Índice de Contenidos
- 1 5 Requisitos para cumplir con la Ley de Protección de datos (LOPD)
- 2 El origen y sentido de la LOPD
- 3 La Ley de Protección de datos ¿solo un requisito legal?
- 4 ¿Es obligatorio cumplir con la LOPD?
- 5 ¿Qué pasa si no adaptas tu negocio a la LOPD?
- 6 ¿Qué hay que hacer para cumplir con la Ley de Protección de datos?
- 7 Conclusión
5 Requisitos para cumplir con la Ley de Protección de datos (LOPD)
Si captas, gestionas o almacenas datos personales de otros, debes asegurarte de cumplir con la LOPD o también conocida como la Ley de Protección de Datos.
Pueda que creas que no lo necesitas y que, dado el tamaño de tu negocio, no supone ningún riesgo mantenerte al margen de este requisito legal. Esa creencia puede generarte muchas complicaciones y privarte de muchos otros beneficios que necesitas conocer sobre la LOPD.
El origen y sentido de la LOPD
Quiero que pienses un minuto en lo que sigue.
En 1986, solo el 1% de la información estaba digitalizada, la posibilidad de ver comprometida la información de un negocio pequeño era casi inexistente y la posibilidad de que se utilizara esa información para finalidades que pudieran ser contrarias a los intereses de los afectados, muy remota.
Hoy, los nuevos entornos digitales suponen un flujo masivo y constante de datos personales que comprometen seriamente su confidencialidad, sin entrar en toda la ingeniería social desplegada para vampirizar esos datos y hacer negocio del tráfico de datos.
En el 86, los soportes que almacenaban tus datos eran escasos, ahora tu información está infinitamente mas expuesta, tanto como tu privacidad. Si ya nos saturan con publicidad intrusiva, imagina como sería tu vida si la LOPD no prohibiera el envío de comunicaciones comerciales sin consentimiento, si cualquiera pudiera utilizar tu información personal como le venga en gana.
Los riesgos y amenazas también se han multiplicado y no puedes pensar que puedes gestionar información personal como el lechero de la libreta y el lápiz en la oreja.
¿Es un poco ingenuo no crees?
Tampoco puedes pensar que esos datos que gestionas te pertenecen y por tanto, puedes hacer con ellos lo que te dicte la inspiración o el bolsillo, una creencia bastante común y tanto que hace poco un “guru blogger” muy conocido proponía a sus seguidores vender los leads que no habían sido convertidos, un consejo divorciado de la legalidad, pero si no conoces la LOPD, es posible que metas la pata hasta el fondo, vamos, que la sanción no te la pagará el ingenioso blogger.
Debes saber que tú solo eres responsable de almacenarlos, gestionarlos y garantizar su confidencialidad, la soberanía de la información personal le pertenece solo al titular de esos datos. No olvides esto.
La Ley de Protección de datos ¿solo un requisito legal?
Lo primero que debes saber es que estamos hablando de algo muy concreto y nada marciano:
La protección de los datos de carácter personal de los ciudadanos como tú y como yo. Un derecho fundamental que todos deberíamos defender.
Quizás te resulte algo abstracto, pero se trata del derecho al honor, la intimidad personal, y la propia imagen de las personas físicas.
El objetivo de la LOPD es que cada persona pueda:
- Decidir sobre el uso y destino de la información que le pertenece.
- Decidir a quien y qué información personal quiere suministrar.
- Decidir hasta cuando pueden utilizar sus datos.
- Permitir a cada persona acceder, rectificar, oponerse o cancelar su información personal.
Esto amigo es autodeterminación informativa y si ya abusan de nuestra confianza, imagina lo que pasaría de no existir una regulación que lo prohíbe.
El derecho a la protección de datos se traduce en responsabilidades y obligaciones para todos los que traten este tipo de información y que deben garantizar estos derechos.
Pero es mucho más que un requisito, es un compromiso ético que estableces con todas las personas relacionadas con tu negocio y que depositan su confianza en ti.
Para eso, debes conocer esos derechos y adquirir hábitos de trabajo que los respeten, marcarás una distancia competitiva enorme y podrás obtener un potente factor de diferenciación.
¿Es obligatorio cumplir con la LOPD?
Definitivamente sí.
El derecho a la protección de datos fue regulado por la legislación española mediante la L.O. 15/1999 (LOPD) y una serie de normas que la desarrollan y complementan, que establecen toda una serie de medidas de obligado cumplimiento para aquellas entidades o profesionales que, en el ejercicio de su actividad, sometan a tratamiento este tipo de datos de carácter personal.
Básicamente, todo aquel que en su negocio necesite tratar con datos personales de otros.
Por ejemplo:
- Si gestionas un blog con lista de suscripciones.
- Si ofreces algún producto o servicio que signifique tratar con información de clientes.
- Si tienes empleados o colaboradores.
- Si tienes proveedores.
- Si tienes alumnos.
- Etc.
Toda esa información conforman diferentes ficheros de datos personales y están bajo tu responsabilidad. El RD 1720/2007, Reglamento de desarrollo de la LOPD, o RDLOPD, desarrolla los principios y obligaciones dispuestos en la LOPD que debes asumir.
¿Qué pasa si no adaptas tu negocio a la LOPD?
- En primer lugar, serás mucho menos competitivo.
- En segundo lugar, tu negocio será mucho mas vulnerable a ataques y brechas de seguridad.
- En tercer lugar, te expones a sanciones inasumibles.
A mí no me gusta nada hablar de sanciones, y desde luego, huyo del discurso del miedo, pero lo cierto es que la Ley impone sanciones económicas muy elevadas a las empresas privadas (sanciones que pueden llegar – sólo por una infracción – hasta los 600.000 euros)
Una metedura de pata con la Ley Orgánica de Protección de datos (LOPD) puede salir muy cara, en términos económicos y reputacionales, si actúas de forma indolente y despreocupada. Consulta el régimen sancionador si quieres comprobarlo.
Y se mete la pata continuamente si no sabes operar bajo la LOPD o sigues las recomendaciones del lumbreras de turno que te “inspira” para ser un infractor vendiendo tus leads.
¿Qué hay que hacer para cumplir con la Ley de Protección de datos?
Adecuar tu negocio a la LOPD significa esencialmente:
- No comprometer la privacidad de las personas relacionadas con tu negocio.
- Garantizar todos los derechos de estas personas respecto a su propia información personal.
Es mucho más que una mera formalidad:
Es dejar evidencias claras e inequívocas de un trato responsable y seguro de esa información, que repercute de manera decisiva en la imagen que proyectas y en la confianza que generas.
Y esto es decisivo en una economía digital, es la clave y la llave del éxito con un doble beneficio:
- Multiplicas tu credibilidad y proyectas confianza.
- Proteges la seguridad interna de tu negocio y tu principal activo: los datos de clientes.
Y por supuesto, evitas ser lesionado con sanciones que difícilmente puedas asumir y que pueden torpedear mortalmente a tu reputación.
1º Requisito: La Inscripción
Si te crees “cumplidor” por haber inscrito los ficheros, estás a punto de comprobar lo lejos que estás de “cumplir con la LOPD”
Es solo el primer paso: todo negocio que maneje ficheros con datos personales debe comunicarlos en la AEPD (Agencia Española de Protección de Datos)
Es una gestión inicial ciertamente muy relevante porque es la manera más sencilla de pillar a los infractores, basta saber el nombre de tu empresa o el tuyo si eres autónomo y ¡tacham! te han pillado.
Además, al ser un requisito obligatorio, el no hacerlo es en sí mismo una infracción que la AEPD describe así:
Régimen sancionador:
La falta de colaboración está considerada como infracción según el artículo 44 de la LOPD, conforme a los siguientes tipos:
Como infracción leve
- No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo.
- No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos.
Si no has cumplido el primero y más elemental de los requisitos ¿Que será del resto?
2º Requisito: Calidad, Información y Consentimiento.
Tres requisitos fundamentales para tratar datos personales, para eso debes analizar como recoges, almacenas y gestionas la información de carácter personal en tu negocio, los soportes que utilizas, las medidas de seguridad que aplicas.
Calidad
Los datos que recojas deben ser adecuados, pertinentes y no excesivos para la finalidad de la recogida.
Debes garantizar además la integridad de esos datos, esto significa que deberás incluir medidas de seguridad adecuadas para que no sufra daños y siempre esté disponible.
Por eso es imprescindible analizar la calidad de los datos que gestionas, como han sido adquiridos y determinar la legalidad o ilegalidad de esos registros para ser tratados, y en esto entran en juego esas bases de datos compradas, los registros recolectados aquí y allá, los datos de clientes que se marchan con los empleados, las que se intercambian con colaboradores, etc.
No son pocas las sanciones que se imponen por utilizar bases de datos compradas para prospección, así que cuidado con eso.
Información
Siempre que recojas información personal para el tratamiento por parte de tu negocio, deberás informar: tu identidad, la finalidad de la información recogida, los derechos que le asisten al afectado.
En el caso de una web, en cada formulario debes incluir cláusulas informativas claras para que tus usuarios sepan quien es el responsable de esa recogida, como vas a utilizar esos datos, como pueden cancelar sus datos o como pueden oponerse al tratamiento.
Lo mismo si organizas un webinar, en el formulario de inscripción debes añadir siempre una cláusula informativa y si pretendes incluir a los inscritos en tu lista de suscripción, no olvides advertirlo y con mas razón si se va a utilizar ese registro en varias listas diferentes, una práctica común en el mundo blogging: nos juntamos 4, organizamos un webinar y esas inscripciones se incluyen en 4 listas diferentes. Debes advertirlo claramente antes de que los alumnos formalicen su inscripción.
Es lo que indica la Ley, pero fundamentalmente el sentido común, se honesto y respetuoso con tus usuarios.
Forma parte de una cultura de transparencia, esencial en entornos digitales.
Consentimiento
Ligado a la información está el consentimiento.
Deberás crear mecanismos y procedimientos adecuados para obtener el consentimiento de las personas cuyos datos pretendas gestionar, hay algunas excepciones, pero por norma, si no tienes permiso no puedes tratar datos personales de otros.
Volviendo al ejemplo anterior del webinar: primero informas, luego le pides su conformidad para incluirlo en tu lista o listas de suscripción. Solo bajo esa premisa ese tratamiento será legal, de lo contrario, puede que recibas un expediente y el descrédito profesional.
A nadie le gusta que nos traten como alelados.
Este principio también te obliga a descartar la compra de bases de datos o leads para campañas de email marketing, otra práctica absurdamente frecuente que puede ponerte en un brete legal.
Justamente, mientras escribía este post, recibí el siguiente correo por parte de una conocida inmobiliaria con la que jamás tuve relación:
“Por favor, consulte el documento que he subido para usted, utilizando Google docs. Haga clic (he suprimido el enlace) Solo tienes que registrarte con tu email para ver el documento es muy importante”
Este es uno de esos correos que rompen todas las reglas de la LOPD y de la LSSI (Ley de la Sociedad de la Información), ni requerido, ni autorizado ni consentido, me requieren que facilite mis datos sin advertirme previamente sobre cómo habían sido obtenidos mis datos, la finalidad de su tratamiento y mis derechos sobre los mismos. Tampoco me brindaba mecanismo para oponerme a nuevas comunicaciones comerciales.
Mercancía clara para la Agencia Española de Protección de datos.
No cometas estos errores, no expongas tu negocio como “el lumbreras de marras”.
¿Cómo?
1.- No enviando jamás información comercial a personas o empresas que no hayan consentido, autorizado o requerido esa información.
2.- Informando previamente a través de cláusulas, avisos y textos adecuados a la finalidad del tratamiento, por ejemplo:
- Cláusulas para contratos: contratos con proveedores, trabajadores, colaboradores y cualquier acción en que pueda existir datos personales.
- Cláusulas para formularios de suscripción, contacto, inscripción cursos/webinar, campañas de fidelización, encuestas, captación, etc.
3º Requisito: Establecer el procedimiento para dar satisfacción a los derechos de acceso, rectificación, cancelación, y oposición a los afectados
Como te expliqué, somos soberanos de nuestra propia información y como tales, tenemos derechos a decidir sobre ella, esto significa el derecho a acceder, rectificar, cancelar u oponernos a que se traten nuestros datos.
Son derechos que cualquier persona relacionada con tu negocio te puede pedir ejercer en cualquier momento, es la manera mas sencilla de pillarte.
¿Sabrás cómo hacerlo?
Aquí te dejo un enlace para que sepas que significa cada uno de los derechos ARCO y como permitir el ejercicio.
También tienes que tener desarrolladas Políticas destinadas a atender estos derechos, y los procedimientos de respuesta, tanto vía Web como offline.
4º Requisito:Blindar las relaciones con terceros con quienes compartas datos.
Como responsable de ficheros de datos personales, debes asegurarte que las personas o empresas con quienes colaboras y que tienen acceso a estos ficheros, cumplan también con los requisitos para garantizar todos los principios de la LOPD.
Para ello, es imprescindible que regules las condiciones de este acceso y tratamiento de los datos compartidos.
Adecuar tu negocio a LOPD significa también firmar contratos de encargo de tratamiento que regulen estos accesos, las condiciones y medidas de seguridad que deberán adecuar estos terceros para garantizar con los principios de calidad y confidencialidad.
Por eso, debes analizar todas tus relaciones con colaboradores externos que tengan acceso a información de clientes o empleados (gestoría, empresa que gestiona el servidor, webmaster y todo personal externo que pueda tener acceso a información de usuarios, clientes, empleados, etc.)
En sentido práctico, si no existiera el contrato y se produce alguna infracción por parte del tercero, tu serías también responsable de la infracción por no haber advertido ni exigido a tus colaboradores el cumplimiento de la LOPD.
Este requisito es realmente importante para ti, no puedes cometer la torpeza de pensar que nadie cometerá un error y basarte solo en el factor confianza. Cúbrete las espaldas, cuando vengan los problemas, agradecerás haber firmado ese contrato, será tu mejor defensa.
Importante: no es lo mismo regular el acceso a terceros con acceso a datos que la comunicación o cesión de datos. Aquí los requisitos son diferentes.
5º requisito: redactar un documento de seguridad
La Organización “elaborará e implantará la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información”.
Siendo honestos, hay una escasa cultura ligada a la seguridad en la mayoría de los negocios, en especial en los pequeños.
Actuamos con despreocupación y grandes dosis de ingenuidad y luego a lamentarse cuando ya hay poco que podamos hacer para reparar el daño.
El documento de seguridad no es otra cosa que un plan de contingencias, se trata de valorar el tipo de información que gestionas, analizar el flujo de datos, detectar los puntos críticos y reforzar la seguridad interna de tu negocio.
¿No te parece imprescindible?
Ese documento será tu guía para incorporar procedimientos seguros, mejorar tu operativa interna, evitar brechas de seguridad y tener un plan de contingencias en caso de que se produzcan.
¿No se trata del activo más valioso de tu negocio?
¿Qué te hace pensar que no debes protegerlo?
En función del nivel de seguridad que requieran los datos de tu negocio, vas a tener que definir aspectos como:
Medidas relativas a la información de funciones y obligaciones del personal, creación de procedimientos de notificación y registro de incidencias, medidas de control de acceso de los usuarios, el nombramiento de un Responsable de Seguridad, entre otras que establece el Título VIII del RD 1720/2007.
Recuerda que el documento de seguridad es un instrumento para que tu negocio pueda garantizar uno de los pilares básicos de la LOPD, como el deber de secreto.
También es una gran herramienta para mejorar tu gestión interna e incrementar tu eficiencia.
Créeme si te digo que al finalizar una implantación LOPD, casi la totalidad de mis clientes descubren las grietas y puntos críticos que presentaba su operativa y se llevan la manos a la cabeza, de allí la importancia de una adecuación profesional y rigurosa.
Conclusión
A este paso, ya habrás descubierto que implantar la Ley Orgánica de Protección de datos o LOPD en tu negocio es mucho más que cumplir con una simple formalidad.
Se trata de incorporar garantías y profesionalizar la gestión de la información. No es tampoco un trámite como la declaración del IRPF, es asumir una cultura de trabajo ligada a la calidad, a la seguridad, a la ética y al compromiso con la información de los demás.
Se trata de implantar sistemas eficaces, que impliquen a todos los empleados, colaboradores, o terceros que utilizan los datos de los que tú eres responsable.
La LOPD es la herramienta esencial en la era de la información, desconocerla o descuidarla, es mantenerte al margen del avance de una nueva cultura emergente que premiará a quienes mejor sepan gestionar los datos y aporten mayores garantías y por contrapartida, penalizará duramente a quienes no lo hagan.
Y vaya si lo hace…
¿Crees que es importante cumplir la Ley de Protección de datos?
¿Consideras que es difícil cumplir todos los requisitos de la LOPD?
Si te ha gustado el post, puedes compartirlo con un amigo/a.
Consultor de Marketing Digital y Social Media, y Director de la Escuela Marketing and Web.
Autor de los libros “Curso de Marketing Digital” con 3 ediciones y varias veces TOP ventas en Amazon, y “Curso Especialista de Publicidad Online y Embudos de Venta”. Graduado por la Universidad de Cádiz, y con una amplia experiencia de más de 10 años como analista de datos y en marketing digital, antes de lanzar su propia formación.
9 comentarios
Mucha y muy buena ifo Marina la que nos aportas.
Ciertamente andamos un tanto perdidos en general en este tema, a mi se me hace complicado de entender y de llevar a cabo tanta “burocracia” para cumplir con la ley en un blog, no se, lo veo todo excesivamente enrevesado, la última y que para mi tiene menos pies y cabeza aún es la ley de Cookies.
Pero dicho lo anterior, creo que no exonera de su cumplimiento, y también es cierto que hay muchos casos en que no se cumple.
A mi me ha pasado en varias ocasiones con el ejemplo de caso que cuentas tal cual, el referente a que te apuntas a un curso por streaming, recopilan tus datos y los distribuyen a los ponentes etc. sin por supuesto tu consentimiento, de tal modo que en los próximos meses te puede estar llegando al correo spam de otros muchos cursos, ventas, eventos etc. Es realmente molesto ese uso, además de limar la confianza que otorgasté a esa primera persona a la que le proporcionasté tu email.
En fin, creo que has explicado muy claro todos los pasos y requerimientos así que es una estupenda guía para cumplir.
Muchísimas gracias por este valioso comentario.
Estoy completamente de acuerdo contigo que en lo cometas sobre la regulación sobre cookies. Lo considero un verdadero despropósito y así lo he analizado en un post que he preparado para analizar esta controvertida regulación que a mi juicio, es desproporcionada y carente de utilidad para nadie. Ciertamente, supone una dificultad añadida y técnicamente muy compleja de resolver.
Respecto a la LOPD, no deja de ser una implantación y como tal, tiene su complejidad, lo que marca la diferencia entra la utilidad o no es como se haya implantado. Te garantizo que si se realiza a conciencia, aporta muchísimos beneficios a las empresas y profesionales.
Justamente, una adecuación eficiente evita que haya profesionales que abusan de nuestra confianza, que meten a sus usuarios en varias listas a la vez, que venden sus listas, que mandan mensajes promocionales en privado en redes sociales, y muchas otras prácticas que consisten en utilizar información personal de manera contraria a la legalidad. En este sentido, una buena conciencia de la norma te aleja de cometerlas y de exponer tu negocio a una sanción.
Un fuerte abrazo
Muchas gracias por iluminarnos por este tema Marina. La verdad es que para los que empezamos en estos temas saber de la existencia de estas leyes no sólo es díficil, sino que normalmente nadie te lo dice. Por eso agradecemos desde este Blog de Marketing que personas cómo tú nos indiquen temas legales de relevancia a tener en cuenta en los negocios. Como bien dice Ramgon, la burocracia es pesada, pero se debe cumplir.
Buen post que nos lo guardamos para releerlo con más calma más adelante
Gracias por este apoyo y me alegra saber que el contenido ha sido de utilidad. Definitivamente, la LOPD no es una opción en plena era de la información y aunque tenemos escasa conciencia del datos y estamos viciados de hábitos nocivos como los que relata Juan, poco a poco serán los propios consumidores quienes establezcan la criba en función de la ética y el respeto al usuario y a su información personal.
Contad conmigo si necesitáis ayuda.
Un abrazo
Hola Marina,
Interesante articulo, muchisimas gracias.
Me surge una duda, y si me lo permites, me gustaría consultarte rapidamente. Verás, gestiono una web de música y tengo un correo info@. No lo tengo publico (ni en la web ni en redes sociales) porque no quiero que me lleguen constantemente newsletters a las que no me he suscrito.
Siempre defiendo que no me he suscrito y que por lo tanto me tienen que dar de baja, pero en ocasiones estas personas se amparan a que un info@ es un email publico y corporativo (aunque el blog sea personal) y que por lo tanto me pueden incluir en cuantas newsletters les apetezca. ¿Qué puedo hacer contra eso?
Gracias,
Saludos
Ante todo gracias por este artículo.
Me gustaría hacer una consulta. Para el caso de la venta/traspaso de una tienda online. ¿Qué obligaciones tendría el vendedor con respecto a la LOPD?. Mi duda se centra principalmente en la cesión de datos de los clientes registrados al nuevo propietario.
Muchas gracias de antemano.
Un saludo.
Hola Nando, disculpa la demora en la respuesta, no la he visto hasta ahora.
Respecto a tu consulta, decirte que una cartera de clientes forma parte del Fondo de comercio, un activo contable de cualquier negocio y por tanto pueden ser objeto de compra venta.
Respecto a los datos personales de los clientes registrados, ya está contemplado en el artículo 19 del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) que indica que esos datos pueden cambiar de titularidad siempre y cuando se mantenga la condición de continuidad de la misma actividad.
También preguntas si tienes que ejecutar alguna acción respecto a esos clientes. Si hay continuidad en el tratamiento y finalidad de datos, no es necesario un consentimiento previo , aunque si existe la obligación de informarles del cambio en el responsable del fichero.
Espero haber aclarado la duda.
Un abrazo
Perfecto. ¡Muchas gracias!
Hola. Gracias por este artículo tan ilustrativo.
Tengo una duda y quería ver si podían aconsejarme. Estoy en estos momentos finalizando un sitio web que consiste en una red social de contactos. En ella se manejan datos de alto nivel de seguridad como son orientación sexual, religión, etc. Como en todas las redes sociales nunca se recoge información persona específica como el nombre, apellidos o dirección porque los usuarios completan sus perfiles usando un seudónimo y su correo electrónico. No sé si con esta información me veo obligado a tener que preparar un texto para que el usuario sobre la LOPD.
Por otro lado, al realizarse pagos en linea a través de Stripe, el informático me asegura que si solamente se envían los datos de la tarjeta sin incluir el nombre del usuario, tampoco tendría que lidiar con la LOPD.
Me podrían asesorar por favor qué hay de cierto en todo esto.
Muchas gracias y un cordial saludo.