07 Oct La protección de datos en las empresas
De un tiempo a esta parte, una de las cuestiones que más preocupa a los empresarios (o debería preocupar, a la vista de las cuantiosas multas a las que se exponen si no la cumplen) es la Ley de Protección de Datos, de obligado cumplimiento para todas ellas.
Las empresas son entidades que manejan datos de carácter personal y están obligadas a hacer buen uso de ellos y garantizar el derecho fundamental a su protección. La Ley Orgánica de Protección de Datos de Carácter Personal no contempla distinciones por tamaño, facturación o sector de actividad, de manera que tendremos las mismas obligaciones de protección de datos en nuestra pyme que una gran multinacional dentro del marco general que establece.
La adaptación a la ley y su cumplimiento exige un seguimiento constante y un esfuerzo continuado en el que hay un aspecto fundamental: la formación del empleado en materia de protección de datos de carácter personal debe ser constante y exquisita. La mayor parte de sanciones a las empresas se producen no ya por falta de documentos, sino por vulneración de los derechos de las personas físicas.
Si aún no hemos implantado el cumplimiento de los aspectos jurídicos de protección de datos en nuestra pyme, estamos tardando. En principio, debemos tener en cuenta al menos los aspectos que vamos a detallar a continuación:
1) Inscripción de ficheros: todos los ficheros de los que disponga la empresa deben estar inscritos en el Registro de Protección de Datos. El empresario debe notificar telemáticamente su existencia a la Agencia Española de Protección de Datos. Una vez comprobado que la notificación cumple todos los requisitos se remitirá al empresario el código de inscripción.
2) Calidad de los datos: este principio, recogido en el artículo 4 de la LOPD, requiere que el empresario debe diseñar un proceso de recogida, tratamiento y almacenamiento de los datos que le permita dar cumplimiento a todas las reglas que lo componen. Por ejemplo no utilizar medios fraudulentos o desleales a la hora de la recogida, utilizarlos sólo para finalidades compatibles con la que originó su recogida, mantenerlos exactos y actualizados, cancelarlos cuando hayan dejado de ser necesarios para la finalidad que originó su recogida y almacenarlos de manera que el titular pueda ejercer su derecho al acceso o cancelación cuando considere oportuno.
3) Deber de información: el principio denominado “consentimiento del afectado”, recogido en el artículo 6 de la LOPD limita la utilización de los datos a aquellos casos en los que se disponga del consentimiento explícito del titular, salvo en las excepciones legalmente previstas. Por ello debemos tener muy claro cuándo este consentimiento es necesario y obtenerlo legalmente, con una manifestación de voluntad libre, inequívoca, específica e informada.
4) Datos especialmente protegidos: son los referidos a ideología, afiliación sindical, religión o creencias, o aquellos que hagan referencia al origen racial, la salud y la vida sexual. El empresario no puede obligar al ciudadano a declarar estos datos y en caso de pedirle el consentimiento para tratarlos, debe informarle de su derecho a no darlo. Los ficheros en los que se encuentren recogidos estos datos deben estar protegidos con medidas de seguridad de nivel alto.
5) Seguridad de los datos: la empresa debe adoptar todas las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos y eviten su alteración, pérdida, acceso o tratamiento no autorizados.
6) Deber de secreto: el empresario está obligado a guardar secreto profesional sobre los datos guardados y a mantener la confidencialidad dentro de su empresa aun después de finalizar la relación con el titular de los datos. Es conveniente, en este punto, elaborar los contratos, cláusulas y procedimientos que le permitan dar a conocer a sus empleados y colaboradores su deber de secreto y las consecuencias que acarrearía su incumplimiento.
7) Comunicación de datos: para entregar los datos a terceros, ya sea otra persona, empresa o entidad, para que los trate por su cuenta y riesgo debe hacerlo aplicando los principios recogidos en el artículo 11 de la LOPD, teniendo en cuenta que sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y con consentimiento del interesado.
8) Ejercicio de los derechos ARCO: la empresa debe facilitar a los ciudadanos los denominados derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), para lo que deberá diseñar e implantar los formularios y procedimientos adecuados. Además, es fundamental que los empleados se encuentren capacitados para atender al ciudadano en el ejercicio de su derecho.
Nuestra recomendación es, como siempre, que recurramos al asesoramiento de empresas y profesionales especializados en materia de protección de datos, que nos ayudarán a analizar las necesidades de nuestra empresa y nos acompañarán en la implantación de las medidas necesarias, así como en la formación de nuestro personal.
Imagen: Fotolia
¿Estás al día en materia de protección de datos? ¿Tienes alguna duda? Compártela con nosotros utilizando este formulario. Y si te ha gustado esta entrada, compártela en tus redes sociales o vía email con tus contactos.
