A pesar de que la normativa de protección de datos existe hace ya varios años en nuestro país – en concreto, la Ley vigente es del año 1999, esto es, la Ley Orgánica 15/1999, de 13 de diciembre -, existen muchas personas y empresas que hoy en día todavía desconocen su finalidad y cómo deberían proceder a la adecuación de su empresa a la protección de datos. Es por ello que mediante este post vamos a plasmar algunas ideas sobre la finalidad de esta ley y cómo podemos proceder a adecuar nuestro negocio a la ley de protección de datos de carácter personal.
Principios básicos a tener en cuenta
La finalidad de esta ley, como regla general, es velar por los intereses de las personas cuyos datos son tratados, por la privacidad o intimidad de esa información. Por ejemplo, si tenemos una tienda física donde recogemos datos de nuestros clientes en una base de datos para poder hacerle difusión de nuestros productos, servicios y/o descuentos, según esta ley es necesario que informemos a esta persona del tratamiento que vamos a dar a sus datos y cómo lo vamos a hacer, así como de la finalidad y usos que vamos a dar a esta información, además de garantizarle una serie de derechos, reconocidos como derecho de acceso, rectificación, cancelación y oposición y popularmente conocidos como el ejercicio de derechos ARCO. A este deber de información la ley lo denomina, precisamente, principio de información.
Según la ley, además, no solo es necesario informar al usuario sino, por regla general, obtener su consentimiento expreso. Por lo tanto, si no disponéis de formularios con la información adecuada, deberíais llevarlo a cabo; así como solicitar el consentimiento expreso – la mejor forma de hacerlo es obtener una firma por parte del usuario, por ejemplo, del formulario o documento. La ley también denomina a este hecho como principio del consentimiento.
Otro principio que hay que tener en cuenta es el criterio de la proporcionalidad y esto se traduce en que no tratemos los datos de nuestros usuarios quebrantando el principio de información antes mencionado; esto es, que no tratemos los datos del usuario para fines adicionales respecto de los que haya sido informado o bien, extralimitándose respecto de lo que se le haya dicho. Todo tratamiento de datos personales debe ser adecuado, proporcional y pertinente.
La finalidad de todo ello, como decíamos antes, consiste en asegurarse que todo tratamiento de datos es lógico, en definitiva; es para respetar los datos de los demás, evitar abusos por parte de quién no corresponde y garantizar una transparencia en dicho tratamiento, entre otros motivos. Por eso es importante indicar quién recaba los datos y dónde podemos dirigirnos para cualquier cosa relativa a nuestros datos.
Cómo cumplir con la normativa
El cumplimiento de la normativa de protección de datos no solo se lleva a cabo con las medidas antes mencionadas, esto es, disponiendo de los formularios para la recogida de datos y aplicando los principios sino que la ley exige que además, llevemos a cabo los siguientes pasos:
1. Declaremos los correspondientes ficheros ante la Agencia o Autoridad competente de protección de datos
Esto significa que debemos comunicar a la Agencia de Protección de Datos el tipo de fichero que tenemos; el tipo de datos que tratamos en cada uno de ellos y las medidas de seguridad que le aplicamos.
¿Por qué esta comunicación a la Agencia?
Porque esta entidad es la competente para resolver cualquier disputa que pudiera surgir respecto del tratamiento de datos efectuado por una entidad a una persona física (la ley de protección de datos solo aplica a las personas físicas, no jurídicas) e imponer incluso sanciones que van desde los 900 Euros hasta los 600.000 Euros, en la actualidad.
2. Dispongamos de los correspondientes documentos de seguridad a nivel interno
Estos documentos de seguridad son una especie de manuales que detallan también qué tipo de ficheros tenemos, los datos que tratamos y cómo lo hacemos.
Por ejemplo, podemos disponer de un fichero de clientes en el que recogemos datos relativos a su nombre y apellidos, DNI, cuenta bancaria o número de tarjeta, domicilio, si es un cliente y nos efectúa encargos habitualmente. En este documento de seguridad, lo que detallaríamos es donde almacenamos esa información; si lo hacemos solo físicamente (documentación en carpetas, por ejemplo, en armarios bajo llave) o si también almacenamos algo a nivel informático y cómo, detallando las medidas de seguridad informática que le aplicamos.
Este documento suele completarse con la adición de diferentes protocolos y modelos de documentos a tener en cuenta por la entidad como por ejemplo, el modelo de instancias para el ejercicio de los derechos ARCO antes citados; el modelo de contrato a tener en cuenta para trasladar las obligaciones y responsabilidad sobre el tratamiento de datos efectuados a las empresas o profesionales que nos presten un servicio y que para ello efectúen un tratamiento de nuestros datos o de los datos de los que somos responsables, conocidos por la ley como encargados de tratamiento… Por ejemplo, algunos casos claros de encargado suelen ser las gestorías que nos confeccionan las nóminas de la empresa; el proveedor de nuestra base de datos que necesita tener acceso para su mantenimiento o cualquier empresa que, para llevar a cabo el servicio que le hemos contratado, necesite tener acceso a nuestra información y aquella contenga datos personales.
Otros modelos importantes que complementan esta adecuación son los registros de incidencias, protocolos relativos a copias de seguridad, registros de accesos, en su caso; así como cualquier otro que pudiera complementar y necesitarse para nuestro día a día, como un modelo de autorización para el tratamiento de imágenes; o un modelo informativo conforme disponemos de cámaras de videovigilancia en nuestras instalaciones.
Los modelos antes mencionados no son los únicos así como tampoco son las únicas medidas a tener en cuenta y, por ello, es necesario que te asesores convenientemente sobre cómo cumplir con la normativa de protección de datos. Como ya hemos indicado, los riesgos por no hacerlo pueden suponer sanciones elevadas si se produce algún tipo de incidencia o pérdida de datos relativa a alguno de tus usuarios, trabajadores, clientes o colaboradores. Además, muchas veces, por desconocimiento, deberías tener en cuenta otras normas que son igualmente aplicables en tu negocio y que podrían contribuir en una mejora de la organización y producción – aunque no te lo parezca -.
Si estás pensando en adecuar tu empresa a la normativa de protección de datos y tienes dudas al respecto, te invitamos a que contactes con nuestro despacho. ¡Te atenderemos encantados!