Quizás esto de la protección de datos a ti te suene a una cosa abstracta que no terminas de comprender y no entiendes muy bien porqué tienes que acatar, es por eso que quiero presentarte una manera muy sencilla de sumergirte en el universo LOPD a través de los principios de la protección de datos que definen el ADN de esta regulación.
Si comprendes e interiorizas estos principios de la protección de datos, no te será difícil cumplir con la normativa, solo debes tenerlos en cuenta y aplicarlos en cada una de tus acciones que impliquen datos personales de terceros.
Es evidente que desde el momento que desarrollas cualquier actividad profesional que implique recolectar y gestionar datos personales de otros, no puedes eludir el derecho a la protección de datos que tienen todas esas personas.
¿Que significa el derecho a la protección de datos?
Se trata del reconocimiento legal del derecho de las personas sobre su propia información personal.
Esto significa varias cosas:
- Toda persona tiene la facultad de consentir o no la recogida, la obtención y el acceso a sus datos personales.
- Toda persona tiene el derecho a decidir sobre el almacenamiento y el tipo tratamiento que se hará de su información personal.
- Toda persona tiene derecho a conocer de manera previa el uso o los usos posibles por parte de terceros que se le dará a su propia información.
- Toda persona tiene derecho a saber en todo momento quién o quienes disponen de esos datos personales y a qué uso los está sometiendo,también tiene el derecho a oponerse a ese tratamiento o exigir la cancelación de su información.
Principios de la protección de datos que nunca debes olvidar
- Los datos personales se tratarán de forma leal y lícita, por tanto, siempre que recojas datos personales de terceros debes hacerlo con fines determinados explícitos, específicos y legítimos . No puedes ni debes usarlos para otros fines que no hayan sido comunicados previamente a los afectados. Esta prohibida por tanto la recogida de datos por medios fraudulentos, desleales o ilícitos. Descubre como captar registros o datos legalmente.
- Los datos personales deberán ser adecuados, pertinentes y no excesivos en relación con el objeto u objetos para los que se procesen. Esto significa que sólo puedes solicitar aquellos datos que sean estrictamente necesarios para la finalidad para la cual los has solicitado, también significa que no deberías recoger ni almacenar datos personales que no sean estrictamente necesarios.
- Los datos deben ser exactos y responder con veracidad a la situación del titular , por tanto, es necesario que mantengas tus bases de datos actualizadas.
- Los datos sólo deben conservarse durante el tiempo necesario para las finalidades del tratamiento para las que han sido recogidos y por tanto, deberás cancelar aquellos datos que ya no sean necesarios o que estén inactivos.
- Deberás garantizar la disponibilidad e integridad de los datos personales que estén bajo tu responsabilidad y para eso, debes adoptar todas las medidas técnicas y organizativas apropiadas para evitar el acceso no autorizado o ilegal de datos personales, la pérdida o la destrucción de datos personales.
- Los datos personales no serán transferidos a un país o territorio fuera del Espacio Económico Europeo, salvo si ese país o territorio garantiza un nivel adecuado de protección de los derechos y libertades de los interesados en relación con el tratamiento de datos personales. No te olvides de la supresión de Safe Harbor, por tanto, elije bien a tus proveedores de servicio y asegúrate de que sus servidores estén en Europa.
Como cumplir con la protección de datos en 5 pasos
Si eres un profesional y gestionas datos de clientes, proveedores, usuarios, suscriptores o empleados, puedes garantizar todos los principios de la protección de datos .
Todos estos principios se pueden cumplir en 5 pasos.
Paso 1: Declarar los ficheros de datos personales
Debes identificar el tipo de ficheros que utilizas en tu trabajo diario y comunicarlos a los Registros de Ficheros de la Agencia de Protección de Datos antes de iniciar el tratamiento de los datos personales.
Paso 2: Recoger y tratar adecuadamente los datos
Entre los principios de la protección de datos mas importantes está el de la calidad . Todos los sistemas de captura que utilices para recoger datos personales, deberán adecuarse al principio de calidad, es decir, no deberán contemplar datos excesivos o no necesarios para el fin que se persigue.
Paso 3: Informar previamente y recoger el consentimiento
La clave de un buen cumplimiento en materia de protección es la información nítida y transparente que debes transmitir a todo aquel a quien le requieras datos personales referidos a:
- De la existencia de un fichero o tratamiento de datos de carácter personal, la identidad y dirección del o los responsables del fichero (quien recoge los datos y los gestiona para una finalidad)
- De la finalidad de la recogida de éstos .
- De los destinatarios de la información.
- Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
- De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
- De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
Para cumplir con estos principios de la protección de datos, cuando utilices cuestionarios, formularios u otros impresos para la recogida, todos estos puntos deben constar de forma claramente legible y visible en el momento de la recogida, este punto es clave, revisa todos tus sistemas de captura ¿Estás informando correctamente?
Tras informar, es necesario obtener el consentimiento inéquivoco de los titulares con las condiciones establecidas para la captura y el tratamiento.
Esto por norma, aunque existen excepciones:
«No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado , o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado»
Paso 4: Informar de los derechos y permitir su ejercicio
Desde el momento en que eres responsable de la información de otros, estos tienen varios derechos sobre su propia información que tu debes conocer y permitir ejercitar. Estos derechos conforman los principios de la protección de datos.
Se trata de los derechos ARCO.
- Derecho de acceso: Es el derecho a conocer toda la información que tienes sobre el titular de esos datos.
«El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos así como las comunicaciones realizadas o que se prevén hacer de los mismos»
Cuando te requieran este derecho, deberás informar al cliente, usuario, empleado, u otras personas que lo soliciten, en el plazo máximo de 30 días, cuál es su origen, usos y finalidades (por ejemplo, si se han obtenido mediante un formulario rellenado por el o la interesada, o han sido cedidos por terceros) y si se han comunicado a algún otro organismo o profesional.
- Derecho de rectificación: deberás corregir los datos de la persona que te lo requiera, que estén incompletos o sean inexactos, en un plazo máximo de 10 días.
Si los datos de carácter personal resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados.
Si los datos rectificados te han sido requeridos expresamente, como responsable del tratamiento deberás notificar la rectificación efectuada a quien te lo haya requerido.
- Derecho de cancelación: En este caso, deberás cancelar los datos de la persona que te lo requiera cuando su tratamiento no se ajuste a la ley, no sean pertinentes o adecuados.
«El ejercicio del derecho de cancelación dará lugar a que se supriman los datos que resulten ser inadecuados o excesivos, sin perjuicio del deber de bloqueo conforme a este reglamento».
- Derecho de oposición: Es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos o se cese en el mismo en determinados supuestos.
Paso 5: Garantizar la seguridad en el tratamiento de datos personales.
«El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural»
Este es otro punto central para cumplir con los principios de la protección de datos . Consiste en la implantación de las medidas de seguridad que reglamentariamente se establezcan para tu negocio y que deberán quedar plasmadas en el documentos de seguridad.
Este documento de seguridad recogerá las medidas de índole técnica y organizativa acorde a la normativa de seguridad vigente que será de obligado cumplimiento para todos aquellos con acceso a datos de carácter personal . Descubre porqué necesitas un documento de seguridad+
En este punto, deberás garantizar que estas medidas de seguridad se cumplan cuando el tratamiento de datos personales de los que eres responsable sea realizado por un tercero colaborador (una gestoría, un web master, una empresa de informática, etc) .
También puedes descargarte la Guía de Seguridad de datos de la AGPD
Para regular estas colaboraciones, debes firmar contratos de encargo de tratamiento que incorporen cláusulas específicas en materia de protección de datos y la supervisión de su cumplimiento. Aprende como colaborar sin riesgos.