Estos días me estoy informando sobre qué cosas ha de cumplir con la LOPD (Ley Orgánica de Protección de Datos) la cual data de 1999. En ella podremos encontrar todo lo referido a la protección de archivos que contengan información de carácter personal y sus aplicaciones para beneficio de la empresa.
En España existe la Agencia Nacional de Protección de Datos (AGPD) que regula la ley. Para mi sorpresa, aunque las multas son realmente fuertes, solamente el 10% de las Pymes españolas cumplen la ley. Es decir, en general, nuestros datos personales están corriendo de empresa a empresa sin nuestro consentimiento. Curiosamente, muchas de estas empresas ya incorporan a su operativa diaria la inmensa mayoría de las obligaciones que establece la ley, pero no las registran.
Existen diferentes niveles de protección, en concreto 3 niveles (básico, medio, alto) que van en función de los datos que tienes tanto de tus clientes, proveedores, trabajadores, etc. Y por su puesto, las faltas pueden ser leves, graves o muy graves. En función de su incumplimiento, las multas pueden ir desde 600€ a 600.000€, así que poca broma. Y más cuando los clientes y usuarios cada día conocen más sus derechos y por un tema como este pueden realmente hundir una empresa.
Dado que la ley es algo extensa y que si realmente estás interesado en este tema, te recomiendo que te pongas en manos de un consultor especializado en Protección de Datos, os voy a resumir los pasos más importantes que debes cumplir como empresa para cumplir al 100% con esta ley:
1. Inscribir los ficheros en la AGPD.
El registro deberá realizarlo el Responsable del Fichero, que es aquella persona con capacidad de decidir sobre la finalidad, contenido y uso de los datos incluidos en su fichero. Además, es la persona jurídicamente responsable de la seguridad de la información. El registro es gratuito y debe realizarse antes del tratamiento del fichero.
2. Redactar el documento de seguridad con los procedimientos de seguridad.
La LOPD obliga a crear un Documento de Seguridad, donde se recojan todas las medidas técnicas y organizativas destinadas a garantizar la Confidencialidad, Integridad y Disponibilidad de los datos. Dicho documento debe ser mantenido a día y conocido por todas las personas con acceso a la información de carácter personal.
3. Implantar dichos procedimientos en la organización.
El Responsable del Fichero deberá dirigir la implantación y comprobar el cumplimiento de todas las medidas de seguridad recogidas en el mismo.
Medidas de seguridad que te obliga a tener la LOPD en tu empresa
Te animo a que escribas algún comentario sobre el post o lo compartas con más gente si te parece de utilidad.
•Establecer contractualmente la obligación de proteger la información de la organización. •Informar y formar sobre las medidas de seguridad de la información.
•Implementar controles efectivos de acceso a la información, de modo que no quede expuesta en ningún momento a lo largo de su tratamiento.
•Crear un registro de incidencias y documentar todas aquellas que se produzcan, de modo que se pueda investigar su origen, mitigar los perjuicios ocasionados y corregir posibles defectos en las medidas de seguridad.
•Desarrollar procedimientos para que las personas cuyos datos son objeto de tratamiento puedan ejercitar los derechos definidos en la LOPD.
Derechos de las personas cuyos datos son objeto de tratamiento
La LOPD confiere una serie de derechos a toda persona física cuyos datos son objeto de tratamiento en ficheros de datos. El primero y más importante es el derecho a ser informado de forma previa, precisa e inequívoca cuando se recaben datos personales. Se debe informar de la existencia del fichero de datos, la finalidad del mismo, y la identidad de su responsable y de quienes tendrán acceso a él.
Dicha información debe figurar en los diferentes medios utilizados para recabar datos personales. A este respecto cabe recordar que el tratamiento de datos personales requiere el consentimiento inequívoco del afectado, o la notificación al mismo en un plazo no superior a tres meses si los datos no se recavaron directamente del interesado.
Además del derecho de información, la LOPD recoge tres derechos más, de los que se debe informar a los afectados, así como de los mecanismos habilitados por la empresa para ejercitarlos:
•Derecho de Acceso: Derecho a obtener gratuitamente información de sus datos de carácter personal, su origen y las comunicaciones realizadas o que se prevén hacer de los mismos.
•Derecho de Rectificación y Cancelación: Derecho a modificar o cancelar la información de carácter personal errónea o incompleta, o cuyo tratamiento no se ajuste a la LOPD.
•Derecho de Oposición: Derecho a impugnar decisiones privadas que impliquen una valoración del comportamiento o afecten de manera significativa al interesado, y estén basadas únicamente en el tratamiento de datos de carácter personal.
El plazo para resolver las peticiones de Acceso es de 1 mes, y de 10 días en el resto de los casos, debiendo quedar constancia en el Libro de Incidencias cada vez que alguien haga ejercicio de alguno de estos derechos.
Espero que este pequeño resumen te sirva para conocer un poco más sobre esta ley que cada vez va a traer a las empresas mayores problemas y multas, pero que realmente con un cambio de cultura organizativa y un cambio en los procesos se puede resolver. Si eres empresario, deberías preocuparte por este tema.
Te animo a que escribas algún comentario sobre el post o lo compartas con más gente si te parece de utilidad.
No hay comentarios:
Publicar un comentario