Protección de datos: una obligación de todos

Pese a que la LOPD no es nueva, realmente no parece que en general nos lo estemos tomando muy en serio, y lo es, a tenor de las sanciones que se están imponiendo. El primer error es pensar que esta ley no va con nosotros. Y es que realmente la LOPD no ha empezado a sonar hasta que la Agencia Española de Protección de Datos ha empezado a imponer sanciones. La Agencia, que al parecer empezó con unas 8 personas en Madrid, ahora tiene 800 personas por toda España y se mantiene de las propias sanciones que impone.  Esto está dando lugar a una proliferación de cursos respecto de la LOPD, a cada vez más negocios adaptándose a los requisitos de la ley y en definitiva a una preocupación y una concienciación creciente por las consecuencias de no cumplirla. Por cierto, la AEPD no avisa. Últimamente se están registrando casos de empresas que te mandan una carta haciéndose pasar por la AEPD (logotipo de la Agencia incluido) anunciando inspección y posteriormente te llaman identificándose como empresa especializada que ofrece los servicios de adaptar tu negocio a la ley.  Es importante estar advertidos de este tipo de prácticas y avisar igualmente a las empresas que tengamos como clientes para que no caigan en la trampa.

Dato es toda información que una empresa u organismo tiene de las personas físicas que permiten su identificación. Por decirlo de forma sencilla: es cualquier información que nos lleve a esa persona física. Esto incluye también las fotos, por ejemplo las que podamos en nuestra página profesional en Facebook:  la imagen está incluida en el ámbito de protección si permite identificar a la persona. Las empresas antes eran reacias a dar esos datos porque entendían que eran suyos y no es así, los datos son de las personas. La LOPD regula claramente el derecho del afectado de estar informado de la recogida, almacenamiento, tratamiento, uso de datos personales y cesión de los datos, pudiendo el afectado oponerse. En definitiva: si tengo un conjunto organizado de datos (fichero) la ley me obliga a hacer algo con ello. Todo esto se aplica tanto a datos en soporte informático como en formato papel. Los requisitos a cumplir dependen del nivel de sensibilidad del dato.  Es lógico: no se le puede exigir lo mismo a un electricista que a otras empresas que tratan datos más sensibles. A mayor sensibilidad del dato, mayor nivel de seguridad. Identificado el nivel de seguridad, tenemos que tomar una serie de medidas. En ningún caso se trata exclusivamente de comunicar a la Agencia la existencia del fichero.  Por mencionar sólo algunas de las obligaciones del nivel básico, podemos destacar la obligación de realizar copias de seguridad de nuestros ficheros automatizados mínimo semanalmente, la obligación de hacer un inventario de soportes o la necesaria periodicidad en el cambio de contraseñas.

Entre los incumplimientos habituales de la LOPD, podemos reseñar, por habituales, los siguientes:

-          Envío de emails a destinatarios múltiples sin copia oculta: cuando remitimos un email a varios destinatarios, la precaución es sencilla: empelar la copia oculta o CCO, pues de lo contrario se puede entender como una cesión de datos sin la autorización del afectado.

-        Envío de emails con fines comerciales sin consentimiento del afectado: es importante superar la tentación de publicitarnos por esta vía. El email marketing es sin duda una herramienta que podremos emplear para darnos difusión pero tendremos que cumplir con la normativa vigente (la LSSI) de cara a no incurrir en infracciones administrativas serias.

-         Desechar documentación en la vía pública: es decir, tirar datos a la papelera. Esto debe hacerse tomando las precauciones necesarias que impidan el acceso o recuperación posterior de esos datos. Lo mejor, la máquina destructora de papel.

Ponernos al día con la LOPD es cosa de todos, no esperemos a ser sancionados para cumplir con la norma.

Imagen inicial tomadada del Blog Lawoutlaw