Toda persona, empresa, entidad u organismo, ya sea público o privado, que en el ejercicio de su actividad recopila datos de carácter personal (de personas físicas: clientes, contactos, proveedores, empleados…) está obligado a tratar dichos datos de conformidad a la normativa en materia de Proteccion de Datos de carácter personal (LOPD y normas complementarias), cuyo objeto es proteger la intimidad y demás derechos fundamentales de las personas físicas.
Esta obligación a menudo es descuidada por parte de los emprendedores, ya que obviamente tienen otros muchos frentes abiertos, hasta que lamentablemente les llega una sanción.
A tal fin la LOPD obliga a cumplir una serie de requisitos y aplicar determinadas medidas de seguridad en función del tipo de datos de carácter personal que se traten.
Obligaciones en cumplimiento de la LOPD
Además de las medidas técnicas y organizativas para garantizar la seguridad de los datos de carácter personal, destacaremos las siguientes:
- Inscripción de los ficheros ante la Agencia Española de Proteccion de Datos
- Redacción de un Documento de Seguridad
- Realización de una Auditoría de Proteccion de Datos
Inscripción de los ficheros ante la AEPD
Las personas o entidades de cualquier tipo indicadas anteriormente que traten datos de carácter personal (ya sean o no automatizados) están obligadas a inscribir ante la Agencia Española de proteccion de Datos los ficheros que se generen con dichos datos, así como las modificaciones o supresiones que en los mismos se produzcan.
El incumplimiento de tal obligación será considerado como infracción leve (entre 900 y 40.000 Euros).
Niveles de seguridad de los ficheros de datos
Las medidas de seguridad de los ficheros de datos se clasifican en tres niveles: nivel básico, nivel medio y nivel alto, atendiendo a la naturaleza de la información recogida, tratada y almacenada en los ficheros, y la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la información contenida en dichos ficheros.
No olvidemos que el 99% de negocios manejan datos sensibles de clientes.
Nivel Básico de seguridad
El nivel básico de seguridad se aplica a los ficheros que contienen datos identificativos: Nombre, DNI, edad, sexo, fecha nacimiento, nacionalidad, domicilio, teléfono, número de afiliación a la seguridad social, fotografía, firma, correo electrónico, o datos bancarios.
Asimismo, aquellos ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual será suficiente la implantación de las medidas de seguridad de nivel básico cuando:
- Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.
- Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.
- Sean ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.
Nivel Medio de seguridad
En el nivel medio de seguridad, se aplica a los ficheros o tratamientos que contengan datos relativos a solvencia patrimonial y crédito, antecedentes penales, la comisión de infracciones administrativas o penales, sanciones administrativas, pruebas psicotécnicas, currículos, los que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento y hábitos de consumo de los mismos.
Y, asimismo, aquellos de los que sean responsables:
- Las Administraciones Tributarias y se relacionen con el ejercicio de sus potestades tributarias.
- Las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.
- Las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias,
- Las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
- Los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los de localización.
Nivel Alto de seguridad
El nivel alto de seguridad se aplica a los ficheros que contienen datos especialmente protegidos, como los relativos a ideología, afiliación sindical y política, religión y creencias, origen racial, salud o vida sexual, respecto a los que no se prevea la posibilidad de adoptar el nivel básico, de conformidad a lo comentado en dicho nivel. Así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas, o los derivados de actos de violencia de género.
Redacción de un Documento de Seguridad
Es el documento mediante el cual el responsable del fichero elabora y adopta las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal, y es de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información.
Es, por tanto, obligatorio disponer y cumplir lo establecido en el Documento de Seguridad, siempre que se traten datos personales, cualquiera que sea el nivel de seguridad al que corresponda. Su incumplimiento será considerado como infracción grave (entre 40.001 y 300.000 Euros).
Realización de una Auditoría de Proteccion de Datos
Mediante la Auditoria, se verifica, controla y supervisa la correcta implantación de las medidas de seguridad adoptadas, determinadas en función del nivel de seguridad que corresponda.
Es obligatoria para quien maneje datos de carácter personal con un nivel de protección medio o alto, y puede ser interna o externa.
La Auditoria de proteccion de datos debe revisarse cada dos años, tanto si se han producido o no modificaciones en el sistema de información, o con anterioridad, siempre que se realicen modificaciones sustanciales en el mismo.
Su incumplimiento será considerado como infracción grave con sanciones entre 40.001 y 300.000 Euros.
¿Como puedo prevenirlo? La realización del documento de seguridad y la Auditoria de Proteccion de Datos, cuesta entre 400-1.500 euros, frente a los 40.000-300.ooo euros de multa.