Nuestro objetivo no es, en ningún caso, convertirnos en la fuente básica sobre la que enfocar el cumplimiento de la ley en vuestra empresa (para ello, deberíais acudir a cualquier consultoría especializada que os ofrezca confianza, la importancia del tema lo merece), sino proporcionar la información necesaria para comprender los pasos que hay que dar y una vez adaptados vuestros procedimientos a la ley, ser capaces de mantenerlos al día con los requisitos que se os exigen, quizá uno de los aspectos más complicados y menos comentados de esta ley.

Esta es una cita de José M. Cestero del primer post de la serie que he querido repetir, ya que tras haber visto el procedimiento para el alta de ficheros, un paso que cualquier empresa puede llevar a cabo por sus propios medios sin recurrir a un asesoramiento externo, vamos a ver un asunto más complejo: qué es y de qué se compone el Documento de Seguridad que toda pyme que mantenga ficheros con datos de carácter personal ha de redactar y tener a disposición de la inspección de la Agencia Española de Protección de Datos (AEPD).

La posibilidad de acceder a la gran cantidad de información y recursos que nos ofrece Internet aporta un gran valor a nuestra trabajo diario. En cuanto a las comunicaciones, el correo electrónico es ya una herramienta imprescindible para la mayoría de las empresas y, el uso de ambas opciones está ya extendido y asentado en la mayoría de las organizaciones españolas.

Este grado de implantación ha traido consigo cierto grado de preocupación en empresarios y trabajadores, que gira sobre todo alrededor de la posibilidad que tienen los primeros de controlar el modo en que emplean las herramientas que la empresa pone a disposición de sus empleados.

¿Puede la empresa controlar el uso de estas herramientas? Sí, puede hacerlo, siempre que haya informado previamente al trabajador sobre ello. Cualquier información obtenida sin que se haya cumplido este deber de información, carecerá de validez en caso de disputa entre empresa y trabajador. Naturalmente, debe constar de alguna forma que cada empleado ha recibido dicha información.

El primer paso en el cumplimiento de la Ley Orgánica de Protección de Datos (LOPD) es la obligación de notificar los ficheros que contengan datos de carácter personal a la Agencia Española de Protección de Datos (AEPD).

Con este fin se creó el sistema de Notificaciones Telemáticas a la AEPD (NOTA), que permite a cualquier entidad de titularidad pública y/o privada notificar sus ficheros de forma gratuita a través de una herramienta que le informa y asesora acerca de los requerimientos de la notificación, ya sea con o sin firma electrónica. Además permite preseleccionar de forma simplificada una serie de ficheros relacionados con los usos más habituales de las pymes.

Gracias a la sencillez del formulario y a la claridad de su manual de instrucciones éste es un paso que cualquier empresa puede llevar a cabo por sus propios medios, sin recurrir a un asesoramiento externo.

Continuando con la nueva serie “Guías Prácticas”, con el propósito de añadir a la visión teórica de la LOPD diferentes análisis de las consecuencias practicas en las pymes, veremos las implicaciones de la externalización de determinados servicios tecnológicos.

Son varias las ocasiones y muchos los motivos, aunque básicamente sean coste y complejidad, por los que una empresa no le conviene asumir a nivel interno todas y cada una de las posibilidades de negocio que le brindan las nuevas tecnologías y prefiere contratar con otra empresa servicios tales como mantenimiento informático, videovigilancia, gestión de su web y/o tienda virtual, backup remoto, etc.

Resulta evidente que la gestión de todas estas herramientas implica necesariamente por parte de la empresa prestataria del servicio un acceso y en muchas ocasiones tratamiento de datos de carácter personal, que son realmente una responsabilidad de la empresa cliente. Es por esto que la Ley Orgánica de Protección de Datos (LOPD) señala que la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato, y el Reglamento de desarrollo de la LOPD añade además que el responsable de los datos deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de la protección de datos.

Continuando con la nueva serie “Guías Prácticas”, con el propósito de añadir a la visión teórica de la LOPD diferentes análisis de las consecuencias practicas en las pymes, vamos a ver los riesgos que respecto a al manejo de datos de carácter personal puede provocar el uso de algunos de los hardware y software que tenemos en nuestras oficinas.

Resulta obvio que la ofimática ha supuesto un enorme avance en la manera en la que incluso una empresa muy pequeña puede llegar a procesar información en grandes volúmenes, pero al tiempo nos obliga a ser precavidos ya que sus automatismos también aumentan los riesgos de vulnerar la legislación sobre protección de datos.

Es fundamental resaltar el hecho de que como ya señalaba en la nota anterior todos estos ejemplos proceden de Resoluciones (sanciones) publicadas en la página web de la Agencia Española de Protección de Datos (AEPD), es decir, son circunstancias que ya han ocurrido y nos deben servir para aprender en piel ajena. Y también que no basta con que estos procedimientos se entiendan a nivel de gerencia en una pyme, sino que cualquier empleado con acceso a datos de carácter personal ha de mantener el mismo tipo de precauciones. Así que si el lector resulta ser un usuario avanzado y algunos de estos errores le resultan demasiado “básicos”, le conviene preguntarse: ¿saben esto mis empleados?

Como complemento a la serie de “Conceptos Básicos” sobre protección de datos, iniciamos hoy otra bajo el epígrafe “Guías Prácticas”, con el propósito de añadir a la visión teórica de la LOPD diferentes análisis de sus consecuencias practicas en las pymes.

En la página web de la Agencia Española de Protección de Datos (AEPD) se publican, en la sección Resoluciones, todos aquellos procedimientos sancionadores iniciados por la AEPD, tanto los que terminan en sanción como los que son archivados.

Cada uno de estos procedimientos, además de fundamentar jurídicamente la resolución señalando los preceptos legales vulnerados, “cuenta una historia” y de sus detalles se aprende que los mayores riesgos de una sanción no proceden de errores documentales o de la falta de determinados contratos, sino del uso diario de la información y los datos de carácter personal que toda empresa maneja. Riesgo en ocasiones agravado por el uso de algunos avances tecnológicos.

La Ley Orgánica de Protección de Datos (LOPD) tiene como objeto garantizar y proteger derechos fundamentales de las personas físicas, como son especialmente su honor e intimidad personal y familiar. Es por eso que es una ley de rango orgánico, y que en caso de incumplimiento prevee importantes sanciones económicas.

Si una pyme ha de prestar una importante atención a este capítulo se debe a que estás sanciones, al regular un derecho individual de cada ciudadano, no están en función del tamaño de la empresa sino del artículo vulnerado, del nivel de seguridad exigido a esos datos y de una serie de factores que pueden atemperar la sanción y que veremos más adelante.

Analicemos primero qué tipo de infracciones señala la LOPD.

Tras haber visto el cumplimiento de los deberes de información del artículo 10 de la LSSI, vamos a examir otras cuestiones que suelen incluirse dentro del Aviso Legal de un sitio en internet, como propiedad intelecual, normas de uso, protección de datos, limitaciones o exclusiones de responsabilidad por los contenidos y condiciones de comercio electrónico.

En ocasiones cada uno de estos aspectos se recogen en documentos separados, con títulos tales como: Política de Privacidad, Condiciones Legales, etc. Ninguna ley obliga a agruparlos bajo un solo epígrafe, pero resulta aconsejable de cara a la confianza y comodidad de los visitantes del sitio volcar toda la información legal en un solo documento y no obligar al ususario a navegar por varios enlaces hasta completar todos los aspectos. Veamos cada uno de estos puntos.

La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI) tiene como objeto la regulación del régimen jurídico de los servicios de la sociedad de la información y de la contratación por vía electrónica.

Entre otras cuestiones obliga a poner a disposición de los destinatarios del servicio y de los órganos competentes en todo sitio en internet (salvo aquellos que se limiten exclusivamente al ámbito doméstico o de actividades personales no económicas) de un mínimo de información de forma permanente, fácil, directa y gratuita.

Esta información suele incluirse bajo el título “Aviso Legal” y ha de incluír los siguientes elementos:

Tras comentar en la pasada entrega de esta guía las medidas de seguridad de nivel medio, vamos a cerrar este capítulo haciéndolo con las medidas de nivel alto. No es una situación habitual en las pymes tener que aplicarlas, pues el tipo de datos que las requiren no están entre los más comunes que tenemos que manejar.

De todas formas, no está de más conocer los requerimientos legales si nos encontramos en esta situación, que no son pocos y requieren además de unas medidas organizativas bastante complejas y costosas de implantar, sobre todo en lo referente al registro de accesos a la información protegida. Recordad que todas estas medidas se deben aplicar además de las de los niveles anteriores, éstas se añaden y complementan o modifican las anteriores.