Información y contacto

¿QUÉ ES LA LOPD? NUEVA NORMATIVA PROTECCIÓN DE DATOS 2018

Entrevista a J. Miquel Serrano Experto Certificado en Protección de Datos

 ¿Quién debe cumplir la LOPD y cuál es su normativa?

Cualquier empresa, organismo o entidad de carácter público o privado que maneje y utilice datos de carácter personal. Cuando nos referimos a datos de carácter personal hablamos de datos de trabajadores, clientes, socios, alumnos, es decir, datos de una persona física.

El cumplimiento viene derivado por dos normativas:

  • La Ley Orgánica de Protección de Datos (LOPD). Esta Ley lleva vigente desde 1999 y junto con la normativa de la LOPD forman el reglamento de medidas de seguridad que es el que nos guía sobre lo que tenemos que hacer dependiendo del tipo de datos personales que tengamos.
  • La Agencia Española de Protección de Datos. Surgió también en 1999 a la vez que la normativa de la LOPD. Esta entidad es la que regula y sanciona el incumplimiento de esta normativa.En mayo de 2016 se aprobó una nueva normativa de protección de datos, enmarcada por el Reglamento General de Protección de Datos. Esta normativa complementa a la LOPD, no la sustituye.

 

¿Qué se debe tener en cuenta en lo que a la videovigilancia se refiere?

La videovigilancia está recogida de forma muy clara tanto en la LOPD como en la Agencia Española de Protección de Datos. Hay varios puntos a tener en cuenta:

  1. No se puede grabar ningún espacio público. Solo las Fuerzas de Seguridad del Estado o mediante una autorización de ellas, se puede grabar espacios públicos.
  2. Cuando grabamos en una empresa, hay que declarar un fichero a la Agencia Española de Protección de Datos y, por supuesto, estamos obligados a poner un cartel informativo a la entrada del espacio grabado que informe de esta acción.
  3. Las imágenes grabadas solo pueden conservarse durante un mes.

La videovigilancia es un tema muy controlado por las autoridades ya que se pueden cometer numerosos errores.

¿En qué se basa el fundamento de las normativas de protección de datos?

Cualquier empresa que utilice los datos de personas físicas, deben cumplir con unas obligaciones para que esos datos se traten de forma adecuada, es decir, su almacenamiento, su protección, su grabación, quién puede y quién no acceder a esos datos…

Si tratamos con datos de salud, recogidos en el actual reglamento como datos sensibles, obligan a tener más precauciones y un cuidado muy concreto.

¿A qué se dedica tu empresa?

Somos consultores, asesores que enseñamos a nuestros clientes como deben cumplir con la normativa, es decir, qué deben hacer y cómo deben tratar los datos y que obligaciones deben seguir para guardar esa información.

Tenemos la certeza de que todos nuestros clientes están cumpliendo con las normativas ya que nos encontramos en una situación en la que las Pymes han comprendido la importancia de cuidar esta información. Además hemos observado que los clientes de estas empresas valoran cada vez más la protección de datos. Como empresa experta que somos, este interés lo hemos encontrado sobre todo en el ámbito de Internet.

Un usuario se queda más tranquilo y confía en aquellas empresas o compañías que tienen una tienda online y que cumplen con todo lo que la LOPD, el Reglamento General de Datos y la normativa de Internet conocida como la Ley de los Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE) dice.

¿A qué tipo de sanciones nos enfrentamos?

El no cumplir con la normativas implica sanciones muy serias y de un elevado coste que puede oscilar entre los 900€ y los 600.000€. Con el nuevo reglamento, estas sanciones van a cambiar y se elevará su importe:

  • Las sanciones graves pueden ser de hasta diez millones de euros y/o el 2% de la facturación del año anterior.
  • Las sanciones muy graves pueden ser de hasta veinte millones de euros y/o el 4% de la facturación del año anterior.

El nuevo reglamento está enfocado para que las Pymes tengan conciencia de que deben cumplir con él y para que las grandes empresas no vulneren esas normas ya que si no serán sancionadas.

Cuando hablamos de nueva normativa nos referimos a que en el año 1999 nacía Internet pero todavía no se hablaba de redes sociales ni del concepto de la nube. Esto ha cambiado muchísimo y ha provocado que, la Comunidad Económica Europea (de donde provienen todas las normativas), se han reunido y han sacado un nuevo reglamento único para toda Europa con el fin de recoger todas las actualizaciones y novedades y cómo deberán ser los tratamientos de estos datos.

¿Cómo protege la ley a los adolescentes frente a las Redes Sociales?

Existen dos conceptos básicos: cómo se les protege y cómo utilizan los adolescentes las redes sociales.

Sobre este último punto, se demanda la educación por parte de los padres y familiares y por parte de su centro escolar. Para esto, se están utilizando campañas a nivel de la policía y de diferentes estamentos para que quede bien regulado.

El mundo online cambia muy rápido por lo que los padres no deben caer en el error de dejar que sus hijos sepan más que ellos.

¿Por qué la ley recoge diferentes niveles?

Actualmente existen tres niveles: Nivel básico, nivel medio y nivel alto. Y dependiendo del nivel en el que se encuentre una empresa, ésta tendrá más o menos obligaciones.

No obstante, el nuevo reglamento recoge los datos de carácter sensible como es el caso de los biométricos, ADN, etc. Que antes no se contemplaban.

¿Qué tiene que hacer una empresa que quiere cumplir con la LOPD?

El cumplimiento de la normativa de protección de datos se basa en 5 puntos:

  • Hay que declarar los ficheros a la Agencia Española de Protección de Datos. Los ficheros son esas bases de datos donde se almacenan los datos de carácter personal (clientes, trabajadores, socios…)
  • Disponer de un documento de seguridad totalmente actualizada. Este es el primer papel que te piden en caso de una inspección.
  • Adecuar toda la documentación de la empresa al cumplimiento de la normativa (presupuestos contratos…)
  • Debemos de disponer de contratos de confidencialidad. Estos se realizarán con los propios trabajadores de la empresa y con aquellas personas físicas o jurídicas que puedan acceder a nuestros datos: Asesores fiscales, asesores laborales, informáticos…)
  • Cumplir las medidas de carácter técnico y organizativas como es el caso de temas de usuarios y contraseñas, copias de seguridad, todo el tema de archivos y de destrucción de documentación.

Estos cinco pilares son los que fundamentan el cumplimiento de la normativa.

¿Cómo funciona la Agencia Española de Protección de Datos cuando una empresa no cumple con la normativa?

En la actualidad, la Agencia Española de Protección de Datos está saturada porque tiene un gran volumen de sanciones y realizan pocas inspecciones de oficio ya que tiene que inspeccionar las denuncias.

Con el nuevo reglamento el apercibimiento o aviso implica una multa económica de mínimo 900€.

¿Por dónde debe empezar una empresa que no cumple con la LOPD?

Mi consejo es que esa empresa se ponga en contacto con una consultoría de LOPD para que analicen su caso y le realicen un estudio para explicarle cómo debe empezar a cumplirla. También le darán una pequeña formación para que su empresa esté completamente adecuada.

En todas las empresas deben existir diferentes figuras que se encarguen de la LOPD. Debe de haber una persona responsable de los ficheros, otra persona que será el encargado del tratamiento y una figura interna que será el responsable de seguridad. Esta persona se encargará de que todos los temas referentes a la protección de datos estén cubiertos.

Con el nuevo reglamento va a aparecer otra figura que se le conocerá como DPD (Delegado de Protección de Datos). Esta figura estará por encima de la consultoría y del responsable de seguridad y se encargará de que la empresa cumpla con todas las obligaciones de la protección de datos. El DPD no será obligatorio en todas las empresas, solo en aquellas de carácter público, las que posean datos sensibles y las que posean muchos datos e información de usuarios y contraseñas.

¿Cómo afecta la LOPD a Internet?

En Internet se nos juntan dos normativas:

  • Las derivadas de la LOPD
  • Las propias de Internet, reguladas por la normativa LSSICE.

Esta última nos dice que una página web de empresa tiene que tener el aviso legal, la política de privacidad, los checks en los formularios de contacto y recogida de datos y las cookies.

Cuando hablamos de las tiendas virtuales, es muy importante el tema de condiciones de uso y condiciones generales.

¿Qué derechos tenemos los ciudadanos sobre nuestros datos?

Los ciudadanos tenemos derechos sobre nuestros datos. A estos derechos se les conoce como “Derechos ARCO”: Derechos de Acceso, Derechos de Rectificación, Derechos de Cancelación y Derechos de Oposición.

No obstante, con el nuevo reglamento, van a surgir nuevos derechos: El Derecho al olvido y el Derecho a la portabilidad.

¿Qué es el derecho al olvido?

Cuando una persona fallece puede dejar mucha información en Internet, por ejemplo, en Facebook, Twitter, LinkedIn…

Si se quieren dar de baja estos datos, actualmente es una tarea complicada. Estos derechos pasarán a ser propiedad de sus herederos o cualquier persona a la que se le haya encomendado este derecho.

Google posee muchos datos nuestros que ni tan siquiera sabíamos. ¿Solo se pueden retirar si falleces?

Es posible solicitar la retirada de estos datos pero depende del tipo de datos que sean. Hay una serie de información que puede venir, por ejemplo, de boletines oficiales del Estado que debido a otras normativas no podemos quitar de Internet. Sin embargo datos de webs y de redes sociales es posible que desaparezcan. Hay empresas especializadas en ello.

¿Qué es el RGPD?

En mayo de 2016 se aprobó el nuevo Reglamento General de Protección de Datos. Este reglamento es de carácter europeo a diferencia de la LOPD que viene regulada a través de una directiva europea y que cada país legislaba.

El RGPD es único para toda Europa y desde que se aprobó han dejado un margen de dos años para que todas las empresas se vayan adaptando.

Nosotros como consultores realizamos un estudio para cada empresa. Cada una de ellas, tendrán una serie de temas que se les adelanta para que comiencen con el nuevo cumplimiento. Un tema muy importante es el “consentimiento tácito”. Esto significa que, por ejemplo, si compramos en una tienda online y les facilitamos todos nuestros datos, esa tienda nos tiene que dar una factura. En la parte inferior habrá un recuadro que informará de que los datos serán almacenados en un fichero propiedad de la empresa y que serán utilizados para temas administrativos y comerciales.

Este consentimiento tácito desaparecerá en mayo del 2018 y se necesitará un consentimiento expreso de cada cliente.

A partir de esta fecha, cualquier persona que envíe su información y la empresa no tenga este consentimiento expreso, el usuario podrá denunciar a la empresa.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *