Fases para cumplir con la ley

1) INFORMAR A LA AEPD

Toda empresa maneja y trata datos personales, aún no siendo consciente de ello, y está obligada a comunicar a la Agencia la existencia de esa información. Según Leopoldo Mallo, director general de Alcatraz Solutions, se trata de “legalizar el tratamiento de los datos para que cualquier interesado tenga pleno conocimiento de los datos del responsable del fichero a fin de dirigirse a él para solicitar la información pertinente”. Maestre recuerda que “deben preverse la finalidad de la recogida de datos, que va a determinar el uso que la empresa puede hacer de ellos”. Y añade que habrá que considerar “el periodo de conservación y la destrucción de los soportes que contengan los datos cuando ya no son útiles”.

Sanción. La falta de comunicación de dichos archivos se tipifica como una infracción leve o grave, sancionable con multas de 600 a 300.000 euros.

Solución. Evitar un problema similar. Es un trámite gratuito que se resolver rellenando un formulario por Internet en la página de la AEPD o por correo postal.

2) INFORMAR A LOS INTEGRANTES DEL ARCHIVO

“Un riesgo frecuente es el de no informar a trabajadores, clientes, usuarios, y cualquier persona cuyos datos requiramos, de que esa información va a ser archivada y del derecho que les asiste a acceder, modificar y cancelar los mencionados datos”, incide Amparo González de la Iglesia, la representante de Creacion-empresas.com. Y el abogado de Bufet Almeida señala que en el momento de la recogida de datos hay que “informar al usuario de los aspectos del tratamiento que establece la ley y recabar el consentimiento pertinente, circunstancia de especial relevancia de cara a la cesión de datos y transferencia internacional”.

Sanción. La falta de esta información puede originar sanciones de entre 600 a 60.000. Pero De la Iglesia reseña que “puede llegar a constituir una infracción grave si dichos datos no han sido facilitados por el interesado, sancionable con una multa de 60.000 a 300.000 euros”.

Solución. Cuando recabamos información de los sujetos, debemos indicarle que con ello consiente la inclusión en nuestro archivo, recordando también las posibilidades que tiene de acceso, modificación y cancelación de los datos.

3) DOCUMENTOS DE SEGURIDAD

La ley obliga a redactar un documento de seguridad y darlo a conocer a los miembros de la empresa que manejen datos personales (en la práctica, casi todos). Se tratará de un documento privado y de obligado cumplimiento por parte de los empleados que accedan a los archivos. En él han de plasmarse las políticas, reglas, medidas técnicas y procedimientos de seguridad que garanticen la confidencialidad, integridad y disponibilidad de los datos.

Sanción. La ausencia de dicho documento puede entenderse como una carencia de las medidas de seguridad de los ficheros, por lo que la multa podría ser de 60.000 a 300.000 euros.

Solución. La web de la AEPD ofrece guías para su elaboración, y en la Red hay modelos.

4) EJERCICIO DE LOS DERECHOS ARCO

Según el representante de LOPD Madrid, “los titulares de los datos pueden ejercitar ante el responsable del fichero los derechos de acceso, rectificación, cancelación y oposición (derechos ARCO). Su solicitud deberá ser resuelta en 30 días en el caso del derecho de acceso y en el plazo de 10 días, para el caso de los derechos de rectificación y cancelación”. Gila precisa que la falta de satisfacción de estos derechos es lo que mayor número de denuncias provoca, “prácticamente el 80% de las mismas”.

Sanción. Dependiendo del caso particular, impedir el ejercicio de estos derechos puede ser considerado una falta leve o grave, con multas de hasta 300.000.

Solución. Saracíbar resalta la importancia de “formar en los principios y obligaciones impuestos en la LOPD al personal de atención al cliente o que canalice estas solicitudes, con especial atención en el procedimiento a seguir con las personas que ejerciten estos derechos, enfatizando aquellas que expresen su deseo de no recibir información comercial”.

5) ADOPTAR MEDIDAS DE SEGURIDAD

Como apunta Mallo, “el responsable de fichero tendrá la obligación de implantar medidas de índole técnica y organizativa que garanticen la seguridad y protección de los datos de carácter personal, evitando posibles incidencias que puedan provocar su pérdida, alteración o acceso no autorizado”.

Sanción. Dependerá de la consideración de la infracción como falta leve, grave o muy grave.

Solución. “Medidas como cambiar las contraseñas de ordenadores periódicamente, no permitir que la información de la empresa salga en ningún soporte, enviar información o datos personales de forma encriptada son algunas que fácilmente pueden adoptarse y con las que se evitan males mayores”, aclara González de la Iglesia.

6) CESIÓN DE DATOS

La ley establece que los datos personales “sólo podrán ser comunicados a un tercero para el cumplimiento de fines relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. Aquí se incluye la transferencia internacional de datos de manera irregular.

Sanción. Comunicar o ceder datos personales fuera de los casos permitidos puede llegar a constituir una falta grave o muy grave, con sanciones de 60.000 a 600.000.

Solución. Los formularios que recogen los datos de los interesados deben especificar su finalidad. No se debe emplear la información para fines distintos de los previstos. Una actividad inocente puede dar lugar a que se abra un expediente por cesión de datos.

Publicidad - Sigue leyendo debajo