Decálogo LOPD

Cumplir con la LOPD de forma estricta es realmente complicado, sobre todo, con respecto a algunas medidas de seguridad de cuyo nombre no quiero acordarme. Sin embargo, en muchos casos una infracción LOPD no es más que un “pequeño” error del empleado con consecuencias brutales para su empresa.

Desde Áudea os ofrecemos 10 normas para evitar estos incidentes:

1. Toda información relativa a la persona física es un dato personal (nombre, apellidos, dirección física o electrónica, teléfono, CV, fotos, grabaciones de vídeo o de audio, etc.). Hay excepciones, pero como el criterio de la AEPD es cambiante, es mejor no arriesgar.
2. Medidas de seguridad aparte, todos los datos personales que tratemos, deben recibir el mismo trato que le damos a nuestra contraseña del banco. La gente no se preocupa mucho por sus propios datos, pero la empresa está obligada a hacerlo. Nadie envía su contraseña visible por email a un montón de personas, ni la tira a la basura sin destruirla en cachitos diminutos, ni la sube a una página web o la guarda en un fichero sin ponerle antes las mejores protecciones que se nos ocurran. Igualmente, todos nos aseguramos de que la contraseña sea correcta, aunque tengamos que validarlo con el banco.
3. Toda vía de entrada de datos personales en nuestra empresa debe estar cubierta con una cláusula informativa sobre quiénes somos, dónde estamos, para qué vamos a usar los datos y los derechos que tiene la persona con respecto a sus propios datos. La página web, el teléfono, el correo electrónico y ordinario, el mostrador de la tienda… tenemos que ser capaces de identificar las vías de entrada de datos y estudiar la mejor forma de informar.
4. Es ilegal utilizar los datos para algo distinto de lo informado. Antes de llevar a cabo cualquier tratamiento o cesión de datos, debemos cerciorarnos de que nuestra cláusula lo permite. Insistimos, esto afecta a todos los datos personales (cámaras de videovigilancia, datos de empleados, clientes y usuarios, etc.)
5. Debe pensarse el mejor medio de acreditar que la persona consintió el uso de sus datos, dependiendo de cada forma de recogida o de entrada de datos. También hay excepciones, pero es mejor esforzarse en conseguir el consentimiento que intentar encajarla en una excepción cuando la Agencia llama a tu puerta.
6. Con información y consentimiento se puede hacer casi cualquier cosa. Por eso es tan importante la cláusula informativa y que podamos acreditar el consentimiento inequívoco.
7. Cuando los datos ya no sean necesarios, deben ser cancelados. Esto implica sacarlos del fichero original y guardarlos en otro fichero de acceso y uso totalmente restringido, únicamente por si recibimos alguna denuncia. El plazo durante el que tenemos que tenerlos bloqueados es incierto, porque dependerá del plazo de prescripción de las posibles responsabilidades. En protección de datos son 3 años como máximo, pero dependiendo del caso, podríamos llegar a necesitar la información hasta 15 años después. Lo más lógico es guardarlos bloqueados un periodo de tiempo prudencial de unos 5 años y luego borrarlos. Es muy raro que pasado ese tiempo vengan a pedirnos responsabilidades.
8. Debemos exigir el cumplimiento de la normativa a empleados, becarios, empresas colaboradoras y prestadores de servicios… en general, a cualquiera que pueda acceder a datos de nuestra responsabilidad.
9. Tratar a la gente con respeto. Una denuncia de protección de datos puede ser producto de un mal servicio, de haber ninguneado sus derechos, o simplemente de no haber atendido una llamada. Algunas personas saben que es una forma sencilla y gratuita de obtener “venganza”.
10. Facilitar a la gente su derecho a disponer libremente de sus datos. Los datos que tratamos pertenecen a su legítimo dueño, y como tal, tiene derecho a que le digamos qué estamos haciendo con sus datos, a corregirlos si los tenemos mal, a negarnos un uso concreto de los mismos, a exigirnos que los borremos, y a cambiar de opinión sobre el consentimiento que nos prestó en su momento.

Se trata, en definitiva, de actuar con coherencia y diligencia conforme a unas reglas de juego que define la Ley Orgánica de Protección de Datos. Evidentemente, hay accidentes totalmente incontrolables, pero cuanto más respeto y control haya en la empresa, menor será el riesgo.

Audea Seguridad de la Información S.L.

Departamento Legal

José Carlos Moratilla

www.audea.com