Tus obligaciones LOPD
Tus empleados son el principal activo de tu empresa…
(pero también un riesgo)
La tecnología se puede comprar, las técnicas se pueden copiar, pero lo que muchas veces distingue a una empresa es la actitud y el trabajo en equipo de sus empleados.
Si tú cuidas a tus trabajadores, ellos cuidarán a tus clientes.
Pero, en materia de protección de datos, nadie nace enseñado. Por eso es imprescindible marcar pautas de trabajo (buenas prácticas) a la hora de prevenir brechas de seguridad.
Además, es tu obligación exigirles el deber de confidencialidad al que te obliga la LOPD:
Para ello, es imprescindible preparar unos compromisos de confidencialidad que deberán firmar tus empleados.
Estos compromisos han de estar personalizados, ya que su contenido depende:
- De si el trabajador trata datos mediante sistemas informáticos o en papel (personal de administración, ventas, marketing…), , o si simplemente puede tener acceso a ciertos datos (personal de almacén, mantenimiento o limpieza).
- De si la empresa dispone de sistemas de videovigilancia.
- Del tipo de datos que trate el trabajador.
Antes de guardarte los datos de ninguna persona…infórmale como el RGPD manda.
Ya no sirve el viejo truco de poner en todos los formularios un “Acepto las condiciones de protección de datos” y un enlace a un documento enrevesado de 90 páginas, que nadie acaba de entender.
Ahora en cada formulario web, en papel, antes de grabar su imagen, o simplemente, cuando alguien te entregue un C.V. tienes que poder demostrar que le has informado “como el RGPD manda”.
En cada formulario hay que indicar:
– Responsable: A quién van a parar esos datos.
– Finalidad: Para qué vas a utilizar esos datos.
– Legitimación: (ejecución de un contrato, consentimiento, obligación legal…)
– Destinatarios (a quién se van a comunicar esos datos)
– Derechos: (Una breve referencia)
– Más información: URL o lugar donde tiene la “segunda capa” con toda la información detallada.
Un mal proveedor te puede salir carísimo
Todas las empresas necesitamos proveedores, y parte de ellos tratan o tienen acceso a datos personales: Tu asesor fiscal, el del sistema de gestión, tu informático de proximidad, tu transportista, tu proveedor de protección de datos…
La LOPD te obliga a:
- Elegir proveedores con suficientes garantías en materia de protección de datos,
- Tener firmados con ellos contratos con las cláusulas de confidencialidad y protección de datos.
Análisis de riesgos y medidas de seguridad
El (antiguo) reglamento de 2007 tenía definidas las medidas de seguridad que debía adoptar una empresa… y estaban publicadas en el BOE
¡Fantástico!. Esto nos hacía la vida más fácil a todos.
Pero tenía un problema: Cuando se redactaron, no existían los datos en la nube, no había aparecido el primer caso de ransomware (donde los criminales cifran tu disco duro y te piden un rescate en bitcoins)…
Y pasó lo de siempre: La tecnología corre más que las leyes. Y los políticos tienen mejores cosas que hacer que ir modificando reglamentos cada medio año y por eso, cuando prepararon la redacción del nuevo Reglamento Europeo de protección de datos (RGPD) decidieron que NO INCLUYERA NINGUNA MEDIDA DE SEGURIDAD!
La obligación de cada empresa es realizar un Análisis de riesgos y definir qué medidas de seguridad son las que debe aplicar.
Ay amigo… y ¿cómo se hace eso?
¿Tengo que jubiliar el ordenador con windows XP? ¿Tengo que poner un firewall hardware? ¿He de contratar un servicio de hacking ético que compruebe las vulnerabilidades de mis servidores?
Pues depende…
Tienes que ver si tu organización tiene tratamientos de alto riesgo o de bajo riesgo (puedes leerte el informe del grupo de expertos del artículo 29)
Y dependiendo de eso, aplicando una metodología adecuada, definir unas medidas de seguridad que se adapten al tamaño de tu empresa, al número de clientes que tengas, al tipo de tratamientos que hagas, etc.
O bien:
Preparad mi análisis de riesgos y medidas de seguridadResponsabilidad Activa
La disposición adicional decimoctava de la LOPD establece que:
La Agencia Española de Protección de Datos desarrollará, con la colaboración, cuando sea precisa, de todos los actores implicados, las herramientas, guías, directrices y orientaciones que resulten precisas para dotar a los profesionales, microempresas y pequeñas y medianas empresas de pautas adecuadas para el cumplimiento de las obligaciones de responsabilidad activa establecidas en el Título IV del Reglamento (UE) 2016/679 y en el Título V de esta ley orgánica.
Ahora las obligaciones no son sólo las que pone el BOE. Desde la entrada en vigor de la Ley Orgánica 3/2018, la obligación de cada empresa es estar pendiente de todo lo que vaya publicando la Agencia Española de Protección de Datos.
Si tu empresa quiere PODER DEMOSTRAR que cumple este principio de responsabilidad activa, tienes dos opciones:
- Asignar uno de los empleados, (preferiblemente un experto en protección de datos) para que revise periódicamente todas las publicaciones de la AEPD y decida qué es lo que resulta de aplicación, y lo implemente en la empresa.
- Encargar este trabajo a una empresa especializada en protección de datos.
Registro de actividades de Tratamiento de datos personales.
Cualquier organización que trate datos personales ha de elaborar este documento.
No hace falta inscribirlo en la Agencia de Protección de Datos, pero has de tenerlo preparado por si te lo requieren.
Preparad mi Registro de Actividades de Tratamiento¿Te agobia la LOPD? A nuestros clientes YA NO.
Gestión integral informatizada
Toda la documentación relativa a protección de datos que tu empresa está obligada a gestionar, la elaboramos y la dejamos preparada en nuestra plataforma de gestión integral informatizada. La gran ventaja que tiene este sistema es que podemos reaccionar rápidamente y adaptar la documentación a los criterios que vaya estableciendo la Agencia Española de Protección de Datos, cumpliendo así perfectamente el principio de Responsabilidad Activa.
Garantía de servicio. Seguro R.C.
Somos especialistas en protección de datos y nos comprometemos a asesorar a tu empresa y a gestionar las obligaciones en materia de protección de datos con la mayor diligencia. Pero ¿y si te sancionasen por haberte asesorado mal?
La calidad en el asesoramiento te la garantizamos por escrito en el contrato de servicios, con un seguro de responsabilidad civil con un capital asegurado de 600.000 euros para responder ante cualquier deficiencia en el asesoramiento en protección de datos.
Asistencia en caso de Inspección
Asistimos a tu empresa para responder requerimientos, Incluyendo el asesoramiento ante procedimientos de inspección de la Agencia Española de Protección de Datos,
¿Qué me costará estar tranquilo?