las infracciones quedan tipificadas como:

  1. Leves: serán sancionadas con multas de 900 a 40.000€.
  2. Graves: serán sancionadas con multas de 40.001 a 300.000€.
  3. Muy graves: serán sancionadas con multas de 300.001 a 600.000€.

La AEPD apercibirá a la empresa previa a la apertura de expediente y emisión de la sanción pertinente para que esta pueda emprender las acciones necesarias que corrijan las infracciones cometidas.

Si vas a iniciar el proceso de implantar LOPD en tu empresa, el asesor que te esté ayudando con el proceso te recomendara las siguientes acciones apoyándote en su implementación:

  • Identificación de los ficheros que contengan datos de carácter personal (empleados, clientes, proveedores, etc…).
  • Identificación del nivel de seguridad que se les aplica.
  • Identificación del Administrador del Fichero.
  • Elaboración del Documento de Seguridad.
  • Formación al Responsable del Fichero.
  • Información a los propietarios de los datos, sobre la existencia de los ficheros.
  • Inscripción de los ficheros en el Registro de la Agencia Española de Protección de Datos.

En el caso de que la empresa tenga datos calificados de nivel medio y/o alto, se está obligado a hacer auditorías bienales como mínimo. Igualmente, habrán de hacerse si ha habido cambios en los sistemas de información que puedan afectar a las medidas ya implantadas. Las auditorias se pueden realizar de forma interna o externa y finalizarán con un Informe que determinará si la empresa se adecua o no a la Ley, y en el caso de no cumplir con ella, indicará cuáles son las deficiencias y recomendará las medidas correctoras necesarias.

Estos informes serán revisados por el Responsable de Seguridad, que elevará las conclusiones al Responsable de Fichero para que elija las medidas correctoras necesarias, quedando este informe a disposición de la AEPD y de las autoridades de control de cada Comunidad Autónoma.

Como curiosidad queremos informaros que recientemente la Agencia Española de Protección de Datos ha establecidola inclusión de un usuario en un chat de Whastsapp de instituciones o asociaciones sin su permiso, como una infracción grave que supondrá multas de entre 40.001 y 300.000€. Esto ha sucedido tras la denuncia de usuarios de esta aplicación, que han sido incluidos en grupos de instituciones o asociaciones sin su consentimiento, en los que recibían mensajes que podían ser molestos e incluso fraudulentos.