¿Conoces tus Obligaciones ante la LOPD?

Creado por 

Label Key

 el

22 de noviembre de 2016

Es de vital importancia conocer y cumplir con las obligaciones que impone la LOPD (Ley Orgánica de Protección de Datos), así como tomar medidas de seguridad, ya que el incumplimiento de la ley puede derivar en elevadas multas económicas.

Las pequeñas y medianas empresas deben comunicar la existencia de un archivo con información sobre sus clientes del servicio, las medidas de protección y los canales que tienen los perjudicados para ejercer sus derechos.

Toda empresa tiene uno o varios ficheros con información de sus clientes. La existencia de estos archivos implica unas obligaciones que, muy frecuentemente, son ignoradas por las compañías y pueden conllevar sanciones.

 

 

LOPD Archivo y protección de datos

 

 

Las 4 obligaciones que toda empresa tiene ante la LOPD

Inscripción de archivos. Ya antes de comenzar a reunir la información, debemos avisar sobre la existencia del archivo a la Agencia Española de Protección de Datos (AGPD). Hay que precisar los datos que se almacenarán, el empleo que se hará de ellos y las medidas de seguridad con las que protegeremos esos datos.

Posteriormente, esta información va a ser accesible por los afectados desde la web de la AGPD. Debemos repetir este procedimiento por cada archivo que se abre: de clientes, distribuidores,  empleados, listas de email para newsletter, etc. De hecho con este trámite no garantiza que la PYME no vaya a percibir sanciones.

Solicitud de información. Los datos solicitados por la PYME deben ajustarse a lo preciso para efectuar su actividad. Por ejemplo, puede consultar a los usuarios sobre su capacidad económica para promocionar un determinado servicio, pero no es preciso conocer sus gustos sexuales o políticos. Al pedir la información hay que comunicar a los clientes del servicio las consecuencias de no darla, el empleo que se hará de ella, si se va a ceder a terceros y los canales (Correo postal, teléfono, etc.) mediante los que van a poder ejercer sus derechos. Para esto, hay que conseguir su permiso por escrito.

Derechos de los afectados. Todas y cada una de las personas están en su derecho a conocer los datos sobre ellos que nuestra empresa tiene guardados. Para esto, pueden solicitarlos a la empresa y esta tiene la obligación de contestar, dando la información en el formato solicitado (físico o bien electrónico) en un plazo máximo de 30 días.

Los clientes, distribuidores o empleados asimismo están en su derecho a pedir que sus datos desaparezcan del archivo. El negocio solamente va a estar forzado a atender este requerimiento cuando no los necesite para cumplir con sus obligaciones (Facturación, Contabilidad, impuestos, etc.). Por ejemplo, las compañías deben preservar la información sobre sus clientes del servicio para presentar sus declaraciones del Impuestos o bien sus cuentas anuales. El derecho de oposición deja que los perjudicados se puedan oponer a que los datos estén a cargo de un tercero, salvo en los casos en los que haya una obligación legal. Por último pueden pedir las rectificaciones y modificaciones precisas para solventar cualquier fallo o bien actualizar la información. En todos estos casos, la compañía debe contestar en un máximo de diez días.

Empleo y cesión a terceros. Las PYMES van a poder efectuar cualquier clase de uso con los datos del fichero, por ejemplo cruzar los datos para conseguir información relevante sobre la clientela con el fin de realizar campañas de marketing, siempre y cuando se ajuste a su actividad y lo hayan notificado a la AGPD.

En el caso del envío de información de carácter comercial, deben haber logrado el expreso consentimiento del cliente del servicio, mediante una cláusula concreta que este va a poder corregir en cualquier instante.

Una cuestión delicada acostumbra a ser la cesión de esta información a otras organizaciones. Para efectuar esta operación, generalmente es preciso que lo haya autorizado la persona afectada. Si bien asimismo se le puede solicitar el permiso a posteriori, lo mejor es prevenir e informar de este posible empleo en exactamente el mismo instante de pedir la información. Los únicos casos en los que no es preciso conseguir la aprobación explícita es cuando los datos hayan sido recogidos de fuentes alcanzables al público o bien se cedan cumpliendo con una obligación legal, por poner un ejemplo con Hacienda premarin dosage.

 

 

LOPD Seguridad de los datos

 

 

Medidas de Seguridad

Cualquier empresa que almacene archivos debe contar con un documento de seguridad que recoja las medidas adoptadas. La ley establece 3 niveles diferentes de protección dependiendo del género de datos recogidos.

  • Nivel básico. Incluye los datos más frecuentes, como el documento nacional de identidad, domicilio o bien la información bancaria.
  • Nivel Intermedio. Incluye los que revelan faltas administrativas o bien delitos, la solvencia financiera o bien los gustos y aficiones de la persona.
  • Nivel Alto. Incluye los datos que definen la identidad del individuo, como la ideología política, las creencias de tipo religioso, la salud o bien la vida sexual.

La normativa aconseja que no se recojan los datos de estas 2 últimas categorías a menos que sea preciso para la actividad de la organización, como en el caso por ejemplo de una clínica de fertilidad, un sitio web de citas online,  etc.

Por lo que si nos centramos en el nivel básico, las medidas a aplicar conforme a los pertinentes artículos del Reglamento LOPD serían:

 

ARTÍCULO 89. Funciones y obligaciones del personal.

Las funciones y obligaciones de cada uno de los usuarios o bien perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información han de estar claramente definidas y documentadas en el documento de seguridad. Asimismo se definirán las funciones de control o bien autorizaciones encargadas por el responsable del archivo o bien tratamiento.

El responsable del archivo o bien tratamiento adoptará las medidas precisas a fin de que el personal conozca de una manera legible las reglas de seguridad que afecten al desarrollo de sus funciones como las consecuencias en que pudiese incurrir en el caso de incumplimiento.

 

ARTÍCULO 90. Registro de incidencias.

Debe existir un procedimiento de notificación y administración de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el género de incidencia, el instante en que se ha producido, o bien en su caso, detectado, la persona que efectúa la notificación, a quién se le comunica, los efectos que se hubiesen derivado de exactamente la misma y las medidas correctoras aplicadas.

 

ARTÍCULO 91. Control de acceso.

Los usuarios van a tener acceso solamente a aquellos recursos que precisen de cara al desarrollo de sus funciones. El responsable del archivo se ocupará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos de ellos. También será el encargado de establecer los mecanismos para eludir que un usuario pueda acceder a recursos con derechos diferentes de los autorizados.

Únicamente el personal autorizado para esto en el documento de seguridad va a poder otorgar, trastocar o bien cancelar el acceso autorizado sobre los recursos, de conformidad con los criterios establecidos por el responsable del archivo. En caso de que exista personal ajeno al responsable del archivo que tenga acceso a los recursos habrá de estar sometido exactamente a las mismas condiciones y obligaciones de seguridad que el personal propio.

 

ARTÍCULO 92. Administración de documentos y soportes.

Los documentos y soportes que contengan datos de carácter personal deber permitir identificar el género de información que poseen, ser catalogados y solo habrán de ser alcanzables por el personal autorizado para esto en el documento de seguridad. Se excluyen estas obligaciones cuando las peculiaridades físicas del soporte imposibiliten su cumplimiento, quedando constancia y explicación motivada de ello en el documento de seguridad.

La salida de soportes y documentos que contengan datos de carácter personal, incluyendo los comprendidos y/o anexos a un email, fuera del centro de trabajo y bajo el control del responsable del archivo o bien tratamiento habrá de ser autorizada por el responsable del archivo o bien encontrarse correctamente autorizada en el documento de seguridad. En el traslado de la documentación se adoptarán las medidas dirigidas a eludir la sustracción, pérdida o bien acceso incorrecto a la información a lo largo de su transporte.

Siempre y cuando vaya a desecharse cualquier documento o bien soporte que contenga datos de carácter personal va a deber procederse a su destrucción o bien borrado, a través de la adopción de medidas dirigidas a eludir el acceso a la información contenida en exactamente el mismo o bien su restauración siguiente.

La identificación de los soportes que contengan datos de carácter personal que la organización considerase en especial sensibles se va a poder efectuar usando sistemas de etiquetado legibles y con significado que dejen a los usuarios con acceso autorizado a los convocados soportes y documentos identificar su contenido, y que compliquen la identificación para el resto de personas.

 

ARTÍCULO 93. Identificación y autentificación.

El responsable del archivo o bien tratamiento va a deber adoptar las medidas que garanticen la adecuada identificación y autentificación de los usuarios. El responsable del archivo o bien tratamiento establecerá un mecanismo que deje la identificación de forma indudable y adaptada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.

Cuando el mecanismo de autentificación se base en la existencia de claves de acceso deberá existir un procedimiento de asignación, distribución y almacenaje que garantice su confidencialidad y también integridad. El documento de seguridad establecerá la periodicidad, que en ningún caso va a ser superior a un año, con la que deben ser cambiadas las claves de acceso que, mientras que estén actuales, se guardarán de forma incomprensible.

 

ARTÍCULO 94. Copias de seguridad y restauración.

Van a deber establecerse procedimientos de actuación para la realización por lo menos semanal de copias de seguridad, a menos que en tal periodo no se hubiese producido ninguna actualización de los datos. También, se establecerán procedimientos para la restauración de los datos que garanticen en todo instante su reconstrucción en el estado en que se hallaban al mismo tiempo de generarse la pérdida o bien destrucción.

Solamente, en caso de que la pérdida o bien destrucción afectara a archivos o bien tratamientos parcialmente automatizados, y siempre y cuando la existencia de documentación deje lograr el propósito al que se refiere el parágrafo precedente, se va a deber proceder a grabar manualmente los datos quedando perseverancia motivada de este hecho en el documento de seguridad.

El responsable del archivo se ocupará de contrastar cada 6 meses la adecuada definición, funcionamiento y aplicación de los procedimientos de realización de copias de seguridad y de restauración de los datos.

Las pruebas precedentes a la implantación o bien modificación de los sistemas de información que traten archivos con datos de carácter personal no se efectuarán con datos reales, a menos que se asegure el nivel de seguridad pertinente al tratamiento efectuado y se anote su realización en el documento de seguridad. Si está previsto efectuar pruebas con datos reales, anteriormente va a deber haberse efectuado una copia de respaldo.

 

 

LOPD Multas sancionadoras

 

 

SANCIONES

Cuando advierte que no se están cumpliendo estas obligaciones, por lo general en base a  reclamaciones de los perjudicados, la AGPD manda apercibimientos o bien establece multas que hoy día fluctúan entre 600€ y 600.000€. La cuantía final depende de si se ha recibido un aviso o bien sanciones precedentes, la relevancia del fallo y el perjuicio ocasionado a los perjudicados.

 

Ver Adaptación a la LOPD

Contacta con nosotros si deseas ampliar información: