5 Requisitos para cumplir con la Ley de Protección de datos (LOPD)

Si captas, gestionas o almacenas datos personales de otros, debes asegurarte de cumplir con la LOPD o también conocida como la Ley de Protección de Datos.

Pueda que creas que no lo necesitas y que, dado el tamaño de tu negocio, no supone ningún riesgo mantenerte al margen de este requisito legal. Esa creencia puede generarte muchas complicaciones y privarte de muchos otros beneficios que necesitas conocer sobre la LOPD.

El origen y sentido de la LOPD

Quiero que pienses un minuto en lo que sigue.

En 1986, solo el 1% de la información estaba digitalizada, la posibilidad de ver comprometida la información de un negocio pequeño era casi inexistente y la posibilidad de que se utilizara esa información para finalidades que pudieran ser contrarias a los intereses de los afectados, muy remota.

Hoy, los nuevos entornos digitales suponen un flujo masivo y constante de datos personales que comprometen seriamente su confidencialidad, sin entrar en toda la ingeniería social desplegada para vampirizar esos datos y hacer negocio del tráfico de datos.

En el 86, los soportes que almacenaban tus datos eran escasos, ahora tu información está infinitamente mas expuesta, tanto como tu privacidad. Si  ya nos saturan con publicidad intrusiva, imagina como sería tu vida si la LOPD no prohibiera el envío de comunicaciones comerciales sin consentimiento, si cualquiera pudiera utilizar tu información personal como le venga en gana.

Los riesgos y amenazas también se han multiplicado y no puedes pensar que puedes gestionar información personal como el lechero de la libreta y el lápiz en la oreja.

¿Es un poco ingenuo no crees?

Tampoco puedes pensar que esos datos que gestionas  te pertenecen y por tanto, puedes hacer con ellos lo que te dicte la inspiración o el bolsillo, una creencia bastante común y tanto que hace poco un “guru blogger” muy conocido proponía a sus seguidores vender los leads que no habían sido convertidos, un consejo divorciado de la legalidad, pero si no conoces la LOPD, es posible que metas la pata hasta el fondo, vamos, que la sanción no te la pagará el ingenioso blogger.

Debes saber que tú solo eres responsable de almacenarlos, gestionarlos y garantizar su confidencialidad, la soberanía de la información personal le pertenece solo al titular de esos datos. No olvides esto.

La Ley de Protección de datos ¿solo un requisito legal?

Lo primero que debes saber es que estamos hablando de algo muy concreto y nada marciano:

La protección de los datos de carácter personal de los ciudadanos como tú y como yo. Un derecho fundamental que todos deberíamos defender.

Quizás te resulte algo abstracto, pero se trata del derecho al honor, la intimidad personal, y la propia imagen de las personas físicas.

El objetivo de la LOPD es que cada persona pueda:

  • Decidir sobre el uso y destino de la información que le pertenece.
  • Decidir a quien y qué información personal quiere suministrar.
  • Decidir hasta cuando pueden utilizar sus datos.
  • Permitir a cada persona acceder, rectificar, oponerse o cancelar su información personal.

Esto amigo es autodeterminación informativa y si ya abusan de nuestra confianza, imagina lo que pasaría de no existir una regulación que lo prohíbe.

El derecho a la protección de datos se traduce en responsabilidades y obligaciones para todos los que traten este tipo de información y que deben garantizar estos derechos.

Pero es mucho más que un requisito, es un compromiso ético que estableces con todas las personas relacionadas con tu negocio y que depositan su confianza en ti.

Para eso, debes conocer esos derechos y adquirir hábitos de trabajo que los respeten, marcarás una distancia competitiva enorme y podrás obtener un potente factor de diferenciación.

¿Es obligatorio cumplir con la LOPD?

Definitivamente sí.

El derecho a la protección de datos fue regulado por la legislación española mediante la L.O. 15/1999 (LOPD) y una serie de normas que la desarrollan y complementan, que establecen toda una serie de medidas de obligado cumplimiento para aquellas entidades o profesionales que, en el ejercicio de su actividad, sometan a tratamiento este tipo de datos de carácter personal.

Básicamente, todo aquel que en su negocio necesite tratar con datos personales de otros.

Por ejemplo:

  • Si gestionas un blog con lista de suscripciones.
  • Si ofreces algún producto o servicio que signifique tratar con información de clientes.
  • Si tienes empleados o colaboradores.
  • Si tienes proveedores.
  • Si tienes alumnos.
  • Etc.

Toda esa información  conforman diferentes  ficheros de datos personales y  están bajo tu responsabilidad. El RD 1720/2007, Reglamento de desarrollo de la LOPD, o RDLOPD, desarrolla los principios y obligaciones dispuestos en la LOPD que debes asumir.

 

¿Qué pasa si no adaptas tu negocio a la LOPD?

  • En primer lugar, serás mucho menos competitivo.
  • En segundo lugar, tu negocio será mucho mas vulnerable a ataques y brechas de seguridad.
  • En tercer lugar, te expones a sanciones inasumibles.

A mí no me gusta nada hablar de sanciones, y desde luego, huyo del discurso del miedo,  pero lo cierto es que la Ley impone sanciones económicas muy elevadas a las empresas privadas (sanciones que pueden llegar – sólo por una infracción – hasta los 600.000 euros)

Una metedura de pata con la Ley Orgánica de Protección de datos (LOPD) puede salir muy cara, en términos económicos y reputacionales, si actúas de forma indolente y despreocupada. Consulta el régimen sancionador si quieres comprobarlo.

Y se mete la pata continuamente si no sabes operar bajo la LOPD o sigues las recomendaciones del lumbreras de turno que te “inspira” para ser un infractor vendiendo tus leads.

¿Qué hay que hacer para cumplir con la Ley de Protección de datos?

Adecuar tu negocio a la LOPD significa esencialmente:

  1. No comprometer la privacidad de las personas relacionadas con tu negocio.
  2. Garantizar todos los derechos de estas personas  respecto a su propia información personal.

Es  mucho más que una mera  formalidad:

Es dejar evidencias claras e inequívocas de un trato responsable y seguro de esa información, que repercute de manera decisiva en la imagen que proyectas y en la confianza que generas.

Y esto es decisivo en una economía digital, es la clave y la llave del éxito con un doble beneficio:

  • Multiplicas tu credibilidad y proyectas confianza.
  • Proteges la seguridad interna de tu negocio y tu principal activo: los datos de clientes.

Y por supuesto, evitas ser lesionado con sanciones que difícilmente puedas asumir y que pueden torpedear mortalmente a tu reputación.

ley de protección de datos

1º  Requisito: La Inscripción

Si te crees “cumplidor” por haber inscrito los ficheros, estás a punto de comprobar lo lejos que estás de “cumplir con la LOPD”

Es solo el primer paso: todo negocio que maneje ficheros con datos personales debe comunicarlos en la AEPD (Agencia Española de Protección de Datos)

inscripción fichero

Es una gestión inicial ciertamente muy relevante porque es la manera más sencilla de pillar a los infractores, basta saber el nombre de tu empresa o el tuyo si eres autónomo y ¡tacham! te han pillado  Compruébalo tú mismo aquí mismo

Además, al ser un requisito obligatorio, el no hacerlo es en sí mismo una infracción que la AEPD describe así:

Régimen sancionador:
La falta de colaboración está considerada como infracción según el artículo 44 de la LOPD, conforme a los siguientes tipos:

Como infracción leve

  • No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo.
  • No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos.

Si no has cumplido el primero y más elemental de los requisitos ¿Que será del resto?

Aprende como realizar la inscripción en la AEPD paso a paso

2º Requisito: Calidad, Información y Consentimiento.

Tres requisitos fundamentales para tratar datos personales, para eso debes analizar como recoges, almacenas y gestionas la información de carácter personal en tu negocio, los soportes que utilizas, las medidas de seguridad que aplicas.

Calidad

Los datos que recojas deben ser adecuados, pertinentes y no excesivos para la finalidad de la recogida.

Debes garantizar además la integridad de esos datos, esto significa que deberás incluir medidas de seguridad adecuadas para que no sufra daños y siempre esté disponible.

Por eso es imprescindible analizar la calidad de los datos que gestionas, como han sido adquiridos y determinar la legalidad o ilegalidad de esos registros para ser tratados, y en esto entran en juego esas bases de datos compradas, los registros recolectados aquí y allá, los datos de clientes que se marchan con los empleados, las que se intercambian con colaboradores, etc.

No son pocas las sanciones que se imponen por utilizar bases de datos compradas para prospección, así que cuidado con eso.

Información

Siempre que recojas información personal para el tratamiento por parte de tu negocio, deberás informar: tu identidad, la finalidad de la información recogida, los derechos que le asisten al afectado.

En el caso de una web, en cada formulario debes incluir cláusulas informativas claras para que tus usuarios sepan quien es el responsable de esa recogida, como vas a utilizar esos datos, como pueden cancelar sus datos o como pueden oponerse al tratamiento.

Lo mismo si organizas un webinar, en el formulario de inscripción debes añadir siempre una cláusula informativa y si pretendes incluir a los inscritos en tu lista de suscripción, no olvides advertirlo y con mas razón si se va a utilizar ese  registro en varias listas diferentes, una práctica común en el mundo blogging: nos juntamos 4, organizamos un webinar y esas inscripciones se incluyen en 4 listas diferentes. Debes advertirlo claramente antes de que los alumnos formalicen su inscripción.

Es lo que indica la Ley, pero fundamentalmente el sentido común, se honesto y respetuoso con tus usuarios.

Forma parte de una cultura de transparencia, esencial en entornos digitales.

Consentimiento

Ligado a la información está el consentimiento.

Deberás crear mecanismos y procedimientos adecuados para obtener el consentimiento de las personas cuyos datos pretendas gestionar, hay algunas excepciones, pero por norma, si no tienes permiso no puedes tratar datos personales de otros.

Volviendo al ejemplo anterior del webinar: primero informas, luego le pides su conformidad para incluirlo en tu lista o listas de suscripción. Solo bajo esa premisa ese tratamiento será legal, de lo contrario, puede que recibas un expediente y el descrédito profesional.

A nadie le gusta que nos traten como alelados.

Este principio también  te obliga a descartar la compra de bases de datos o leads para campañas de email marketing,  otra práctica absurdamente frecuente que puede ponerte en un brete legal.

Justamente, mientras escribía este post, recibí el siguiente correo por parte de una conocida inmobiliaria con la que jamás tuve relación:

Por favor, consulte el documento que he subido para usted, utilizando Google docs. Haga clic (he suprimido el enlace) Solo tienes que registrarte con tu email para ver el documento es muy importante”

Este es uno de esos correos que rompen todas las reglas de la LOPD y de la LSSI (Ley de la Sociedad de la Información), ni requerido, ni autorizado ni consentido, me requieren que facilite mis datos sin advertirme previamente sobre cómo habían sido obtenidos mis datos, la finalidad de su tratamiento y mis derechos sobre los mismos. Tampoco me brindaba mecanismo para oponerme a nuevas comunicaciones comerciales.

Mercancía clara para la Agencia Española de Protección de datos.

No cometas estos errores, no expongas tu negocio como “el lumbreras de marras”.

¿Cómo?

1.- No enviando jamás información comercial a personas o empresas que no hayan consentido, autorizado o requerido esa información.

2.- Informando previamente a través de cláusulas, avisos y textos adecuados a la finalidad del tratamiento, por ejemplo:

  • Cláusulas para contratos: contratos con proveedores, trabajadores, colaboradores y cualquier acción en que pueda existir datos personales.
  • Cláusulas para formularios de suscripción, contacto, inscripción cursos/webinar, campañas de  fidelización, encuestas, captación, etc.

3º Requisito: Establecer el procedimiento para dar satisfacción a los derechos de acceso, rectificación, cancelación, y oposición a los afectados

Como te expliqué, somos soberanos de nuestra propia información y como tales, tenemos derechos a decidir sobre ella, esto significa el derecho a acceder, rectificar, cancelar u oponernos a que se traten nuestros datos.

Son derechos que cualquier persona relacionada con tu negocio te puede pedir ejercer en cualquier momento, es la manera mas sencilla de pillarte.

¿Sabrás cómo hacerlo?

Aquí te dejo un enlace para que sepas que significa cada uno de los derechos ARCO y como permitir el ejercicio.

También tienes que tener desarrolladas Políticas destinadas a atender estos derechos, y los procedimientos de respuesta, tanto vía Web como offline.

4º Requisito:Blindar las relaciones con terceros con quienes compartas datos.

Como responsable de ficheros de datos personales, debes asegurarte que las personas o empresas con quienes colaboras y que tienen acceso a estos ficheros, cumplan también con los requisitos para garantizar todos los principios de la LOPD.

Para ello, es imprescindible que regules las condiciones de este acceso y tratamiento de los datos compartidos.

Adecuar tu negocio a LOPD significa también  firmar contratos de encargo de tratamiento que regulen estos accesos, las condiciones y medidas de seguridad que deberán adecuar estos terceros para garantizar con los principios de calidad y confidencialidad.

Por eso, debes analizar todas tus relaciones con colaboradores externos que tengan acceso a información de clientes o empleados (gestoría, empresa que gestiona el servidor, webmaster y todo personal externo que pueda tener acceso a información de usuarios,  clientes, empleados, etc.)

En sentido práctico, si no existiera el contrato y se produce alguna infracción por parte del tercero, tu serías también responsable de la infracción por no haber advertido ni exigido a tus colaboradores el cumplimiento de la LOPD.

Este requisito es realmente importante para ti, no puedes cometer la torpeza de pensar que nadie cometerá un error y basarte solo en el factor confianza. Cúbrete las espaldas, cuando vengan los problemas, agradecerás haber firmado ese contrato, será tu mejor defensa.

Importante: no es lo mismo regular el acceso a terceros con acceso a datos que la comunicación o cesión de datos. Aquí los requisitos son diferentes.

5º requisito: redactar un documento de seguridad

La Organización “elaborará e implantará la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información”.

Siendo honestos, hay una escasa cultura ligada a la seguridad en la mayoría de los negocios, en especial en los pequeños.

Actuamos con despreocupación y grandes dosis de ingenuidad y luego a lamentarse cuando ya hay poco que podamos hacer para reparar el daño.

El documento de seguridad no es otra cosa que un plan de contingencias, se trata de valorar el tipo de información que gestionas, analizar el flujo de datos, detectar los puntos críticos y reforzar la seguridad interna de tu negocio.

¿No te parece imprescindible?

Ese documento será tu guía para incorporar procedimientos seguros, mejorar tu operativa interna, evitar brechas de seguridad y tener un plan de contingencias en caso de que se produzcan.

¿No se trata del activo más valioso de tu negocio?

¿Qué te hace pensar que no debes protegerlo?

En función del nivel de seguridad que requieran los datos de tu negocio, vas a tener que definir aspectos como:

Medidas relativas a la información de funciones y obligaciones del personal, creación de procedimientos de notificación y registro de incidencias, medidas de control de acceso de los usuarios, el nombramiento de un Responsable de Seguridad, entre otras que establece el Título VIII del RD 1720/2007.

Recuerda que el documento de seguridad es un instrumento para que tu negocio pueda garantizar uno de los pilares básicos de la LOPD, como el deber de secreto.

También es una gran herramienta para mejorar tu gestión interna e incrementar tu eficiencia.

Créeme si te digo que al finalizar una implantación LOPD, casi la totalidad de mis clientes descubren las grietas y puntos críticos que presentaba su operativa y se llevan la manos a la cabeza, de allí la importancia de una adecuación profesional y rigurosa.

Conclusión

A este paso, ya habrás descubierto que implantar la Ley Orgánica de Protección de datos o LOPD en tu negocio es mucho más que cumplir con una simple formalidad.

Se trata de incorporar garantías y profesionalizar la gestión de la información. No es tampoco un trámite como la declaración del IRPF, es asumir una cultura de trabajo ligada a la calidad, a la seguridad, a la ética y al compromiso con la información de los demás.

Se trata de implantar sistemas eficaces, que impliquen a todos los empleados, colaboradores, o terceros que utilizan los datos de los que tú eres responsable.

La LOPD es la herramienta esencial en la era de la información, desconocerla o descuidarla, es mantenerte al margen del avance de una nueva cultura emergente que premiará a quienes mejor sepan gestionar los datos y aporten mayores garantías y por contrapartida, penalizará duramente a quienes no lo hagan.

Y vaya si lo hace…

¿Crees que es importante cumplir la Ley de Protección de datos?

¿Consideras que es difícil cumplir todos los requisitos de la LOPD?

Si te ha gustado el post, puedes compartirlo con un amigo/a.