No es reciente (1999) la publicación de una ley conocida por los empresarios como LOPD, siglas que responden a Ley Orgánica de Protección de Datos de Carácter Personal. Por norma general, los empresarios han oído hablar de esta ley, pero incluso 17 años después de su publicación no siempre se tienen claros los requisitos que deben cumplirse, por lo cual se hacen necesarios posts como este que ayuden a los empresarios a clarificar qué tipo de actuaciones deben poner en marcha en sus compañías para dar cumplimiento a esta normativa.
Lo primero que hay que tener en cuenta es abandonar la falsa hipótesis que reza que la LOPD solo afecta a empresas con un alto contenido tecnológico y un uso intensivo de la informática. Esto se debe a que la LOPD tiende a ser conocida como una disposición más dentro del complejo llamado Derecho de las nuevas tecnologías, donde convive con la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE).
En consecuencia, debe aclararse en este contexto que la LOPD afecta a cualquier profesional y/o empresa, independientemente de su tamaño, sector de actividad y uso que haga de Internet y/o de soluciones informáticas.
Para dar cumplimiento a la LOPD, deben ponerse en marcha una serie de actuaciones, normas, formularios, cláusulas y procedimientos que permitan asegurar el correcto tratamiento de los datos de carácter personal, teniendo claro que la forma de cumplir con la ley será distinta para cada empresa. De suerte que los principales requisitos de obligatorio cumplimiento pueden resumirse de la siguiente forma:
– Inscripción de ficheros en la Agencia Española de Protección de Datos (AEPD).
– Disponer del llamado documento de seguridad en el que se detalle cómo se da cumplimiento a a las medidas de seguridad necesarias para cumplir con la ley.
– Firmar contratos con las terceras partes a las que les sean encargados trabajos en los que se necesiten acceder a datos de carácter personal.
– Tener acuerdos de confidencialidad con empleados.
– Redactar el aviso legal de cada página web.
– Conocer y dar cumplimiento a los derechos ARCO (acceso, rectificación, cancelación y oposición).
– Realizar una auditoría bianual en empresas que dispongan de datos de nivel medio y/o alto.
– Disponer de un procedimiento que asegure la adecuada recogida y tratamiento de datos, teniendo en cuenta que solo se pueden recoger y almacenar, tras consentimiento inequívoco del afectado, los datos estrictamente necesarios, asegurando que solo se usan para el fin para el que se recogieron.
– Implantar medidas para asegurar que los datos de los que se disponga no se dañen y estén disponibles cuando se necesiten, evitando que accedan a las mismas personas ajenas a la compañía con las que no se tengan firmados acuerdos de confidencialidad.
– Cumplir con el deber de secreto respecto a los datos personales de los que se disponga.
Debido a la complejidad de algunos de estos requisitos se recomienda a las empresas que recaben el apoyo de una consultoría de protección de datos que les asegure la idoneidad de las medidas implementadas y, por tanto, el cumplimiento de esta ley, evitando posibles sanciones que pueden llegar a superar los 600 000 €.?
