LOPD ¿Qué deberías de saber y hacer cómo empresa?

LOPD ¿Qué deberías de saber y hacer cómo empresa?

La Ley orgánica de protección de datos (LOPD) es una disciplina jurídica que tiene por obligación proteger la intimidad y los derechos fundamentales de las personas físicas frente al riesgo de la recopilación y el uso no deseado de sus datos personales.

Aunque la protección de datos abarca varios aspectos de la vida, fue la informática la que al permitir recoger, utilizar y transmitir con facilidad todo tipo de información, ha creado la necesidad de generar una serie de normas destinadas a limitar el uso de datos personales para garantizar la intimidad personal de los usuarios.

La LOPD afecta a todas las personas, empresas y organismos, tanto públicos como privados, que tengan datos de carácter personal, a los cuales obliga a cumplir una serie de condiciones y aplicar medidas de seguridad en función del tipo de datos de carácter personal que posean.

Esta legislación determina una serie de límites en la utilización de datos personales afectando a todas las empresas del país, ya que todas ellas tratan o manejan datos privados de personas físicas.

La protección de datos está recogida jurídicamente por el Tribunal Constitucional como un derecho fundamental autónomo e independiente del derecho a la intimidad personal. Según esto, el derecho fundamental de la protección de datos no solo protege los datos privados de las personas, sino que también cualquier otro tipo de dato personal, sea o no íntimo, pero que utilizado por terceros pueda afectar a sus derechos.

Para cumplir la LOPD, una empresa tiene que tener en cuenta:

  • La inscripción de los ficheros en el Registro General de la Agencia de Protección de Datos (APD).
  • Redacción del Documento de Seguridad.
  • Redacción de cláusulas de protección de datos.
  • Redacción de contratos, cláusulas y formularios necesarios para la recogida de datos.
  • Diversas medidas de seguridad, técnicas y organizativas, para poder asegurar la seguridad de los datos.
  • Auditoría bienal.

Todos los ficheros tienen que estar inscritos en el APD para que sean públicos y estén accesibles para su consulta. Para ello, la empresa tiene que notificar la existencia de esos ficheros a la Agencia Española de Protección de Datos.

Para realizar el cumplimiento de la calidad de datos, una empresa tiene que tratar los datos personales cumpliendo las siguientes reglas:

  • Solo puede recoger datos de carácter personal utilizando medios que no sean desleales.
  • Debe recoger los datos personales que sean adecuados y no excesivos en relación con la finalidad que persigan.
  • Solo va a utilizar los datos recogidos para finalidades compatibles a la finalidad que originó la recogida de los mismos.
  • Debe mantener los datos exactos y actualizados de manera que respondan con sinceridad a la situación actual del titular de los mismos.
  • Debe cancelar los datos recogidos una vez que hayan dejado de ser necesarios para la finalidad por la que se recogieron.
  • Tiene que guardar los datos personales de forma que el titular de los mismos pueda desempeñar su derecho de acceso cuando lo considere necesario.

Para cumplir con ello, la empresa tiene que diseñar un procedimiento de recogida, tratamiento y almacenamiento de datos que le permita cumplir todas las reglas anteriores.

Una empresa también tiene el deber de informar al titular de los datos de manera rápida, precisa y sin errores; como dice el quinto artículo de la LOPD.  Este deber surge desde el mismo momento en el que se recogen los datos, pero se cumple de forma distinta si se obtienen directamente del titular o si provienen de otra fuente de información.

Para cumplir con esto, la empresa tiene que crear las cláusulas informativas y diseñar los métodos que sean necesarios para informar a los usuarios y demostrar que ha cumplido con su obligación.

La empresa solo puede tratar los datos personales de una persona si tiene el consentimiento de la misma. Por eso, la empresa tiene que saber cuándo necesitará el consentimiento de esa persona, y cuando eso ocurra, obtenerlo de forma legal teniendo en cuenta que, para que ese consentimiento sea válido, tiene que ser de voluntad libre e informada.

Si la empresa utiliza datos que revelen la ideología, religión, etcétera; de una persona, debe tener en cuenta de que está tratando con datos muy protegidos y que deben ser tratados con mucho cuidado. Cuando se trata con este tipo de datos, la empresa debe de tener en cuenta:

  • Que no puede obligar a una persona a declarar datos sobre esos temas (ideología, religión…), pero en caso de que se pidan, debe advertir a esa persona que tiene derecho a no declararlos.
  • Solo puede utilizar ese tipo de datos si dispone del consentimiento por escrito de la persona.
  • Los ficheros en los que se encuentren ese tipo de datos, deben estar protegidos con medidas de seguridad altas.

Con respecto a la seguridad de los datos, la empresa tiene que adoptar las medidas de carácter técnico y organizativo necesarias que garanticen esa seguridad y que eviten su alteración, pérdida… Además, esta tiene que proteger tanto los ficheros automatizados (a ordenador) como los ficheros no automatizados (a papel).

La empresa, además, tiene la obligación de guardar secreto profesional sobre los datos recogidos y a mantener la confidencialidad de los mismos dentro de la empresa. Además, la ley dice que el deber de secreto se extiende a cualquier persona o entidad que intervenga en alguna fase del tratamiento aunque se haya terminado la relación con el titular de esa información.

Cuando la empresa tenga que darle los datos a otra empresa u organización, tiene que tener en cuenta que esos datos solo se les puede dar a terceros para fines directamente relacionados con las funciones exigidas.

Si esto ocurre, la empresa tiene que formalizar la prestación de esos datos en un contrato que tiene que ser:

  • Forma del contrato: para que este sea válido, tiene que constar por escrito o en una forma en la que se permita acceder a su contenido.
  • Tratamiento de los datos: el encargado del tratamiento de los datos, solo los tratará siguiendo las instrucciones del responsable.
  • Finalidad del tratamiento: en el contrato estará puesta la finalidad con la que se deben trabajar los datos.
  • Comunicación de datos: el encargado del tratamiento no puede comunicar a nadie los datos.
  • Medidas de seguridad: estarán estipuladas en el contrato y el encargado del tratamiento tiene la obligación de cumplirlas.
  • Finalización del servicio: cuando se haya finalizado la prestación del servicio, los datos deben ser destruidos o devueltos al responsable del tratamiento.
  • Consecuencias del incumplimiento del contrato: si el encargado del tratamiento realiza algo que no debe, como comunicar los datos personales de alguien, tendrá que responder a las infracciones.

Si una empresa tiene la intención de transmitir los datos personales a países que no formen parte del Espacio Económico Europeo, debe realizar esa transmisión cumpliendo todas las garantías previstas en las normas sobre protección de datos. Para ello, la empresa tiene que notificar esa transferencia de datos a la Agencia Española de Protección de Datos, necesitando la autorización de su director.

Otra cosa que debe saber una empresa sobre la LOPD, es que esta tiene tres niveles de seguridad:

  1. Nivel básico de seguridad

Este se aplica a los ficheros que contengan datos identificativos del usuario. Un ejemplo de los datos que serían de nivel básico son: nombre, DNI, teléfono, nacionalidad, correo electrónico, edad, firmas, etc.

  1. Nivel medio de seguridad

Este se aplica a los ficheros que contengan datos sobre operaciones financieras y de crédito. Un ejemplo de los datos que serían de nivel medio son: hábitos de consumo, datos de seguridad social, etc.

  1. Nivel alto de seguridad

Este se aplica a los ficheros que contengan datos especialmente protegidos como los relacionados con la ideología, religión, afiliación política, origen racial, salud, etc.

La LOPD impone unas sanciones que se gradúan dependiendo de la naturaleza de los derechos personales afectados, de los beneficios que se obtienen, del grado de internacionalidad… Estas sanciones se pueden dividir en tres tipos:

  1. Infracciones leves:

Estas ocurren por no enviar a la Agencia Española de Protección de Datos las notificaciones necesarias; por no pedir la inscripción del fichero de datos personal en el Registro General de Protección de Datos; por incumplir el deber de información al usuario sobre cómo se tratan sus datos y por la transmisión de los datos a un encargado del tratamiento sin formalizar contrato ninguno.

Por realizar estas infracciones, una empresa tendría que pagar una sanción de entre 900 € a 40.000 €.

  1. Infracciones graves:

Estas ocurren por crear ficheros de titularidad pública sin autorización; por tratar datos de carácter personal incumpliendo la legislación; por no cumplir el derecho de guardar secreto sobre los datos personales de un usuario; por no informar al usuario del tratamiento de sus datos; por impedir el derecho de acceso, rectificación, cancelación y oposición; por mantener los ficheros sin las medidas de seguridad necesarias; por mantener datos inexactos sin rectificar.

Por realizar estas infracciones, una empresa tendría que pagar una sanción de entre 40.001 a 300.000€.

  1. Infracciones muy graves:

Estas ocurren por recoger datos de forma engañosa; por ceder lo datos de carácter personal fuera de los casos permitidos; por transmitir datos a países internacionales sin la autorización de la APD.

Por realizar estas infracciones, una empresa tendría que pagar una sanción de entre 300.001 a 600.000€.

Para una empresa es importante cumplir la Ley orgánica de protección de datos porque:

  • Es obligatoria.
  • Se gana más credibilidad.
  • Los clientes son lo más importante en una empresa y hay que proteger su seguridad.
  • Se evitan sanciones e inspecciones.
  • Mejora la gestión de una empresa.
  • Se normalizan las relaciones con terceros mediante los contratos obligatorios que hay que redactar.
  • Así no se comenten errores en el trato de datos de carácter personal que conllevan a graves consecuencias.