Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) y los cambios en la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) en 2018, todas las empresas tienen la obligación legal inexcusable de informar a sus clientes sobre la gestión de datos. No hacerlo es motivo de fuertes sanciones por parte de la Agencia Española de Protección de Datos (AEPD). Como expertos en este ámbito, te hablaremos de estas normas, además de ofrecerte algunos ejemplos de multas impuestas por este organismo.
Normas de protección de datos personales en España
La LOPDGDD es una normativa muy exigente en cuanto al tratamiento de los datos personales. Mucho más que la LOPD de 1999, que estuvo en vigor hasta 2018. En este sentido, establece distintos niveles de seguridad en función de la sensibilidad de la información recopilada, que han de ser aplicados tanto por personas físicas como por empresas y organismos públicos y privados.
En concreto, las normas de gestión de datos a aplicar según la LOPDGDD son:
- Solo puedes recoger datos que sean necesarios para cumplir con la función para la cual los has obtenido. Es decir, si un cliente te aporta su dirección para que le hagas un envío, luego no tienes la posibilidad de usarla para enviarle publicidad.
- Has de informar al cliente qué datos recopilarás, para qué los emplearás y cómo es posible rectificarlos o cancelarlos. En este sentido, debes poner a su disposición un medio de contacto.
- Para tratar sus datos, requerirás el consentimiento explícito del cliente. Lo podrá revocar si alega una causa justificada.
- No puedes pedir a tus clientes información sensible (creencias religiosas e ideológicas, identidad sexual, etc.) salvo que sea estrictamente necesario.
- La persona que gestione el fichero de datos está obligada al secreto profesional. Este se mantiene incluso cuando la información recopilada es eliminada. No olvides que es necesario que sigas unas directrices para llevar a cabo el borrado seguro de datos.
- Si quieres ceder los datos a un tercero, el consentimiento previo del cliente es indispensable.
- Debes tomar todas las medidas de seguridad necesarias para evitar las pérdidas, alteraciones y accesos no autorizados a la información personal. Esto es especialmente importante en el entorno online.
Ejemplos de sanciones relacionadas con la gestión de datos
A estas alturas, la AEPD ha impuesto miles de sanciones a empresas que no cumplen con una o varias de las normas que hemos citado anteriormente. Es el caso, por ejemplo, de la clienta de una inmobiliaria que, en septiembre de 2001, hizo una reclamación ante este organismo. ¿El motivo? Al realizar la reserva para comprar una vivienda, no fue informada acerca del tratamiento de sus datos ni se le ofreció ningún documento al respecto. El resultado fueron 5000 € de multa.
Por su parte, Más Móvil recibió 12 000 € de multa por no procesar la solicitud de dos clientes que habían ejercido su derecho de oposición al tratamiento de sus datos. El propósito era no recibir más llamadas comerciales. Asimismo, Iberdrola sufrió una sanción de 40 001 € por no tomar las medidas suficientes para impedir el acceso no autorizado a la cuenta de sus clientes.
En definitiva, si no quieres sufrir una sanción como cualquiera de las expuestas anteriormente, realiza correctamente la gestión de datos de tus clientes.