Quizás estés convencido que tienes resuelto la adecuación a la LOPD. Es muy sencillo de comprobar. Me ocurre constantemente y escribo este post después de visitar a una empresa con mas de 60 empleados y otros tantos colaboradores que también creía que cumplía con la LOPD. Me llamaron para una revisión y actualización.
En estos casos, nada mas efectivo que utilizar la mayéutica para que sea el propio cliente quien descubra la verdad.
Bastaron unas pocas preguntas para que ellos mismos descubrieran que en realidad solo cumplían con el deber de notificar ficheros a la Agencia Española de Protección de datos y de contar con un documento de seguridad que nunca se habían leído y menos implementado.
Conclusión: NO CUMPLÍAN CON LA LOPD
Al poco de empezar a preguntar, ellos mismos constataron que estaban completamente expuestos y eran los candidatos perfectos para recibir una sanción.
Entonces les explique que la diferencia principal entre cumplir o no cumplir es clara: si cumples, te has tenido que implicar en una serie de modificaciones internas y externas que han transformado tu manera de gestionar la información de carácter personal.
Si te has quedado igual que antes, entonces es que seguramente, no cumples. Este era el caso de la empresa. Nada había cambiado tras pagar por un supuesto trabajo de adecuación a la LOPD.
La LOPD requiere mucha implicación personal, porque es un trabajo fundamentalmente práctico y útil para tu negocio, si no lo ha sido, es que algo ha fallado.
Descubre si cumples con la LOPD
Dando por sentado que ya has declarado los ficheros en la Agencia Española de Protección de Datos y que tienes un documento de seguridad, respondiendo al siguiente check list, podrás descubrir en pocos minutos si tu negocio es seguro y tu adecuación es profesional o has pagado por una LOPD de mercadillo.
Las primeras 10 preguntas deben ser respondidas con un si rotundo, si no lo son, ni te molestes en leer las siguientes, debes resolverlo cuanto antes.
Pregunta 1
Si tienes trabajadores: ¿Tienes el consentimiento expreso y porescrito de tus trabajadores para tratar sus datos personales? y además…
¿les has informado adecuadamente sobre sus obligaciones respecto a la información personal a la que tienen acceso y los soportes y herramientas de la empresa?¿Han firmado un contrato de confidencialidad?
Pregunta 2
¿Recoges datos de salud, afiliación sindical o a partidos políticos, orientación sexual o creencias religiosas a sus empleados? En caso afirmativo: ¿pides consentimiento por escrito?
Pregunta 3
¿Colaboras con terceros con los que compartes información? Si compartes tus ficheros de datos personales con gestorías, asesorías jurídicas, empresas de marketing, mantenimiento informático, empresas de hosting para la realización de trabajos que impliquen tratamiento de datos deberías tener firmados con dichas organizaciones contratos para el encargado de tratamiento que cumplan lo exigido por el Art. 12 LOPD y que garanticen que colaboras sin riesgos.
Pregunta 4
¿Dispones de autorización o consentimiento previo para enviar publicidad o información de tus servicios a tus clientes y personas de contacto tanto por email como por redes sociales? Es la única manera de realizar un mail marketing seguro, respetuoso y libre de sanciones.
Pregunta 5
Cuando requieres información personal a clientes, contactos, prospectos, etc en forma on-line o presencial ¿Te aseguras de informarles sobre la identidad del responsable, la finalidad según lo dispuesto artículo 5 sobre el tratamiento de su información y de cómo ejercitar sus derechos ARCO??
Cuando luego les envías a estos cualquier tipo de información por correo postal o electrónico ¿informas acerca de como has obtenido sus datos, les informas acerca de los tuyos y les informas como pueden revocar su consentimiento previo?
Pregunta 6
¿Tienes implantada alguna medida de seguridad para proteger tus archivos con información de personas?
Pregunta 7
¿Has implantado en tu web o blog alguno o todos los elementos legales exigidos por la LSSI-CE?
Pregunta 8
En caso de ceder datos de clientes o contactos a un tercero ¿lo estás advirtiendo a los afectados y recogiendo su consentimiento?
Pregunta 9
¿Conoces cómo debes operar en caso de que algún cliente, usuario o contacto le pida ejercitar alguno de sus derechos ARCO?
Pregunta 10
¿Cómo obtienes la información de carácter personal correspondiente a clientes, proveedores, contactos, etc.? ¿Compras bases de datos? si es así, lee este post de Jesús Pérez Serna.
Pregunta 11
¿Cuentas con armarios o archivadores con cerradura para la custodia de documentación de los ficheros de carácter personal?
Pregunta 12
Si trabajas con datos personales en formato papel:
¿Utilizas una destructora de papel antes de desechar documentación?
Pregunta 13
¿Realizas promociones y concursos en redes sociales?¿Te aseguras de cumplir con los requisitos legales?
Pregunta 14
En caso de recoger imágenes de personas para promoción
¿Informas adecuadamente a los interesados sobre su finalidad y recabas el consentimiento para utilizarlas?
Pregunta 15
Si en tu empresa hay varios empleados:¿Utilizas un sistema de identificación de los usuarios con acceso a los datos de carácter personal?
Pregunta 16
¿Haces copias seguridad sistematizadas de tus bases de datos con una frecuencia predeterminada y en un soporte ubicado en lugar diferente a la fuente?
Pregunta 17
¿Cambias las contraseñas al menos una vez al año?
Pregunta 18
Si realizas acciones de selección de personal o recibes CV en tu buzón:¿Informas a los solicitantes de empleo de lo que vas a hacer con los CVs que recibes y como pueden ejercitar sus derechos frente a sus datos?
¿Cumples con la LOPD?
A veces solo con las primeras 3 preguntas ya descubro que no existe un trabajo de verdadera adecuación a la LOPD.
Hay muchos mas aspectos sobre los que indagar, pero en esencia, estos son los esenciales a la hora de comprobar el nivel de adecuación que tiene tu empresa.
Igual que le expliqué a la empresa visitada, lo fundamental de un trabajo de LOPD es la concienciación de porqué, como y para qué vas a hacer la LOPD. Sin esa concienciación clara y preliminar, es muy difícil poder desarrollar un verdadero trabajo de implantación.
Y una buena adecuación debe ir apoyada de una buena formación de todos los implicados en el tratamiento de datos de la empresa, porque si no hay una cultura del dato dentro de la organización, de poco servirá la LOPD.
Adecuación y formación deben ser indisociables.
¿Ya has descubierto si realmente cumples con la LOPD?
Imagen: Luz Adriana Villa
3 comentarios
Excelente amiga Marina!
Muchas gracias Jose, me laegra saber que lo has disfrutado.
Excelente aporte Marina