Adecuar tu negocio a la LOPD es algo que tarde o temprano tendrás que hacer.
Es mas que posible que sigas pensando que no es una prioridad, por eso, he preparado un tutorial con lo esencial sobre protección de datos, que me he currado como una campeona, así al menos, cuando te decidas, lo harás partiendo de información clara y honesta y no de supercherías crece pelos.
¿Porque tanta charla previa?
Porque el mundo de la protección de datos se ha convertido en un zoo.
De todas las especies hay y no todas te van a ayudar.
Lo que pretendo es que dispongas de toda la información necesaria para tomar una decisión inteligente, desembarazada de prejuicios y esencialmente, para que no caigas en las manos de los roedores de la LOPD, las dichosas FastLOPD que abusan del desconocimiento generalizado sobre la LOPD y que hacen su agosto vendiendo algo que no te ayudará a dar cumplimiento y que además te pueden ocasionar enormes complicaciones presentes y futuras.
Y lo que es peor, te harán malgastar tu dinero. Con total seguridad.
También esta guía puede ayudarte a realizar tu propia adecuación, aunque antes de aventurarte a hacerlo tu mismo, te recomiendo que leas este post:
Cuando hay que adecuar tu negocio a la LOPD
Un concepto básico: La LOPD se aplica a todos los datos personales (es decir, cualquiera que permita identificar a una persona)
Digamos que hay muy pocos negocios que no recojan, almacenen o gestionen algún tipo de dato personal (de empleados, de clientes, suscriptores, proveedores, etc)
Esa información debe clasificarse y organizarse de alguna manera, esto que en lenguaje LOPD se llama «fichero» y que supone tratamiento de la información personal.
Así que desde el momento en que gestionas información personal, tienes ficheros de datos y si tienes ficheros de datos, tu negocio está sometido a todas las exigencias de la normativa de protección de dato y para que engañarnos, también a toda su maquinaria sancionadora.
Es el momento de adecuar tu negocio a la LOPD.
Adecuar tu negocio a la LOPD ¿Como?
Vayamos por pasos.
Tu negocio ¿Tiene los nombres y direcciones de sus clientes para enviarles sus productos o prestarles un servicio?
Pues eso es un fichero con información personal sometido a la LOPD.
Tu negocio ¿Tiene una base de datos de suscriptores para acciones de captación?
Allí tienes otro fichero que declarar correspondiente a «Clientes potenciales o suscriptores»
Tu negocio ¿Tiene archivados los contratos de trabajo de sus empleados?
Pues eso también es un fichero con información personal sometido a la LOPD.
Cada negocio y dependiendo de su actividad, tendrá diferentes ficheros que habrá que identificar, por ejemplo: videocámaras en los centros de trabajo, fotografías, huellas dactilares, direcciones de e-mail, campañas de marketing con nuevos servicios, currículos de candidatos en un proceso de selección, etc, etc, etc.
Adecuar tu negocio a la LOPD: tus obligaciones
Ufff, que mal suena de esto de «obligaciones» prefiero la palabra «compromisos», pero da igual como yo lo nombre o como me guste llamarlo, lo cierto es que hay una serie «cuestiones» que tendrás que asumir necesariamente si quieres adecuar tu negocio a la LOPD y ser un profesional de altura.
1º Compromiso: La inscripción
Es el primer paso: todo negocio que maneje ficheros con datos personales debe inscribirlos en la AEPD.
Esto si que es un trámite, realmente importante porque cualquiera puede comprobar si haz cumplido con este requisito de manera muy sencilla.
Basta saber el nombre de tu empresa o el tuyo si eres autónomo y ¡tacham! te han pillado…
¿Que no me crees? Compruébalo tu mismo aquí mismo
No puedes exponerte a ser descubierto de manera tan burda y quedar entredicho, como si fueras un profesional de mercadillo o peor, un profesional que trabaja al margen de la legalidad.
Además, al ser un requisito obligatorio, el no hacerlo es en sí mismo una infracción que la AEPD describe así:
Régimen sancionador:
La falta de colaboración está considerada como infracción según el artículo 44 de la LOPD, conforme a los siguientes tipos:
Como infracción leve
- No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo.
- No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos.
La Agencia Española de Protección de Datos no se andan con chiquillas y esto hay que advertirlo. Consulta el régimen sancionador si quieres comprobarlo.
Pero, además, un error estratégico muy grave.
Si tu empresa tiene algún problema con la AEPD (y es investigada por alguna razón) lo primero que verificará la Agencia e si tiene sus ficheros inscritos. Si no es así, lo tienes crudo.
Si no has cumplido el primero y mas elemental de los requisitos ¿Que será del resto?
Es como pillarte conduciendo sin carnet, hay poco que puedas hacer en tu defensa.
Por el contrario, si los ficheros están convenientemente inscritos, es otro cantar, tendrás mucho ganado, aunque todavía quedan mas cosas, pero es la primera prueba a tu favor que podas acreditar, al menos, has hecho algo para adecuar tu negocio a la LOPD.
El resto de compromisos que necesitas asumir para adecuar tu negocio a la LOPD te los resumo aqui:
2º Compromiso: Estudiar y analizar todos los focos de entrada de información de carácter personal
La LOPD exige que todo negocio cumpla los principios de calidad, información y consentimiento, para eso debes analizar como recoges, almacenas y gestionas la información de carácter personal en tu negocio.
También deberás analizar y adecuar las cláusulas, avisos y textos necesarios para el cumplimiento de esos principios de información y consentimiento, por ejemplo:
- Cláusulas para contratos: contratos con proveedores, trabajadores, colaboradores y cualquier acción en que pueda existir datos personales.
- Cláusulas para formularios de suscripción, fidelización, encuestas, captación, cláusulas para gestión de entrada de datos en puntos de venta etc.
3º compromiso: Establecer el procedimiento para dar satisfacción a los derechos de Acceso, Rectificación, Cancelación, y Oposición a los afectados
Son derechos que cualquier persona relacionada con tu negocio te puede pedir ejercer y pillarte en renuncio, una faena.
Aquí te dejo un enlace para que sepas que significa cada uno de los derechos ARCO.
También tiernes que tener desarrolladas Políticas destinadas a atender estos derechos, y los procedimientos de respuesta, tanto vía Web como offline.
Ten en cuenta que desde el momento en que alguien te exige ejercitar alguno de estos derechos, cuentas con unos pocos días para responder y que la LOPD te exige no sólo actuar dentro del plazo, sino contestar por escrito al titular de ese dato.
Estamos hablando de que esa persona quiera saber que información se posee de ella, se oponga a recibir publicidad, revoque el consentimiento que antes le había dado, pida que se le borre del fichero (lo que no siempre puede legalmente hacer pues otras leyes obligan a conservar la información).
4º compromiso: Firmar los contratos correspondientes de acceso a datos por parte de terceros o encargo de tratamiento en los casos pertinentes, en virtud del artículo 12 LOPD
Todo negocio necesita dar acceso a otras empresas o profesionales a información propia. Por ejemplo, si tienes un gestor, debes enviarle copia de facturas de compra y venta para contabilidad, eso supone un acceso de información de tus clientes y proveedores por parte de un tercero.
Lo mismo si tienes un desarrollador web que acceda a datos de usuarios o suscriptores o cualquier colaborador que necesite tener acceso a algún fichero de datos personales para que puedas realizar tu trabajo.
Adecuar tu negocio a LOPD significa firmar contratos que regulen estos accesos, las condiciones y medidas de seguridad que deberán adecuar estos terceros para garantizar con los principios de calidad y confidencialidad.
Aquí te explico mejor como colaborar sin riesgos y todo lo que necesitas para garantizar el cumplimiento de la LOPD cuando compartes relación con terceros.
Nota: «No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento»
5º compromiso: Regular las adquisiciones de bases de datos y acciones de envío de comunicaciones por medios telemáticos.
Esto es una parte esencial para adecuar tu negocio a la LOPD, el como adquieres los datos es determinante para el cumplimiento.
No son pocas las sanciones que se imponen por utilizar bases de datos compradas para prospección, algo de lo que hablo holgadamente en este post.
Este es un claro ejemplo de porqué debes adecuar tu negocio a la LOPD.
Por eso es imprescindible analizar la calidad de los datos que gestionas, como han sido adquiridos y determinar la legalidad o ilegalidad de esos registros para ser tratados, y en esto entran en juego esas bases de datos que se marchan con los empleados, algo tan frecuente como peligroso.
Por otra parte, los intercambios da bases de datos deben cumplir con el artículo 11 LOPD, conocido como cesión o comunicación de Datos de carácter personal. Esto incluye los intercambios entre Organizaciones del mismo Grupo. Esto es diferente a lo anterior porque se trata de una comunicación de datos y requiere de un contrato y clausurado específico de cesión, en donde para que sea legal, requiere del conocimiento y consentimiento de los titulares de esos datos que serán cedidos.
En este caso por tanto, necesitas contrato con quien vayas a comunicar datos y recabar el consentimiento de los titulares para ceder sus datos, algo que no es necesario en caso anterior.
Es imprescindible que suscribas un contrato con cada una de las empresas o colaboradores con quien compartas información que regule las relaciones entre el responsable del fichero -tu empresa- y el encargado del tratamiento del fichero -la otra empresa contratada- y las condiciones del acceso a esos datos, así como las responsabilidades de cada parte. ¡Atención!: Si su empresa no firma ese contrato, estaría llevando a cabo una cesión no consentida de datos (¡¡una infracción muy grave!!) y, además, si no existiera el contrato y se produce alguna infracción por parte de la otra empresa, su empresa será también responsable de la infracción.
6º compromiso: Redactar un DOCUMENTO DE SEGURIDAD según el RD 1720/2007
La Organización “elaborará e implantará la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información”.
Es otro punto esencial para adecuar tu negocio a la LOPD·
El Documento de Seguridad contendrá las Políticas que se aplican en la Organización, en función del nivel de protección de los datos que traten, (entre otros) con respecto a:
- Identificación y autenticación
- Control de acceso
- Gestión de soportes y backups
- Registro de incidencias
- Prueba de datos reales, cifrado de telecomunicaciones en su caso
Deberías disponer además, de un Manual de funciones y obligaciones de los Usuarios, porque son los que deben aplicar las medidas de seguridad y el mayor riesgo para tu negocio.
Esto es de vital importancia y pocas empresas se toman su seguridad interna con la seriedad que requiere y luego, ocurren estas cosas.
También tendrás que definir las medidas de seguridad que se deban implantar en función del nivel de los datos tratados, según el RD 1720/2007.
Los datos de carácter personal que se traten en tu negocio necesitarán de distintas medidas de seguridad, en función de la calificación que hace la LOPD, no es lo mismo tratar datos especialmente sensibles, como son los de salud, o solo nombres y apellido.
En función del nivel de seguridad que requieran los datos de tu negocio, vas a tener que definir aspectos como:
Medidas relativas a la información de funciones y obligaciones del personal, creación de procedimientos de notificación y registro de incidencias, medidas de control de acceso de los usuarios, el nombramiento de un Responsable de Seguridad, entre otras que establece el Título VIII del RD 1720/2007.
Recuerda que el documento de seguridad es un instrumento para que tu negocio pueda garantizar uno de los pilares básicos de la LOPD:
El deber de secreto.
Esto supone más que una simple declaración de intenciones (como muchos ingenuamente creen) por lo que debes implantar sistemas eficaces, que impliquen a todos los empleados, colaboradores, o terceros que utilizan los datos, no puedan filtrar información por ningún lado ni intencionadamente ni por error o equivocación.
¿Como pueden descubrir si tu negocio incumple la LOPD?
La AEPD puede iniciar en cualquier momento un procedimiento contra tu negocio ante cualquier indicio de que puedas estar cometiendo una infracción.
¿Como pueden saber si tu negocio esta expuesto a una sanción?
El susto puede venir desde los lugares mas insospechados.
Muchas inspecciones a empresas proceden de denuncias realizadas por trabajadores y, sobre todo, por ex trabajadores, algo que nunca deberías subestimar (que hay gente con muy mala leche).
Un motivo de peso para adecuar tu negocio a la LOPD.
Las mas frecuentes se originan de clientes molestos por un mal servicio o a quienes se ha perjudicado abusando de su confianza.
Muchas veces, profesionales como tu, reciben denuncias por desconocer las normas y los derechos que protege la LOPD, y de pronto se encuentran con un cliente que sí conoce sus derechos y denuncia cuando percibe que han sido vulnerados.
Nada en el mundo es más peligroso que la ignorancia sincera y la estupidez concienzuda.Martin Luther King
Es absurdo exponer tu negocio a una denuncia por cometer la insensatez de no querer saber y por pura indolencia.
¡Con lo sencillo que resulta evitar este marrón!
Mitos y leyendas de los que deberías huir antes de adecuar tu negocio a la LOPD
Se dicen demasiadas estupideces y hay demasiado listillo telepredicando sobre la LOPD.
Desde los que piensan que la LOPD es un sacacuertos hasta los que sienten que la LOPD les ata las manos y les impide tomar iniciativas empresariales o de marketing.
Lo que está claro es que la LOPD impone limitaciones, no puedes hacer con la información de los de los demás lo que te salga de la peineta, pero al mismo tiempo, propone consignas que son del todo interesantes:
«No molestes, no interrumpas, no mandes publicidad a personas que no te lo han solicitado o autorizado, informa, se tránsparente, cuida y protege la información que te han confiado»
La clave está en el consentimiento, es decir, que cada persona de quien recojas datos personales te dé su autorización para que se utilices sus datos para la finalidad concreta para la que se los has pedido.
¿Te parece tan terrible?
¿No es acaso puro sentido común?
La LOPD no es el coco, por mucho que así te lo hayan vendido, en absoluto, de hecho, estoy absolutamente convencida de que es el mejor aliado de tu negocio y si quieres, te enseño como sacarle el mayor partido a la LOPD.
Conclusión ¿merece la pena adecuar tu negocio a la LOPD?
El objetivo de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) es dar control y soberanía a todas las personas sobre sus datos personales. Eso se traduce en derechos para las personas y los correspondientes compromisos para las empresas.
No debes tenerle miedo a la LOPD.
Solo debes asumir que si tienes un negocio, necesitas respetar a quienes te dan de comer, proteger su información y hacer que tu compromiso, sea la mejor carta de presentación que puedes aportar y la mejor ventaja competitiva que puedas explotar.
Cuando te animes a asumir esos compromisos y adecuar tu negocio a la LOPD, no te olvides de mi.
Imagen: Andrés Nieto Porras
5 comentarios