Todas las empresas cuentan con información de sus clientes, empleados y proveedores. Estos datos, desde el 25 de mayo de 2018, deben estar protegidos a través de distintos medios, físicos y digitales, que garantizan su privacidad, según lo dispuesto por la LOPD. ¿Cómo asegurar el cumplimiento de la LOPD?
¿Por qué es obligatorio el cumplimiento de la LOPD?
En 2018 la Unión Europea publicó el Reglamento General de Protección de Datos (RGPD) que establece que las empresas (comunitarias o no), si comercializan sus productos o servicios en la Unión Europea, deberán adaptarse al RGPD. En nuestro país, además de aplicarse lo dispuesto por la UE, existe una normativa nacional: la Ley Orgánica de Protección de Datos Personales y Garantía de los derechos Digitales (LOPD GDD).
Según esta ley, el titular de los datos, es decir, una persona física, es quien decide si compartirlos o no. Si la persona acepta, es responsabilidad de las empresas y autónomos garantizar el cumplimiento de la LOPD; es decir, deben asegurarse de que los datos estén protegidos y que sean privados. Incumplir esta obligación puede acarrear multas de hasta el 4% de la facturación anual. Las multas más graves ascienden hasta 20 millones de euros.
¿Cómo llegan los datos personales a una empresa?
Al navegar por Internet, las empresas pueden rastrear el comportamiento de los usuarios y, para ello, se almacenan los datos de navegación. Sin embargo, no se recoge ningún dato de carácter personal, sino solo de la actividad que se sigue en Internet. Estos datos se obtienen al aceptar las cookies de una web.
Sin embargo, cuando una persona cumplimenta un formulario en línea, hace una compra o realiza cualquier acción que suponga proporcionar sus datos personales (nombre, dirección, teléfono, correo electrónico, etcétera); la empresa ya queda obligada al cumplimiento de la LOPD. Es decir, los datos deben estar totalmente protegidos.
Pero, además, cuando el usuario aporta información, debe saber qué datos almacena la empresa, con qué propósitos y para qué se va a utilizar la información. Lo más importante es que el usuario otorgue su consentimiento y, por supuesto, que una empresa explique cómo se tratarán los datos almacenados.
¿Los datos de quién deben protegerse?
Una cuestión que no debes perder de vista es que, aunque el usuario dé su consentimiento y comparta sus datos, estos datos no te pertenecen como empresa. Siguen siendo propiedad de la persona que los cede. Por otra parte, es muy importante destacar que el cumplimiento de la LOPD no solo se aplica a los clientes de un negocio, sino también a los empleados y proveedores de este.
Si tienes una empresa, tu principal obligación en materia de protección de datos es, precisamente, proteger esa información. Y es que la mala custodia podría generar la filtración de información que puede tener consecuencias muy severas. Además de conocer la norma, es fundamental que dispongas de medios físicos y digitales para asegurar el cumplimiento de la LOPD.
¿Qué datos es necesario proteger?
La LOPD hace una distinción entre datos básicos y especiales. Se distinguen entre sí por el impacto que la filtración de esta información podría tener sobre el derecho a la intimidad de las personas. Los tipos de datos son:
- Básicos. Se incluyen el nombre, el sexo, el DNI y hasta la lengua materna; el estado civil, el nivel educativo, las características de la vivienda de residencia, el salario y las subvenciones. También forman parte de los datos básicos la firma e imágenes captadas por una cámara de seguridad.
- Especiales. Aquí se contempla información o documentación que, de filtrarse, pudiera tener repercusiones sobre los derechos fundamentales y libertades de una persona. Por ejemplo, el origen racial, étnico, la religión, la genética, la salud (física y mental) y la orientación sexual. La biometría también se considera parte de los datos especiales. Dentro de la biometría encontramos, por ejemplo, el reconocimiento facial, el análisis de retina y las huellas dactilares.
Todos los datos, anteriormente expuestos, deben tratarse de forma adecuada para evitar filtraciones. Aunque, desde luego, no es lo mismo la filtración de un nombre que del historial médico de un paciente. Una es información más sensible que otra, pero ambas deben protegerse por igual en el marco de la LOPD.
¿Cómo garantizar el cumplimiento de la LOPD?
La LOPD obliga a las empresas y autónomos a adoptar y mantener medidas de seguridad para la adecuada protección de datos. Estas medidas se traducen en la adopción de medios físicos y digitales, como veremos más adelante; sin embargo, no obliga a implementar medidas específicas, pues no todas las empresas tienen el mismo volumen de información.
Para poder garantizar el cumplimiento de la LOPD es necesario seguir estas acciones:
- Cuando los datos están en soporte físico, solo las personas autorizadas deberán manejarlos. Esta información debe guardarse bajo llave y, si es posible, con un sistema de alarma.
- Si la información está en soporte digital, es imprescindible proteger la información con contraseñas alfanuméricas y de ocho caracteres, como mínimo. Estas contraseñas deben cambiarse cada tres o seis meses.
- Es obligatorio hacer copias de seguridad para garantizar que la información siempre está disponible. Estas copias deben hacer en un disco duro y en la nube.
- Utilizar la disociación y seudonimización. Es posible utilizar los datos de una persona, pero sin revelar información personal. Para ello, se asignan seudónimos, números o letras, por ejemplo.
¿Es posible usar los datos?
Aunque los datos, como ya adelantamos, son propiedad del titular, las empresas pueden utilizarlos. Por ejemplo, con fines comerciales y para hacer crecer su negocio; esto, siempre y cuando, se haga del conocimiento de los clientes y estos den su consentimiento. Es obligatorio informar a los clientes de que se dispone de una política de privacidad y que pueden consultarla en cualquier momento.
Para ello, las empresas deben elaborar unos lineamientos en los que describan los procedimientos de obtención de la información, el tratamiento de esta y para qué van a utilizarla, así como los derechos de los usuarios. En el caso de los empleados de un negocio, las partes firman un acuerdo de confidencialidad y cesión de datos.
Los derechos de los usuarios y el cumplimiento de la LOPD
En materia de protección de datos, los usuarios también tienen derechos. Por ejemplo, una persona tiene pleno derecho para pedir la información almacenada y esta debe estar siempre disponible; también tiene potestad para pedir que se rectifique la información, en caso de tener errores y derecho a que sus datos se eliminen. Esto último suele ocurrir, especialmente, cuando las empresas comparten los datos, con fines comerciales, con otros socios.
Sin embargo, hay datos que las empresas no pueden borrar. En el caso de las nóminas de los empleados o los recibos de pagos. Esta información que, además, es delicada, debe almacenarse porque es posible que, en un futuro, las entidades públicas soliciten esta información a la empresa.
En Armas & Asociados queremos ser tu asesoría en materia de protección de datos. Recuerda que el no cumplimiento de la LOPD puede dejarte, como empresa, en situación precaria en tus obligaciones legales y puede acarrear multas considerables.
