Existen una serie de creencias erróneas en referencia a la Ley Orgánica de Protección de Datos (LOPD). En este artículos enumeraremos y aclararemos las diez más comunes:
1. Eso de la Protección de Datos es sólo para las empresas. Falso, la Ley de Protección de Datos de Carácter Personal 15/99 afecta a todo aquel, autónomo, empresa, comunidad de vecino, ONG, asociación, colegio profesional, etc., que crea un archivo con datos de carácter personal de sus clientes, trabajadores, pacientes, vecinos, alumno, socios, asociados, colegiados, proveedores, etc., con independencia de su razón social y la mayoría en nuestra actividad profesional disponemos de datos personales.
¿Qué es un dato personal? Un dato personal es aquel que nos identifica o nos puede identificar, nombre y apellidos, dirección, matrícula, CIF/NIF, teléfono, mail, historial clínico, radiografía, fotografía, grabación de voz, video, marca física, cuenta bancaria, IP, firma, tarjeta de crédito, número de la seguridad social, número de colegiado, socio, etc. Estos datos están protegidos por esta Ley Orgánica de obligado cumplimiento cuando se refieran a personas físicas, por tanto tenemos unos derechos y unos deberes. Los datos mercantiles no están protegidos por esta normativa
2. La Agencia Española de Protección de Datos no va a venir a mi tienda. La Agencia Española de Protección de Datos (AEPD), generalmente inicia proceso por denuncia, pero puede actuar de forma aleatoria. Cada vez más, el denunciante es un trabajador despedido, para negociar al alza su finiquito, ya que es conocedor de las altas sanciones que conlleva una infracción en materia de protección de datos, por este mismo motivo el segundo perfil de denunciantes es la propia competencia, un cliente enfadado e insatisfecho, un reclamación mal gestionada o un trabajador despechado pueden dar al traste con todo el esfuerzo que supone posicionar a su empresa en el mercado con una imagen de calidad y prestigio. A nivel autonómico, son los inspectores de la Consejería de Empleo y la Conserjería de Sanidad y Bienestar Social, los que puede requerirle la documentación y registro en esta materia según la actividad que usted tenga, incluso las fuerzas y cuerpos de seguridad, también pueden requerírselo, en especial si su negocio dispone de cámaras de video vigilancia.
3. Yo no manejo datos personales, los datos de mis trabajadores los tiene la gestoría. El responsable de los datos personales de su empresa a efectos de la AEPD, es la empresa. La gestorías o proveedores de servicios que manejen datos de sus empresa, como nóminas, facturas de clientes, prevención de riesgos laborales, asuntos judiciales, servicios técnicos e informáticos de mantenimiento, hosting o gestión de webs, empresas que realicen formación en su empresa y en definitiva todo aquel que disponga de información de sus clientes, trabajadores o proveedores considerados datos de carácter personal, son considerados encargados de tratamiento y por ello hay que regular legalmente su relación mediante un contrato de encargado de tratamiento que delimite las responsabilidades. Si hubiera alguna filtración de información, cesión a terceros, terminantemente prohibida por la Ley, la sanción no recaería sobre sus proveedores de servicios como el gestor laboral que le gestiona las nóminas, sino sobre usted, como responsable de los datos, aunque no disponga físicamente de ellos en su empresa.
4. Cesión de datos no consentida, un buen número de empresas y autónomos no son conscientes de que ceden datos de sus trabajadores, clientes, pacientes, etc., a terceros sin autorización expresa para ello. Esta infracción puede conllevar sanciones de hasta 601.012€.
5. Falta de inscripción de archivos en el Registro General de la Agencia Española de Protección de Datos, en general es muy típico que instalemos cámaras de video vigilancia en nuestro establecimiento y que , en el mejor de los casos, pongamos en lugar visible la pegatina que informa de la captación de imágenes que nos ha facilitado la empresa instaladora, pero eso no basta, las empresas tienen que disponer de lo que se llama un Documento de Seguridad, que recoge toda la política de la empresa en materia de protección de datos, inscripción de archivos ante la AEPD, finalidad, uso, personal con acceso a datos, encargados de tratamiento, junto con las correspondiente auditoría anuales o bianuales según los datos personales que maneje la empresa. La infracción por ausencia del Documento de Seguridad es de 60.101€.
Hay que recordar que la Agencia Española de Protección de Datos no recibe financiación de los Presupuestos del Estado, sino que se autofinancia de las sanciones, que son abundantes y contundentes. En una inspección las sanciones son acumulativas, es decir que se van sumando una a otra.
6. Desconocimiento de la norma por los empleados. La buen número de las infracciones, tienen como origen el desconocimiento de la norma por parte de la plantilla de trabajadores, el famoso “yo no sabía que no podía…”, no exime de responsabilidad a la empresa u autónomo. Casos como una cesión de datos indebida, un mail mal enviado, un dato personal filtrado, documentación mal destruida, cuántas veces hemos oído noticias de información encontrada en la basura de carácter personal, listados de clientes con nombre, apellidos, direcciones e incluso cuentas bancarias, expedientes clínicos, etc. Nuestra recomendación es utilizar destructoras de papel.
7. Envío de documentación a varios contactos sin copia oculta. No hay que olvidar que la AEPD, ya está sancionando con 1.500€, incluso a particulares, por esta infracción y es actualmente de las más comunes. Cuando enviamos un correo electrónico a varios de nuestros contactos, hay que realizarlos mediante copia oculta, ya que el mail es un dato de carácter personal, y el resto de contactos no tienen porque saber mi dirección.
8. No informar a los clientes de los derechos que tienen ni de la finalidad que se le va a dar a nuestros datos. El principio de información en protección de datos es de los más importantes. Cada vez que obtenga datos personales, ya sea por un formulario, albarán, factura, formularios de contacto, o de reserva en las web, tiendas virtuales o folletos publicitarios, o en nuestro mail hay que incluir la cláusula informativa. Y en ocasiones hay que obtener la autorización explícita, es decir, firmada del titular de los datos que recogemos.
9. Tengo una web con un formulario de contacto y no tengo mecanismo de verificación que permita asegurar que he informado a mi cliente. En esta misma dirección y cumpliendo con la normativa de la Ley de Servicios de Información y Comercio Electrónico (LISSCE), todo aquel que tenga una web, a la que accedan sus clientes para adquirir cualquier producto o servicio, o a través de la cual la empresa obtenga datos de carácter personal , debe de tener los mecanismos de verificación oportunos para que el usuario pueda acceder al Aviso Legal y a la Política de Privacidad, además es obligatorio que el titular de la web o tienda virtual inscriba su dominio en el mismo Registro Mercantil donde tienen registrada su empresa, además de cumplir con el resto de requisitos que marca esta Ley.
Es necesario, antes de recabar el dato, informar de para qué se recaba, de los derechos que nos asisten, de cómo se pueden ejercer esos derechos y del nombre del archivo y titular dónde se van a almacenar esos datos, archivo que previamente se ha registrado ante la AEPD y del número de registro asignado por esta.
10. Recibo a menudo muchos curriculum vitae de gente que se ofrece para trabajar en mi empresa. La mayoría de las empresas, recogen C.V. sin ton ni son y sin obtener la autorización del solicitante para almacenar o ceder esos datos a terceros. La obtención de datos personales no puede ser indiscriminada ni injustificada, sino que tiene que tener un motivo concreto, que es con el que hemos registrado ese archivo frente a la AEPD, una vez que tenemos un proceso de selección, la empresa tienen la obligación de recabar el consentimiento de todos los solicitantes, mediante un documento que facilitamos a nuestros clientes y que adjuntan al C.V. entregado, en caso de inspección siempre tendremos dicha autorización además de la prueba firmada de que hemos informado al solicitante de sus derechos.
En mi opinión, tener una adecuada gestión de los datos personales que obtenemos en nuestra actividad comercial, es una cuestión de actitud, podemos pagar impuestos o no, igual que podemos cumplir con la ley en materia de protección de datos o no, la responsabilidad es la de cada uno. En general no sé es consciente del peligro de no estar adaptado a esta normativa, hasta que conocemos algún caso de infracción en nuestro entorno. Yo siempre le digo a mis clientes que es como tener una bomba de relojería en el cajón de la mesa, la pregunta no es si explotará o no, sino cuándo, puedes llevar años sin que te pase nada y sin tener una inspección y en un momento determinado te toca, como la Agencia Tributaria, solo que con la AEPD no se negocia, se paga o en 30 días embargan.
No hay que temer una inspección ni una sanción, pero debemos de tener la actitud de incorporarla a la rutina en los procesos de nuestra empresa, así es como se consigue una buena implantación en toda nuestra organización. Es más fácil de lo que se cree.
Para un autónomo o pyme media, los gastos de implantación no son muy elevados pueden estar en el entorno de quinientos euros acudiendo a un consultor externo, para empresas un poco más grandes de entre 10 y 50 trabajadores puede estar en el entorno de los mil euros, si hablamos de empresas más grandes ya hay que estudiar la necesidades de cada caso, no es una inversión excesiva en comparación con las sanciones que se pueden tener.
Aproximadamente el 30% de la empresas, autónomos y organizaciones, ya cumplen con la normativa, y la verdad es que hemos avanzado muchos, cuando empezamos asesorando a nuestros primeros clientes, era como hablar en el desierto, nadie sabía de qué hablamos, hoy en día hay muchas más concienciación y una actitud más responsable, no sólo en la implantación de la normativa , sino con el mantenimiento y supervisión anual de las políticas de protección de datos de las empresas, no obstante todavía queda un largo camino por recorrer.