La nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de derechos digitales, es ya de obligado cumplimiento para todas aquellas empresas o autónomos que trabajen en la red y que traten algún tipo de dato de carácter personal. Esta ley traspone a la legislación española el Reglamento General de Protección de Datos (RGPD) europeo, y es una adaptación y puesta al día de las leyes anteriores al contexto digital imperante en la actualidad.
De cualquier modo, el principal objetivo de las nuevas leyes y reglamentos sigue siendo el mismo: garantizar la protección de los datos personales de personas físicas, estableciéndose para ellos distintos mecanismos de seguridad, de obligado cumplimiento, para el tratamiento de esos datos.
¿Quién debe cumplir La Ley de Protección de Datos?
Según la LOPD y el RGPD, están obligados a cumplir la normativa de protección de datos todas las personas, empresas y entidades públicas y privadas que utilicen cualquier dato personal en el desarrollo de sus actividades profesionales. Lo cual incluye a: sociedades mercantiles, autónomos, administraciones y organismos públicos, asociaciones, comunidades de bienes y de propietarios y también entidades sin ánimo de lucro.
Cómo cumplir con la Ley de Protección de Datos
Aunque, en un primer momento, el cumplimiento de esta normativa sobre datos personales pueda parecer complicado, en realidad no lo es tanto si hacemos el esfuerzo de dibujar un esquema o mapa conceptual de la misma. En ese momento, nos daremos cuenta que la LOPD es como una pirámide con 6 escalones o pasos fundamentales.
1. Redacción del documento de Seguridad
Es imprescindible contar con una guía que nos permita disponer de los protocolos necesarios para cumplir con la normativa actual en esta materia. Para ello, se torna imprescindible la redacción del documento interno de Seguridad, el cual debe estar convenientemente actualizado e incluir, como mínimo los siguientes apartados:
– Ámbito de aplicación
– Especificación detallada de los recursos protegidos
– Medidas, normas, procedimientos, reglas y estándares de seguridad
– Funciones y obligaciones del personal
– Estructura y descripción de los ficheros y sistemas de información
– Procedimiento y notificación, gestión y respuesta de incidencias
– Procedimiento de copias de seguridad y recuperación de datos
– Medidas adoptadas en el transporte, destrucción y/o reutilización de soportes y documentos
2. Registro de los tratamientos relacionados con datos personales realizados
Aquí se incluyen muchos tipos de datos: nombre y apellidos, datos de contacto, datos bancarios y hasta publicaciones en redes sociales. Es importante comprender que no es suficiente con hacer un listado de los datos manejados, sino que es obligatorio detallar cómo se han conseguido, dónde y de qué forma se almacenan, cómo se usan y por dónde pueden transitar.
3. Consentimiento sobre el uso de los datos
Este punto es importantísimo. En las comunicaciones entre la empresa y el cliente, sean digitales o no, se requiere que las personas manifiesten clara y explícitamente su consentimiento a que sus datos puedan ser tratados por la empresa.
4. Dar la información necesaria
Es obligatorio informar de forma clara de la finalidad de los datos requeridos y sus destinatarios, así como también de la base jurídica del tratamiento y del tiempo máximo durante el cual se mantendrán los datos, entre otras cuestiones.
Una cuestión capital es informar sobre los derechos que tienen los usuarios sobre sus datos de carácter personal: acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad de los datos, además de poner todos los medios para que estos derechos se puedan ejercer de manera fácil y rápida.
5. Comunicar las violaciones o brechas de seguridad
Tal como debe constar en el documento de Seguridad, es obligatorio notificar a la AEPD en un plazo máximo de 72 horas los problemas de seguridad que se hayan detectado.
6. Garantizar los derechos digitales
La nueva ley da mucha importancia a los derechos digitales, dedicándole una sección específica. Nos referimos a cuestiones como: derecho de los trabajadores a la desconexión digital fuera del horario del trabajo, protección de los menores, garantía de neutralidad de la red o testamento digital, que es el derecho de los familiares de las personas fallecidas a gestionar o suprimir los contenidos online de las mismas.
¿Pueden sancionarme por no cumplir con la Ley de Protección de datos?
Por supuesto que sí. Hay establecidas multas que pueden alcanzar hasta los 20 millones de euros, aunque todo depende del volumen de facturación anual de la empresa y de la gravedad de la infracción.
Una falta muy grave sería, por ejemplo, no informar al usuario sobre el tratamiento de sus datos o mentirle sobre su finalidad. La no implantación de las medidas técnicas necesarias para proteger los datos sería una falta grave, mientras que las leves serían el incumplimiento de ciertas obligaciones por parte del encargado del tratamiento.
Para ayudar a tu empresa a afrontar el cumplimiento de la ley de protección de datos, GDX Group te ofrece un servicio de consultoría a medida, que incluye tanto adecuación y formación, como seguimiento y auditoría continua. Ponemos a tu disposición un servicio especializado de DPO o Delegados de Protección de Datos. Además, como expertos en seguridad documental, también podemos proporcionar las mejores soluciones tecnológicas para facilitar el cumplimiento de la normativa. ¿Necesitas más información?
