Los beneficios de cumplir correctamente la LOPD para la empresa, (aparte de evitar cuantiosas sanciones) son diversos:

 Ayuda a establecer pautas y procedimientos que de forma directa ayudan a la empresa a proteger su activo más valioso: sus clientes (copias de seguridad, custodia de documentación, etc.).

 Inicia a la organización en la gestión de la seguridad de la información que poseen (imprescindible para la implantación efectiva de la factura electrónica, ya que las facturas dejarán de estar en papel para estar en los equipos informáticos).

 Clarifica el organigrama de la empresa, las funciones de cada individuo y a qué puede y no puede acceder.

 Ayuda a tener un conocimiento del inventario tecnológico de la empresa, de sus posibilidades y vulnerabilidades (muchos clientes no se habían planteado si sus empleados podían acceder desde casa al servidor de la empresa hasta que se les hizo la pregunta, a veces no sabiendo qué responder).

 Aporta una mejor imagen ante los clientes, ya que les demostramos que nos preocupamos por sus datos.

A TENER EN CUENTA

Cada vez más los ciudadanos están sensibilizados con sus datos personales y el uso que hacen las empresas y entidades de ellos.

 

 

EN LA EMPRESA

EL PROFESIONAL RESPONDE

5

El informe 0355/2010 de la AEPD da respuesta a la consulta planteada sobre si los delegados de prevención pueden acceder a los datos de salud de los empleados públicos contenidos en los partes de accidentes de trabajo y en la relación de accidentes de trabajo sin baja médica, de acuerdo con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), y a su Reglamento de desarrollo.

A tenor de dicho informe jurídico se deben tener en cuenta lo siguiente:

 Tanto la relación de accidentes de trabajo como la información sobre los daños en la salud que aparezcan en los partes de accidentes de trabajo de los trabajadores que determinen una ausencia al trabajo superior a un día, podrá facilitarse a los delegados de prevención de forma disociada. Es decir, sin hacer referencia a qué trabajador corresponden dichos datos.

 Que los datos suministrados sean adecuados, pertinentes y no excesivos para esa finalidad.

 Que no se utilicen para ninguna otra finalidad.

 En todo caso, los delegados de prevención deberán guardar secreto respecto de la información así obtenida (artículo 10 de la LOPD).

La LOPD dice en su artículo 10:

 

"El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo".

Es decir, todas las personas que intervienen en el tratamiento de los datos de carácter personal (en la recogida, en el almacenamiento, en la utilización, etc.) están obligadas por ley al secreto profesional respecto de los mismos.
También están obligadas a guardarlos y custodiarlos adecuadamente, de forma que no tenga acceso a dichos datos alguien no autorizado.
Para dar a conocer esto a todos los trabajadores involucrados, además de formarlos y concienciarlos, es conveniente darles a firmar un compromiso de confidencialidad y deber de secreto, a través del cual se comprometen a no revelar ningún dato incluso después de finalizada la relación laboral, de forma que podamos acreditar que les hemos informado adecuadamente.
A TENER EN CUENTA
Aunque un trabajador vulnere el deber de secreto y revele datos, la sancionada a priori será la entidad responsable del fichero, no el trabajador en cuestión.
 
 
 
 
LA LOPD EN EL DÍA A DÍA

Cuando instalamos una cámara de videovigilancia, estamos realizando un tratamiento de datos personales en cuanto a las imágenes recogidas.

Para que podamos emplear, llegado el caso, en un procedimiento judicial dichas imágenes, es preciso que dicha instalación se encuentre debidamente legalizada.

Para esto, debemos que realizar las siguientes acciones:

a)      Inscribir el fichero relativo a la videovigilancia en el Registro General de Protección de Datos (normalmente se llama VIDEOVIGILANCIA).

b)      Elaborar o completar el Documento de Seguridad con los detalles de la instalación (número de cámaras, especificaciones, lugar de grabación, días grabados, etc.).

c)       Indicar en el Documento de Seguridad las personas que tienen acceso a las imágenes, así como los usuarios que pueden acceder por vía remota.

d)      Si la empresa que nos ha instalado el sistema puede tener acceso remoto o presencial a las imágenes, firmar con ella un contrato de acceso a datos por cuenta de terceros.

e)      Instalar carteles informativos en los accesos a la zona videovigilada, indicando en ellos la identidad del responsable y el domicilio ante el que deben ejercerse los derechos ARCO.

 

El artículo 88.7 del RD1720/2007 dice:

 

El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados.

 

Estas son algunas de las situaciones en las que debemos actualizar el documento de seguridad:

 

 Se incorpora un nuevo trabajador que va a tratar datos personales a la empresa. Deberá añadir a la lista de usuarios y accesos permitidos.

 

 Se va de la empresa un trabajador que tenía acceso a datos personales. Deberá eliminar de la lista de usuarios y accesos.

 

 Se compra nuevo equipamiento informático. Se deberá añadir al inventario de equipamiento de la sede.

 

 Se adquiere un nuevo software. Se deberá añadir el software en su sección así como los perfiles que tienen acceso a mismo.

 

 Se recogen nuevos tipos de datos. Se deberá modificar, además, la inscripción del fichero.

 

 Se incorpora o cambia algún encargado del tratamiento. Se deberá suscribir el contrato y modificar la inscripción del fichero, si es caso.

 

 Cuando se produzcan otros cambios en la organización que puedan afectar a los datos.

Independientemente del nivel de seguridad de los ficheros, se debe realizar una copia de respaldo al menos una vez a la semana, que permita restablecer los ficheros al momento anterior al producirse la pérdida.
Obviamente, si no se han modificado datos de los ficheros esa semana, no es necesario realizar la copia de seguridad, ya que con la anterior será suficiente.
De los ficheros de nivel alto, además de realizarse la copia de seguridad semanal debe existir otra copia fuera de las instalaciones principales, de forma que si ocurre una catástrofe (incendio, inundación, etc.) no se pierdan todos los datos, y podamos recuperarlos de la copia remota.
En este aspecto, debemos tener en cuenta que dicha copia remota deberá estar cifrada, de forma que sólo puedan acceder a la información contenida en la misma las personas autorizadas para ello.
De cara a la recuperación de los datos debemos tener en cuenta lo siguiente:
1. Debemos anotar en el registro de incidencias dicha pérdida de datos y su recuperación posterior.
2. En el caso de que sean copias de respaldo de ficheros de nivel medio o alto, deberá ser autorizada por el responsable del fichero y en el registro de incidencias deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente

 

Recogida de datos en las páginas web cumpliendo la LOPD

Cuando recogemos datos en nuestra página web, debemos cumplir la LOPD en dicha recogida, aunque sea para una tarea tan trivial como mandar un boletín o enviarle información más detallada sobre un artículo o servicio.

La forma de cumplir al 100% con los requisitos necesarios es:

  • Añadir al formulario de recogida de datos un “check” que no esté marcado previamente y a través del cual el usuario acepte de forma expresa la Política de Privacidad.

  • Pulsando en el texto Política de Privacidad ha de mostrarse la cláusula en la que se le informa de la finalidad de la recogida, la identidad del responsable y dónde puede ejercer los derechos de acceso, rectificación, cancelación y oposición. En dicha cláusula le pediremos también consentimiento para incluir los datos en nuestro fichero.

  • No debe ser posible enviar el contenido del formulario si el usuario no ha marcado el “check”, aceptando de este modo, de forma expresa, lo que le hemos indicado en la cláusula.

Para que mi asesor me haga la contabilidad tengo que darle datos, ¿cómo lo regulo?

El acceso a datos de carácter personal por parte de una entidad ajena al titular del fichero, es lo que se denomina un acceso a datos por cuenta de terceros y la entidad que accede a esos datos para prestar un servicio (en este caso, el asesor) es lo que se denomina un encargado del tratamiento.

Con objeto de garantizar que el encargado del tratamiento solo utiliza los datos con la finalidad de realizar la prestación de su servicio, la LOPD obliga a conformar un contrato entre ambos en el que se establece expresamente:

  • Que el encargado del tratamiento:

    • Sólo tratará los datos conforme a las instrucciones del responsable del fichero.

    • No los aplicará o utilizará con fin distinto al que figure en dicho contrato.

    • No los comunicará, ni siquiera para su conservación a otras personas.

  • Las medidas de seguridad que el encargado del tratamiento está obligado a implementar.

Este contrato hay que formalizarle con todas y cada una de las entidades que tengan o puedan tener acceso a datos.

Página 5 de 5