Pese a que la LOPD no es nueva,
realmente no parece que en general nos lo estemos tomando muy en serio, y lo
es, a tenor de las sanciones que se están imponiendo. El primer error es pensar
que esta ley no va con nosotros. Y es que realmente la LOPD no ha empezado a
sonar hasta que la Agencia Española de Protección de Datos ha empezado a
imponer sanciones. La Agencia, que al parecer empezó con unas 8 personas en Madrid, ahora
tiene 800 personas por toda España y se mantiene de las propias sanciones que
impone. Esto está dando lugar a una
proliferación de cursos respecto de la LOPD, a cada vez más negocios
adaptándose a los requisitos de la ley y en definitiva a una preocupación y una
concienciación creciente por las consecuencias de no cumplirla. Por cierto, la
AEPD no avisa. Últimamente se están registrando casos de empresas que te mandan
una carta haciéndose pasar por la AEPD (logotipo de la Agencia incluido)
anunciando inspección y posteriormente te llaman identificándose como empresa especializada
que ofrece los servicios de adaptar tu negocio a la ley. Es importante estar advertidos de este tipo de
prácticas y avisar igualmente a las empresas que tengamos como clientes para
que no caigan en la trampa.
Dato es toda información que una empresa
u organismo tiene de las personas físicas que permiten su identificación. Por
decirlo de forma sencilla: es cualquier información que nos lleve a esa persona
física. Esto incluye también las fotos, por ejemplo las que podamos en nuestra
página profesional en Facebook: la
imagen está incluida en el ámbito de protección si permite identificar a la
persona. Las empresas antes eran reacias a dar esos datos porque entendían que
eran suyos y no es así, los datos son de las personas. La LOPD regula
claramente el derecho del afectado de estar informado de la recogida,
almacenamiento, tratamiento, uso de datos personales y cesión de los datos,
pudiendo el afectado oponerse. En definitiva: si tengo un conjunto organizado
de datos (fichero) la ley me obliga a hacer algo con ello. Todo esto se aplica tanto
a datos en soporte informático como en formato papel. Los requisitos a cumplir
dependen del nivel de sensibilidad del dato.
Es lógico: no se le puede exigir lo mismo a un electricista que a otras
empresas que tratan datos más sensibles. A mayor sensibilidad del dato, mayor
nivel de seguridad. Identificado el nivel de seguridad, tenemos que tomar una
serie de medidas. En ningún caso se trata exclusivamente de comunicar a la
Agencia la existencia del fichero. Por
mencionar sólo algunas de las obligaciones del nivel básico, podemos destacar
la obligación de realizar copias de seguridad de nuestros ficheros
automatizados mínimo semanalmente, la obligación de hacer un inventario de
soportes o la necesaria periodicidad en el cambio de contraseñas.
Entre los incumplimientos
habituales de la LOPD, podemos reseñar, por habituales, los siguientes:
-
Envío de emails a destinatarios múltiples sin
copia oculta: cuando remitimos un email a varios destinatarios, la precaución
es sencilla: empelar la copia oculta o CCO, pues de lo contrario se puede
entender como una cesión de datos sin la autorización del afectado.
- Envío de emails con fines comerciales sin
consentimiento del afectado: es importante superar la tentación de publicitarnos
por esta vía. El email marketing es sin duda una herramienta que podremos
emplear para darnos difusión pero tendremos que cumplir con la normativa
vigente (la LSSI) de cara a no incurrir en infracciones administrativas serias.
- Desechar documentación en la vía pública: es
decir, tirar datos a la papelera. Esto debe hacerse tomando las precauciones
necesarias que impidan el acceso o recuperación posterior de esos datos. Lo
mejor, la máquina destructora de papel.
Ponernos al día con la LOPD es
cosa de todos, no esperemos a ser sancionados para cumplir con la norma.
Imagen inicial tomadada del Blog Lawoutlaw
No hay comentarios:
Publicar un comentario
Déjanos aquí tu comentario. ¡Gracias por participar en la conversación!