La LOPD (Ley Orgánica de Protección de Datos) está formada por una serie de normas creadas para regular el empleo de la información personal (domicilio, cuanta bancaria, deudas…) que puedan tener en posesión profesionales o empresas a la hora de llevar a cabo su actividad. En resumen, nos marca lasdirectrices de lo que podemos hacer o no con este tipo de datos, además de los derechos que tienen sus titulares.
Consultoría LOPD: cómo saber si cumplimos con la LOPD en la web
Son muchas las empresas y muchos los negocios que creen cumplir con la Ley Orgánica de Protección de Datos por el simple hecho de registrar los ficheros en la Agencia Española de Protección de Datos (AEPD), pero esto no es suficiente, puesto que podemos incurrir en ilegalidades que conlleven cuantiosas sanciones. Por tanto, resulta necesario revisar la protección de datos de nuestro negocio y comprobar si, realmente, cumplimos con todas las condiciones establecidas en la actualidad. En este sentido, los servicios de una consultoría LOPD son una alternativa muy recomendable.
Nivel de seguridad
Cualquier profesional, organismo, empresa privada o pública que trabaje con datos personales de clientes, empleados o proveedores tiene la obligación de cumplir los requerimientos establecidos por la referida ley. Uno de los primeros pasos sería comprobar si el grado de seguridad que hemos aplicado a los datos que manejamos es correcto.
Y es que tenemos que tener en cuenta que hemos podido registrar los ficheros con un nivel de seguridad inapropiado o que algunos cambios llevados a cabo en nuestra empresa supongan tratar con otro tipo de datos que requieran otro nivel de protección.
La Ley Orgánica de Protección de Datos marca varios niveles de seguridad de acuerdo con la naturaleza de los datos:
– Se aplica el nivel básico en los ficheros que contienen información meramente identificativa, como nombre y apellidos, sexo, teléfono, nacionalidad o número de cuenta.
– Se establece un nivel medio en los ficheros que contengan datos relativos a operaciones financieras, solvencia patrimonial, antecedentes penales e incluso información personal; es decir, ficheros que permiten disponer de una valoración de la personalidad del individuo.
– Los ficheros con nivel alto de seguridad que incluyen datos relacionados a las creencias, ideología, afiliación política, vida sexual, salud o raza.
Inscripción de los ficheros
Para cumplir con los preceptos de la ley, estamos obligados notificar los ficheros con datos de carácter personal a la AEPD. Es posible acceder a los datos sobre los ficheros de las empresas inscritas comprobando la página de la AEPD.
Es obligatorio, por parte de las empresas, tener actualizados los ficheros, sobre todo si llevamos a cabo nuevos tratamientos de datos que suponen las inscripción de ficheros nuevos, su modificación o su eliminación.
Asignación de un responsable de seguridad
El responsable de seguridad es el profesional que se encarga de controlar y coordinar las medidas de seguridad de los documentos asignados. Pueden coexistir varios responsables de seguridad, cuya labor se delimita otorgando el control de una parte de los ficheros a cada uno de ellos. El nombramiento de un responsable de seguridad o varios es obligatorio en el caso de que la empresa tenga establecido un nivel de seguridad medio o alto.
Documento de seguridad
Son cuestiones obligatorias disponer de un documento de seguridad y mantenerlo actualizado siempre que se trate con información, sea cual sea su nivel de seguridad. En caso de inspección, la inexistencia de este documento puede ser motivo de una infracción grave.
No contar con este documento implica que no estamos adoptando ninguna medida que garantice la seguridad de los datos para evitar su modificación, pérdida o robo.
Medidas de seguridad
Es de vital importancia establecer las medidas de seguridad oportunas para proteger los datos. ¿Disponemos de un antivirus que reduzca la posibilidad de sufrir ataques informáticos, el cual se actualice regularmente? ¿Contamos con un servidor de calidad y modificamos las contraseñas periódicamente?
Sirve de poco inscribir los ficheros en la AEPD si después no implantamos las pertinentes medidas de seguridad en la empresa que podemos comprobar en el documento de seguridad.
Respecto al RGPD, establece parámetros de seguridad que deben ajustarse a las características de los tratamientos, la clase de datos y la tecnología vigente de cada momento.
Adaptación del sitio web
Al crear una página web para nuestro negocio, en muchas ocasiones, no tenemos en cuenta cuestiones esenciales como la política de privacidad, la política de cookies o el aviso legal de la web.
Es fundamental tener un apartado en el que se especifique que disponemos de una política de privacidad a la hora de recibir y utilizar la información de los suscriptores, además de contar con un aviso legal que cumpla con las especificaciones recogidas en la LSSICE (Ley de los Servicios de la Información).
Asimismo, si existen formularios en los que se recopilan datos personales, los usuarios registrados deben ser previamente informados de la existencia de un fichero protegido de carácter personal y de que tiene la posibilidad de ejercer los derechos que establece la Agencia Española de Protección de Datos.
Recordemos también que la información que se obtenga mediante la web no debe exceder ciertos fines. Es decir, únicamente debemos solicitar aquellos datos precisos para el propósito correspondiente.
De cualquier forma, si seguimos teniendo dudas acerca de si nuestro negocio está adaptado a la LOPD en la web, lo más recomendable es recurrir a un especialista en la materia que nos proporcione soluciones acordes a las normas vigentes y nuestra empresa.
RGPD, nueva normativa y auditoría LOPD
Para finalizar, repasamos los próximos cambios que contempla el RGPD para el 25 de mayo de 2018. Hasta esta fecha, todas las normas comentadas continúan siendo completamente válidas.
Con este nuevo Reglamento, los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) se amplían y, en algunos casos, cambian de nombre (Acceso, Información, Transparencia, Rectificación, Portabilidad, Oposición, Limitación del tratamiento y Derecho al olvido).
Además, los datos deberán permanecer cifrados incluso si se almacenan en la nube. Será obligatoria una auditoría de forma periódica que demuestre la adaptación a la nueva normativa. En determinadas empresas, será obligatoria la figura de un delegado de protección de datos. Finalmente, el RGPD exige mecanismos de certificación y sellado que garanticen el cumplimiento de este nuevo reglamento, que viene a complementar a la actual LOPD.