Finalidad de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD)
La Ley tiene por objeto “garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar”.
Por ello, esta ley afecta a todas las empresas que mantienen ficheros con datos relativos a personas físicas (clientes, empleados, .. ). Es necesario proteger especialmente estos ficheros y cumplir una serie de requisitos cuando se almacenan en cualquier tipo de soporte, digital o manual.
La ley contempla 3 niveles de datos
Nivel básico: Son datos tales como : nombre, domicilio, teléfono, NIF, fotografía, correo electrónico, datos bancarios, fecha de nacimiento, sexo, nacionalidad,..
Nivel medio: datos financieros, deudas, y datos que permiten evaluar la personalidad de un individuo.
Nivel alto: Datos relacionados con ideología, religión, creencias, origen racial, salud, vida sexual o pertenencia a partidos políticos, sindicatos,…
Las medidas de protección de los datos se incrementan en cada nivel.
Medidas para entidades que mantienen ficheros con datos de nivel básico
Declarar el o los ficheros a la Agencia de protección de datos (AGPD)
Se trata de informar sobre la existencia de los ficheros, indicando que tipo de datos se guardan. (No se envían los ficheros).
Para inscribir ficheros en la AGPD: ver enlace
¿Qué datos?
Se han de guardar los datos estrictamente necesarios para desarrollar la actividad y mantenerlos siempre actualizados. Los datos de carácter personal deben ser cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados.
Solo se podrán guardar datos obtenidos de manera lícita y que cuenten con el consentimiento dado por los clientes en el proceso de recogida.
Acceso a los datos
– El acceso a los datos debe ser restringido y solo podrá acceder el personal de la empresa que cuente con las autorizaciones oportunas. Estas personas deberán ser identificadas y autentificadas (clave de identificación y contraseña segura).
– El personal con acceso a los datos debe mantener el deber de secreto y de confidencialidad.
– Los soportes físicos que contienen los ficheros deben ser custodiados adecuadamente.
– Se deben realizar copias de seguridad con frecuencia (por lo menos semanal).
– No se podrán ceder los datos a terceros sin haber obtenido el consentimiento del cliente.
Si los ficheros de datos estan ubicados en entorno “cloud computing” o están gestionados por un proveedor de servicios externo, se deberá establecer un contrato sobre la seguridad de los datos con dicho proveedor.
Información al cliente
Se debe indicar al cliente cuales son los procedimientos establecidos para que pueda acceder, modificar o cancelar sus datos.
Manual de seguridad
Es obligatorio desarrollar un manual donde se recogen todas las normas de seguridad existentes en la empresa.
Entre ellas:
-
Identificación del Responsable de los ficheros
-
Relación de las personas autorizadas para acceder a los ficheros con datos de carácter personal..
-
Descripción de los ficheros (tipos de datos)
-
Normas de acceso a los ficheros (autenticación)
-
Copias de seguridad (frecuencia, ubicación, )
-
Registro de incidencias
-
Sistema de recuperación de datos
-
Formularios para recogida de datos, conformidad de las personas
-
Descripción del sistema para consultar, modificar o cancelar los datos.
-
…
* El manual deberá ser conocido por los empleados y actualizado siempre que se produzca un cambio. No tener un manual de seguridad constituye una infracción grave.
* La AGPD ofrece un modelo para elaborar dicho manual.
* Las empresas que solo poseen datos de nivel básico no tienen que realizar auditorías.
Enlaces de interés:
Mayo 2018: Nueva Ley de Protección de Datos
