Existe una creencia errónea de que solo las empresas que realizan actividades relacionadas con las Tecnologías de la Información están obligadas a cumplir la LOPD. Pero nada más lejos de la realidad. Esta ley es de obligado cumplimiento para todas las personas físicas o jurídicas que recojan o traten datos de carácter personal.

proteccion-de-datos

Pasos para cumplir la LOPD

Para poder cumplir esta normativa debemos tener claros los pasos que debemos seguir y que os explicaré de forma resumida.

  • Identificación y notificación de ficheros

En primer lugar debemos identificar el tipo de datos que manejamos y los ficheros que tenemos para proceder a la inscripción de los mismos ante la AEPD.

Esta notificación puede realizarse por Internet. Para ello, en la web de la Agencia de Protección de Datos tendremos que acceder al sistema NOTA. Una vez ahí cumplimentaremos todos los datos. Al cabo de un mes, aproximadamente, recibiremos contestación confirmándonos la inscripción del fichero.

  • Información al afectado

Cuando se usen formularios, cuestionarios u otros impresos para la recogida de datos debe indicarse en los mismos, en forma claramente legible, la siguiente información:

  1. Que existe un fichero o tratamiento de datos de carácter personal, la finalidad de la recogida de éstos y los receptores de la información.
  2. La obligatoriedad o no de su respuesta a las preguntas que les sean propuestas.
  3. Los resultados de la adquisición de los datos o de la negativa a proporcionarlos.
  4. La posibilidad de ejercer los derechos ARCO y la forma de ejercerlos.
  5. La identificación y dirección del responsable del tratamiento o, en su caso, de su representante.

Para eso tendremos que elaborar unas cláusulas de información a los afectados.

  • Consentimiento

El tratamiento de los datos de carácter personal exigirá el consentimiento evidente del interesado, salvo que la ley establezca otra cosa. El consentimiento podrá revocarse si existe causa justificada para ello.

Será nulo el consentimiento para la notificación de los datos personales a un tercero, cuando por la información que se facilite al interesado este no pueda saber la finalidad para la que se utilizarán los datos cuya comunicación se permite o la clase de ocupación de aquel a quien se pretenden notificar.

  • Documento de seguridad

Debemos elaborar un Documento que contenga todas las medidas técnicas y organizativas precisas para certificar la protección de los activos de información de nuestra empresa y evitar la modificación, pérdida, tratamiento o accesos no autorizados a esos datos.

  • Ejercicio de derechos ARCO

Hay que tener en cuenta que las personas afectadas poseen los siguientes derechos:

  1. Derecho de acceso: Derecho a conocer toda la información referida a sus datos personales que posee la empresa. Esta debe contestar en un máximo de 1 mes; si no lo hace así, el afectado podrá denunciar ante la Agencia de Protección de Datos.
  2. Derecho de rectificación de sus datos. La empresa dispone de un plazo de 10 días para realizar las modificaciones solicitadas. Pasado este plazo sin que el afectado obtenga respuesta o siendo esta no conforme, puede denunciar ante la Agencia de Protección de Datos.
  3. Derecho de cancelación de sus datos. La empresa debe eliminarlos salvo que por ley deban conservarse.
  4. Derecho de oposición, el afectado puede negarse a que un tercero trate sus datos de carácter personal, a no ser que haya una disposición legal que obligue a su tratamiento.

Debemos facilitar a estos afectados los medios a través de los cuales pueden ejercer esos derechos.

  • Contratos de confidencialidad

El titular del fichero y todos aquellos que intervengan en cualquier fase del tratamiento de los datos de carácter personal tienen la obligación de guardar secreto profesional sobre los mismos y al deber de guardarlos, obligaciones que permanecerán incluso una vez finalizadas sus relaciones con el titular del fichero.

Por ello, es necesario que nuestros empleados firmen contratos de confidencialidad y secreto respecto de los datos que van a conocer en ejercicio de sus funciones.

  • Contratos de cesión de datos o acceso a datos por cuenta de terceros

También es necesario, en caso de que los datos personales vayan a ser cedidos a terceros o estos tengan acceso a los mismos, disponer de contratos en los que se especificarán las condiciones de tratamiento de los datos personales y las medidas de seguridad que deben adoptarse.

proteccion-de-datos

LSSI

Si tienes una web o una tienda online por ejemplo, también te conviene conocer y cumplir una serie de requisitos exigidos en la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico.

  • Redactar el Aviso Legal que es obligatorio incluir en la web.
  • Cuando se recopilan datos mediante la web (formularios de contacto) se debe avisar de que se van a tratar esos datos para que lo sepan y obtener el consentimiento de los afectados para guardar esos datos.
  • Cuando usamos el correo electrónico con finalidad promocional o Comercial: es obligatorio cumplir, sin excepción, el deber de información y la opción de ejercicio de los derechos ARCO en todos los mensajes de correo (aquello que aparece al final del mail para rectificar o cancelar tus datos de la lista, por ejemplo)

Cumplir la normativa de Protección de Datos por teléfono

En casos de contrataciones telefónicas o solicitud de servicios en los que nos soliciten nuestros datos personales por teléfono (como compañías de telecomunicaciones, páginas amarillas, etc.) también deben informarnos de una serie de aspectos.

El texto, que normalmente nos lee el operador que nos atiende, es algo así:

De acuerdo con lo establecido en el Art. 5 de la Ley Orgánica 15/1999 de diciembre de Protección de Datos de Carácter Personal, en el que se regula el derecho de información en la recogida de datos debemos advertir de los siguientes aspectos:

  • Los datos de carácter personal que nos ha facilitado en esta y otras comunicaciones mantenidas con usted serán objeto de tratamiento en los ficheros responsabilidad de (Empresa)
  • La finalidad del tratamiento es la de gestionar de forma adecuada el suministro del servicio que nos ha solicitado. Igualmente estos datos no se cederán a terceros, salvo las cesiones legalmente admitidas.
  • Los datos requeridos a través de esta y otras comunicaciones deben facilitarse obligatoriamente para la prestación del servicio. Estos son adecuados, convenientes y no excesivos.
  • La negativa a proporcionar los datos solicitados implica la imposibilidad ofrecerle el servicio.
  • Asimismo, le informamos de su derecho a ejercitar los correspondiente derechos de oposición, acceso, rectificación y cancelación según lo establecido en la Ley 15/1999 ante (Empresa) como responsable del fichero. Los derechos referidos los puede hacer valer a través de los siguientes medios: (indicaremos el email y la dirección postal de la empresa).

Para evitar tener que leer este texto o que al operador se le pueda olvidar hacerlo, puede contratar una locución con el texto a través de la empresa Fonvirtual, Centralita virtual que le ofrece información personalizada y trato exclusivo para conseguir una configuración más apropiada para cada tipo de negocio. Para gestionar las llamadas que recibas, podrás añadir todos los servicios que desees a tu centralita: horarios, locuciones, menú de opciones, grabación de llamadas, buzones, etc.

 

Autor: Javier Oviaño
Dpto Legal de Grupo Ático34