Normalizar el cumplimiento de la Ley de Protección de Datos

27 febrero, 2020
Normalizar el cumplimiento de la Ley de Protección de Datos

Adaptarse a la normativa de la LOPD es una obligación que se debe ir asumiendo paulatinamente por todo el entramado empresarial, especialmente, pero también por todos los organismos, públicos y privados, asociaciones, clubs deportivos, Universidades, colegios, centros de estudios, hospitales, etc. Nuestros datos circulan por cientos de redes y se anclan en miles de ficheros, con más o menos seguridad. La necesidad de implantar, si no se ha hecho ya, un sistema de gestión de datos personales que cumpla con la normativa vigente es una prioridad incuestionable para cualquier entidad que maneje datos sensibles de los ciudadanos.

Según Preámbulo I de la Ley Orgánica 3/2018 de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, “La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental protegido por el artículo 18.4 de la Constitución española.” Con este reconocimiento, nuestra Constitución ya legitima este derecho fundamental a la protección de datos personales cuando dispuso que “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”, haciéndose eco de las pocas disposiciones legales ya adoptadas en países de nuestro entorno y de algunos trabajos desarrollados por el Consejo de Europa desde finales de los años 60 del siglo pasado. En sentencia 94/1998, el Tribunal Constitucional señala expresamente el derecho fundamental a la protección de datos por el que se garantiza a la persona el control sobre los mismos, cualesquiera que sean, y sobre su destino y usos, para impedir su tráfico ilícito o el menoscabo de la dignidad y los derechos de los propietarios de esos datos. Así pues, el derecho a la protección de datos se configura como la facultad del ciudadano a oponerse a que ciertos datos personales se utilicen con finalidad distinta a la que justificó su obtención.

Seguro que todo esto nos suena, han ocurrido acontecimientos muy recientes, con muy mal final en algunos casos, en los que la utilización ilícita de datos personales por terceros, sin el permiso del propietario de estos datos o imágenes, y su tráfico y recirculación en redes sociales, ha tenido consecuencias devastadoras, a todos los niveles, familiar, laboral, de salud física y psicológica, o económicas cuando lo que se pretende es una extorsión.

Las PYMES y la Ley de Protección de Datos

Los datos se han convertido en un importante activo para los negocios, y, dado el volumen de datos que circulan en diferentes compañías, la UE decidió que había que tomar el control. En los últimos años se han puesto en marcha diversas normas que limitan el uso de nuestros datos, y que sepamos en todo momento en poder de quién están y para qué usos. En 2016 entró en vigor el Reglamento General de Protección de Datos RGPD, de obligado cumplimiento en España desde el 25 de mayo de 2018, estableciéndose multas y sanciones para su incumplimiento. Este nuevo panorama afecta directamente a las empresas, que deben adaptarse a la nueva normativa y a su estricto cumplimiento. Después de este plazo de carencia de dos años que se dispuso para que las empresas, entidades públicas y organizaciones se adaptasen a los nuevos procedimientos legales para gestionar la información, aún existen lagunas y limbos en los que no se han implantado estas normas, lo que les puede ocasionar un problema legal o una multa en el momento menos pensado. A grandes rasgos, deberían comenzar por establecer y cumplir con unas premisas que son:

-Cumplir con el deber de información, informando a los titulares de los datos de: Responsable del tratamiento, finalidad de estos datos, si hay cesiones a terceros, e informar de una dirección postal o electrónica donde el titular pueda ejercer sus derechos de acceso, rectificación, cancelación y oposición.

Consentimiento explícito por el titular. Normalmente si se trata de clientes de una empresa, o de usuarios o posibles clientes, o para permitir que les envíen publicidad, deberán rellenar y firmar un formulario.

-Registro de actividades de tratamiento, efectuadas por cada responsable y encargado del tratamiento de datos.

-Realización de un análisis de riesgos y adoptar las medidas de seguridad. Básicamente se trata de garantizar la confidencialidad, integridad y disponibilidad de los datos personales, nivel de riesgo del entorno de tratamiento y almacenamiento de la información manejada.

-Valorar si los responsables de los datos ofrecen garantías. RGPD define la relación y obligaciones del responsable de los datos y del encargado de los mismos, qué tipo de relación contractual debe vincularlos.

-Comunicar los incidentes de seguridad que se produzcan. Nos referimos a los ciberataques que son cada vez más frecuentes, y si ocurren según el RGPD se debe comunicar lo antes posible a la autoridad competente, que sería en el caso de la protección de datos la Agencia Española de Protección de Datos. Deben estar establecidos claramente los procedimientos en cuanto a brechas en la Seguridad de los datos.

-Designación de un responsable de Protección de Datos. Aunque no es obligatorio según el Reglamento, sí es conveniente tener un responsable o coordinador, de manera voluntaria, que gestione adecuadamente la adaptación y cumplimiento de las medidas establecidas en el mismo.

Si como gerente o administrador de una PYME consideras que tu empresa aún no está plenamente adaptada a la nueva situación del RGPD, nuestro consejo es que solicites información en Dposa Consulting empresarial de Madrid, ellos te podrán ayudar a cumplir con tus obligaciones legales –la nueva normativa europea RGPD entre otras cuestiones-, para que tu empresa sea más rentable, y para que tus clientes y la sociedad en general consideren tu organización como útil y valiosa. El trabajo codo con codo con el cliente les permite abordar conjuntamente obligaciones y normativas, procesos de cambio o planes de mejora, siempre desde una perspectiva empresarial, minimizando costes y superando los desafíos que se presenten. Dposa es consultoría de empresas y también empresa de protección de datos en Madrid, y trabaja con un cliente tipo de alrededor de 90 empleados, aunque también con clientes desde 3 y hasta de más de 250 trabajadores.