¿Cómo se si mi empresa cumple con la LOPD? Lo primero que tenemos que saber es a que nos estamos enfrentando. La Ley Orgánica de Protección de Datos, tiene por objetivo proteger y garantizar las libertades y los derechos fundamentales de las personas físicas, su intimidad personal y familiar.
Todas las empresas deberán:
Declarar los ficheros: Dar parte de todos los ficheros, tanto los automatizados como los de papel, con datos de carácter personal a la Agencia de Protección de Datos.
Legitimar los datos: Todos los datos personales de los que se dispone, mediante el cumplimiento de LOPD:
- Principio de información del afectado.
- Principio de consentimiento del afectado.
- Principio de calidad de los datos.
Proteger los ficheros: Tantos los ficheros automatizados como los ficheros en papel deben mantenerse bajo seguridad, siguiendo lo establecido en el Reglamento de Seguridad.
Aspectos básicos a cumplir:
- Documento de Seguridad.
- Definición e implantación de los Procedimientos requeridos.
- Asignación de un Responsable de Seguridad.
- Informar y formar a todo el personal sobre la seguridad de la gestión de los datos personales, sobre la seguridad de los mismos.
Cumplimiento de las Medidas de Seguridad:
Los datos de carácter personal se clasifican en tres niveles de seguridad dependiendo de su naturaleza y finalidad.
Nivel básico: Todos los datos de carácter personal estarán, mínimamente, en este nivel.
Nivel medio: Los datos relativos a ideologías, afiliaciones sindicales o penales, solvencia patrimonial o créditos. A estos datos se les atribuirá un nivel medio.
Nivel alto: Datos acerca de la afiliación a un sindicato, religión, creencias, origen racial, salud o vida sexual.
MEDIDAS DE SEGURIDAD OBLIGATORIAS.
Nivel básico:
- Documento de seguridad.
- Definición de funciones del personal.
- Registro de incidencias.
- Identificación y autentificación de usuarios.
- Control de acceso.
- Gestión de soportes y documentos.
- Mantenimiento de copias de seguridad y soportes informáticos. Obligatoria copia de seguridad y restricción de acceso a la misma.
Nivel medio:
- Incluye todas las medidas anteriormente expuestas.
- Implantación de un responsable de seguridad.
- Auditoria bienal.
- Control de acceso físico (tanto a servidores en armario rack, como a habitaciones, etc.)
Nivel alto:
- Todas las medidas de los dos niveles anteriores.
- Distribución de copias externalizadas.
- Registro de accesos (24 meses como mínimo)
- Cifrado de copias.
- Cifrado de telecomunicaciones (envío de mails encriptados)
SANCIONES: (Según la gravedad)
LEVES:
- No atender la solicitud de rectificación o cancelación por motivos formales.
- No proporcionar información a la APD.
- No solicitar inscripción de fichero en el RGPD (también puede considerarse grave).
- Recoger datos sin proporcionar información a los afectados.
- Incumplir el deber de secreto (puede ser grave).
Multa de 900€ a 40.000€
GRAVES:
- Recoger datos personales sin consentimiento expreso de los afectados.
- Tratar de usar datos de carácter personal incumpliendo la legislación (Puede ser falta muy grave).
- Mantener datos inexactos, sin rectificar o cancelar.
- Mantener ficheros locales, programas o equipos con datos personales.
- Vulnerar el deber de secreto de ficheros nivel medio.
Sanción de 40.001€ a 300.000€
MUY GRAVES:
- Recoger datos personales de forma engañosa o fraudulenta.
- Comunicar o ceder datos de carácter personal, excluyendo los casos en los que este permitido.
- Transferencia de datos a países sin nivel equiparable de protección y sin autorización de la APD.
- No atender sistemáticamente a los derechos de acceso, rectificación, cancelación u oposición.
- No atender sistemáticamente el deber de notificación de la inclusión de datos personales.
Sanciones de 300.001€ a 600.000€
¡No te arriesgues! Si tienes dudas de si tu empresa cumple o no con la LOPD ponte en contacto con nosotros, antes de que te impongan una sanción.
