LOPD para empress

10 obligaciones que impone la ley para las empresas en materia de protección de datos (Parte 2)

21 agosto, 2017 / POR / EN LOPD, Protección de datos

En nuestro primer artículo “10 obligaciones que impone la ley para las empresas en materia de protección de datos (Parte 1)” enumerábamos 5 de las 10 obligaciones que impone la ley en cuanto a LOPD para empresas se refiere.

A continuación, os exponemos las otras 5 obligaciones que debe realizar tu empresa si quiere cumplir con la normativa.

6. Comunicación o cesión de datos

Sólo podrán ser comunicados o cedidos a un tercero aquellos datos de carácter personal que sirvan para el cumplimiento de fines directamente relacionados con las funciones legítimas del ceden y del cesionario con el previo consentimiento del interesado. Así pues, para ceder los datos personales, es necesario que se den los dos requerimientos anteriores, incluido el consentimiento del interesado.

Respecto al consentimiento hay que tener en cuenta que:

  1. Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar.
  2. El interesado puede revocarlo.

El consentimiento exigido en el apartado anterior no será preciso:

  1. Cuando la cesión está autorizada en una ley.
  2. Cuando se trate de datos recogidos de fuentes accesibles al público.
  3. Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.
  4. Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas.
  5. Cuando la cesión se produzca entre administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
  6. Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

7. Acceso a los datos por cuenta de terceros (Encargo de tratamiento)

Como indicábamos anteriormente en el ejemplo de la asesoría, es posible que un tercero, diferente del Responsable del fichero, sea el que realice el tratamiento de los datos. En estos casos se exige que exista un contrato de encargo de tratamiento entre el Responsable (Empresa X) y el encargado del tratamiento (asesoría), en el que se indique la forma de tratar los datos y las medidas de seguridad a adoptar.

8. Derechos de las personas

Hay que tener en cuenta que las personas afectadas tienen los siguientes derechos:

  1. Derecho de acceso: Derecho a conocer toda la información referente a sus datos personales de los que dispone la empresa. Esta debe responder en el plazo máximo de 1 mes; si no lo hace así, el afectado podrá recurrir ante la Agencia de Protección de Datos.
  2. Derecho de rectificación y modificación de sus datos. La empresa tiene 10 días para hacer las modificaciones solicitadas. Transcurrido este plazo sin recibir respuesta o siendo esta insatisfactoria, puede recurrir ante la Agencia de Protección de Datos.
  3. Derecho de cancelación de sus datos, que la empresa debe eliminar salvo que por disposición legal deban conservarse.
  4. Derecho de oposición, negándose a que un tercero trate sus datos de carácter personal, salvo que exista disposición legal que obligue a su tratamiento.

9. Seguridad de los datos

El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.

Hay que tener en cuenta que cuando los ficheros están en soporte informático, existe una regulación específica contenida en el Real Decreto 994/1999, que determina las medidas de seguridad a adoptar. Este Real Decreto exige que se redacte un Documento de Seguridad en el que se incluya:

  1. Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
  2. Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento.
  3. Funciones y obligaciones del personal.
  4. Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
  5. Procedimiento de notificación, gestión y respuesta ante las incidencias.
  6. Los procedimientos de realización de copias de respaldo y de recuperación de los datos.

Cuando los datos recogidos pertenecen a los niveles medios o altos, las medidas de seguridad serán mayores (deberá nombrarse un responsable de seguridad, deberá someterse a una auditoría, deberá tener sistemas para identificar a los usuarios que accedan a los datos, sólo el personal autorizado podrá acceder a la información, deberán hacerse copias de seguridad, etc.)

10. Notificación de ficheros

El responsable o titular debe notificar los ficheros a la Agencia de Protección de Datos antes de su creación.

Esta notificación puede hacerse por Internet. Para ello, en la página de la Agencia de Protección de Datos tendremos que descargarnos un programa para la notificación de ficheros de titularidad privada. Una vez instalado cumplimentaremos todos los datos con la ayuda que presenta el programa. Una vez terminado, mediante la opción correspondiente, enviaremos los datos a la Agencia. Posteriormente, si no disponemos de firma electrónica, tendremos que imprimir una hoja de solicitud que genera el programa y enviarla firmada a la Agencia de Protección de Datos.Al cabo de un mes, aproximadamente, recibiremos contestación confirmándonos la inscripción del fichero.

Este proceso debe repetirse para cada uno de los ficheros que tengamos (de clientes, de proveedores, de trabajadores, etc.)

Por último aconsejamos que en caso de duda se deje en manos de un profesional (imprescindible cuando se manejan datos especialmente protegidos). Hay que tener en cuenta que el incumplimiento de esta ley es todavía masivo, la ley es bastante estricta y las sanciones “muy” elevadas (de 600 a 600.000 euros).

Compártelo en...Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn

Leave a Reply