guia LOPD

Como complemento a la serie de “Conceptos Básicos” sobre protección de datos, iniciamos hoy otra bajo el epígrafe “Guías Prácticas”, con el propósito de añadir a la visión teórica de la LOPD diferentes análisis de sus consecuencias practicas en las pymes.

En la página web de la Agencia Española de Protección de Datos (AEPD) se publican, en la sección Resoluciones, todos aquellos procedimientos sancionadores iniciados por la AEPD, tanto los que terminan en sanción como los que son archivados.

Cada uno de estos procedimientos, además de fundamentar jurídicamente la resolución señalando los preceptos legales vulnerados, “cuenta una historia” y de sus detalles se aprende que los mayores riesgos de una sanción no proceden de errores documentales o de la falta de determinados contratos, sino del uso diario de la información y los datos de carácter personal que toda empresa maneja. Riesgo en ocasiones agravado por el uso de algunos avances tecnológicos.

La Ley Orgánica de Protección de Datos (LOPD) tiene como objeto garantizar y proteger derechos fundamentales de las personas físicas, como son especialmente su honor e intimidad personal y familiar. Es por eso que es una ley de rango orgánico, y que en caso de incumplimiento prevee importantes sanciones económicas.

Si una pyme ha de prestar una importante atención a este capítulo se debe a que estás sanciones, al regular un derecho individual de cada ciudadano, no están en función del tamaño de la empresa sino del artículo vulnerado, del nivel de seguridad exigido a esos datos y de una serie de factores que pueden atemperar la sanción y que veremos más adelante.

Analicemos primero qué tipo de infracciones señala la LOPD.

Tras comentar en la pasada entrega de esta guía las medidas de seguridad de nivel medio, vamos a cerrar este capítulo haciéndolo con las medidas de nivel alto. No es una situación habitual en las pymes tener que aplicarlas, pues el tipo de datos que las requiren no están entre los más comunes que tenemos que manejar.

De todas formas, no está de más conocer los requerimientos legales si nos encontramos en esta situación, que no son pocos y requieren además de unas medidas organizativas bastante complejas y costosas de implantar, sobre todo en lo referente al registro de accesos a la información protegida. Recordad que todas estas medidas se deben aplicar además de las de los niveles anteriores, éstas se añaden y complementan o modifican las anteriores.

En esta entrada vamos a repasar las exigencias que nos impone estar en un nivel de seguridad medio. Como ya dijimos en la anterior, este nivel se aplicará según el tipo de datos que tratemos en nuestra empresa, y complementando siempre a las medidas que fija el nivel de seguridad anterior. Si este es nuestro caso, además de las medidas de nivel básico, tendremos que aplicar las de nivel medio.

Como vais a ver, si la cosa ya estaba complicada, con el cambio de nivel se pone todavía mejor. Tanto, que me hace reflexionar sobre la importancia de analizar detenidamente que datos necesitamos realmente para hacer funcionar nuestro negocio, y sobre la conveniencia de descartar el empleo de todos aquellos que no nos sean realmente de utilidad. Vamos con el tema.

En la entrega anterior del especial sobre la LOPD repasamos los distintos niveles de seguridad necesarios según el tipo de datos que contengan los ficheros con los que trabajamos. En este capítulo vamos a revisar las medidas que hay que aplicar en el nivel de seguridad básico, que son también las mínimas que deberemos disponer en cualquier caso (siempres que trabajemos con datos de carácter personal, naturalmente).

Vamos a seguir paso por paso lo que nos indica el Real Decreto 1720/2207, revisando las funciones del personal, registro de incidencias, medidas de control de acceso, gestión de soportes y documentos, identificación y autenticación y realización de copias de respaldo. Estas medidas de seguridad son las aplicables en el caso de tratamiento automatizado de datos. El tratamiento no automatizado tiene las suyas propias, adecuadas a sus características.

Una vez hemos terminado con las definiciones de conceptos importantes en la legislación, vamos a centranos ahora en aquellos aspectos de la ley que tienen mayor impacto en el cumplimiento de ésta. Hoy comenzamos con los niveles de seguridad.

Los datos personales, según cuáles sean, están sujetos a determinados grados de protección, que nos indican las medidas de seguridad que tendremos la obligación de aplicar en cada caso.

Vamos a centrarnos en comentar sólo aquellos supuestos que se pueden dar con mayor frecuencia en las empresas, dejando el resto al margen de este artículo.

Hoy nos vamos a centrar en las definiciones referidas a los procesos que intervienen en el tratamiento de los datos personales. Cancelación de datos, consentimiento, transferencias y traslados, cesiones… Todas aquellas operaciones que son habituales cuando manejamos los datos personales en la empresa y que están sujetas a esta reglamentación. Vamos con ello:

• Tratamiento de datos: toda operación que permita…
  

  “la recogida, grabación, conservación, elaboración, modifi-
  cación, consulta, utilización, modificación, cancelación,
  bloqueo o supresión, así como las cesiones de datos que
  resulten de comunicaciones, consultas, interconexiones y
  transferencias.”
  

  Para abreviar, casi cualquier cosa que hagamos con los datos personales, sea o no de forma automatizada.

En esta nueva entrega vamos a explicar las definiciones que tratan sobre las personas, tanto físicas como jurídicas, que intervienen en cualquier concerniente a la ley o cuyos datos son susceptibles de protección.

Hablaremos de afectado o interesado, destinatario, exportador e importador de datos, responsable del fichero, encargado del tratamiento, tercero, persona identificable, responsable de seguridad y usuario.

• Afectado o interesado: está bastante clara, la persona física titular de los datos que vayamos a tratar. Un caso muy claro sería el de los clientes (personas físicas) de nuestra empresa.
• Destinatario o cesionario: las personas o empresas, públicas o privadas a las que revelamos los datos que nosotros tratamos. Un buen ejemplo sería el de una empresa consultora a la que facilito los datos de mis clientes para que haga un estudio de hábitos de compra. Estaríamos llevando a cabo una cesión de datos, tema que trataremos en profundidad más adelante.

Las definiciones referidas a ficheros son quizá las que menos explicación necesitan, o las menos sujetas a interpretación, dicho de otra forma. Vamos a ver a que se refiere la Ley cuando habla de ficheros, ficheros de titularidad pública y privada, ficheros temporales y ficheros no automatizados.

• Ficheros:

  “Todo conjunto organizado de datos de carácter personal que permita el acceso a los mismos con arreglo a criterios determinados…”

  Está bastante clara. Cualquier tipo de archivo, automatizado (ficheros informáticos) o no automatizado (documentos en papel). En cuanto a los automatizados, podrían ser un documento de word, hoja de excel, archivo de base de datos, lo que sea, simpre que los datos estén organizados mediante algún criterio, cualquiera que éste sea. Alfabético, numérico, por colores, etc. Hay definido un reglamento de medidas de seguridad aplicables a estos ficheros.