En el mundo de la LOPD hay tanto batiburrillo, tanta infoxicación y tanta calamidad en forma de servicio LOPD que pocos saben realmente que significa cumplir con la adecuación a la LOPD.
¿Tu lo sabes?
Habrás oído hablar cientos de veces de los ficheros.
Otras tantas de la inscripción.
De un documento de seguridad que al parecer debes tener.
¿Pero sabes realmente cuales son los principios básicos de la LOPD?
Principios fundamentales de la LOPD
Quiero que antes de decidir si vas a realizar la adecuación de tu negocio, al menos comprendas cuales son los principios fundamentales de esta regulación y que puedas al menos, tomar una decisión partiendo de información clave.
Estos principios son el corazón de la LOPD, la esencia, y si no los conoces es imposible que puedas cumplir con las exigencias de esta regulación.
Una adecuación real y efectiva de la LOPD comprende asumir e implantar principios básicos como:
Información en la recogida de datos, o principio del conocimiento (art. 5)
Se pueden presentar dos casos concretos:
- Que los datos se recaben del propio interesado
- Que los datos se recaben o nos los facilite persona distinta al interesado.
Cada situación requiere informar a todo aquel cuyos datos sean objeto de tratamiento por parte de tu negocio de: tu identidad, finalidad de la información recogida, derechos que le asisten.
Si los datos provienen de terceros, serán estos quienes deban informar de estos supuestos y de su voluntad de ceder los datos recogidos a tu empresa, acto que supone inexorablemente requerirles la conformidad con esta cesión a los titulares.
¿Esto que supone?
- Estudiar y analizar todos los focos de entrada/tratamiento de datos personales de tu empresa.
- Revisión de contratos y formularios para la elaboración de las cláusulas para la recogida y tratamiento de datos personales según proceda, debiendo adecuarse las cláusulas, avisos y textos necesarios.
Aquí más información sobre este principio
Consentimiento (art. 6)
Deberás recoger el consentimiento inequívoco de los afectados para tratar sus datos conforme al deber de información, es decir, primero deberás informar y luego requerir consentimiento. Este consentimiento podrá ser revocado por el titular si existe una causa justificada.
¿Esto que supone?
Crear mecanismos y procedimientos adecuados para la obtención del consentimiento inequívoco, algo fundamental de cara a una denuncia y reclamación ya que serás tú quien tenga que aportar la constancia de ese requerimiento.
Calidad (art. 4)
Los datos que recojas deben ser adecuados, pertinentes y no excesivos para la finalidad de la recogida .Este principio también garantiza el derecho de autodeterminación informativa o de libre disponibilidad de los datos de carácter personal. Este principio otorga a las personas “el poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado’
¿Esto que supone?
Supone fundamentalmente analizar los datos recabados por tu negocio para verificar que los medios usados (captación, tratamiento y difusión) sean adecuados y que sean veraces, obtenidos legítimamente y proporcionales a su finalidad (pertinentes y no excesivos)
Aquí puedes ampliar este principio
Datos especialmente protegidos (art. 7)
Se refiere a datos sensibles. Como la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.
¿Esto que supone?
Que si recoges información especialmente protegida, debes desarrollar procedimientos de seguridad adecuados, es decir, de nivel alto y que no puedes recoger esta clase de información a menos que esté absolutamente justificada para la prestación de un servicio.
Datos relativos a la salud (art. 8)
Esto lo desarrollaré en otro momento.
Seguridad (art. 9)
El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.
¿Esto que supone?
Haber analizado los diferentes flujos de información de tu negocio y tener desarrolladas medidas se seguridad óptimas para que puedas demostrar diligencia ante la agencia. Si no has desarrollado estas medidas de seguridad y la información de tu negocio está comprometida por una falta de mecanismos de respaldo o una brecha de seguridad, tendrás un problema bastante gordo.
Deber de secreto (art. 10)
El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.
¿Esto que supone?
Fundamentalmente garantizar la confidencialidad de todos los datos personales que se gestionen en tu empresa, para eso, aparte de las medidas de seguridad deberás formar e informar a tus trabajadores y colaboradores con acceso a datos sobre las Funciones y obligaciones del personal.
Deberás dejar constancia de haber informado adecuadamente a tus trabajadores respecto a los deberes de: revelación de secretos, compromiso de confidencialidad, uso del teléfono, correo electrónico e Internet, acceso por la dirección al correo del trabajador, etc. siempre respetando las cautelas del Art.18 del Estatuto de los Trabajadores, haciendo hincapié en la necesidad de garantizar el mismo cumplimiento en cuanto al tratamiento de datos personales e información confidencial de sus Clientes.
Comunicación de datos (art. 11)
Estamos hablando de empresas o colaboradores a quienes tengas que comunicar datos de clientes o empleados para el desarrollo de alguna función “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”
¿Esto que supone?
Que deberás analizar todos contratos con colaboradores o prestadores que signifiquen una cesión de datos personales y añadir las cláusulas correspondientes o anexar un contrato de sesión al previo. También deberás asegurarte de haber informado previamente a las personas cuyos datos serán cedidos y requerido su consentimiento para la cesión.
Acceso a datos por cuenta de terceros (art. 12)
Se trata de regular las relaciones con terceros con acceso a información personal de la que tu eres responsable.
¿Esto que supone?
Deberás revisar y adecuar los Contratos con terceras empresas que accedan a los datos y sean consideradas como “encargados de tratamiento”, o de aquellos proveedores de servicios, como servicios de limpieza, arrendamiento de locales, etc. que por el tipo de servicio prestado accederán a sus instalaciones y por tanto es posible que pudieran acceder, de manera accidental, a información que contenga Datos personales.
Ya conoces los básicos de la LOPD, lo mínimo que deberías saber.
¿Como lo ves?