Para cumplir con la Ley Orgánica de Protección de Datos (LOPD) hay que tener en cuenta unos principios básicos y una serie de medidas para el correcto tratamiento de los datos. Todas las empresas, independientemente de su tamaño, deben cumplir con esta normativa, así como asociaciones, comunidades de vecinos o comercios electrónicos. En este post ahondamos en la LOPD y te explicamos cómo cumplirla.
La LOPD es el conjunto de normas que regulan el tratamiento y uso que pueden hacer las empresas y profesionales de los datos de carácter personal y que los manejen en el ejercicio de su actividad
La Ley Orgánica de Protección de Datos lleva en su contenido un conjunto de normas que regulan el tratamiento y uso que pueden hacer empresas y profesionales de los datos de carácter personal de los que dispongan en el ejercicio de su actividad, así como los derechos de los titulares sobre ellos.
En este sentido, es muy importante su cumplimiento. Todas las empresas (grandes, medianas y pequeñas), además de los autónomos, que manejen datos de carácter personal de clientes, trabajadores, proveedores, etc. deben cumplir lo que determina la LOPD, independientemente del soporte que utilicen para el registro de estos datos (papel o informatizado). También es de obligado cumplimiento para asociaciones, tiendas online y similares, o comunidades de vecinos. En el caso de que dispongas de un sitio web o un comercio electrónico, también debes tener en cuenta esta normativa.
Pasos para cumplir la LOPD
- Remitir, a través de los formularios correspondientes, los ficheros con los datos de carácter personal a la Agencia Española de Protección de Datos (AEPD).
- Notificar, así, el tipo de datos que se están tratando en un negocio y también su actualización.
- Hay que tener en cuenta que existen varios niveles de seguridad.
- Tener una copia de seguridad actualizada, tal y como determina el reglamento.
Medidas de cumplimiento
La AEPD (Agencia Española de Protección de Datos) señala una serie de medidas para cumplir con la normativa:
- Contar con un Delegado de Protección de Datos.
- Registro de actividades de tratamiento.
- Medidas de protección de datos desde el diseño y por defecto. El principio de protección de datos desde el diseño tiene como objetivo cumplir los requisitos definidos en el RGPD (Reglamento General de Protección de Datos), por lo que busca que la protección de datos se encuentre presente en las primeras fases de concepción de un proyecto. Mientras que el concepto de privacidad por defecto se refiere a que sólo sean objeto de tratamiento los datos personales que sean estrictamente necesarios para cada uno de los fines de tratamiento. Es decir, que no todos los tratamientos accedan a todos los datos, sino que actúen sólo sobre aquellos que sean necesarios.
- Análisis de riesgos y adopción de medidas de seguridad. Las empresas deben garantizar la confidencialidad, la integridad y la disponibilidad de los datos personales. Para ello, hay que tomar medidas tanto técnicas como organizativas.
- Notificación de brechas de seguridad. Es decir, un incidente de seguridad que afecta a datos de carácter personal, que puede ser accidental o intencionado y que puede afectar a datos tratados digitalmente o en formato papel.
- Evaluaciones de impacto sobre la protección de datos.
- La adhesión por parte de responsables y encargados de tratamiento a códigos de conducta, mecanismo de certificación, marcas de protección de datos y sellos.
- Transferencias internacionales de datos. Un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacios Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega). Se podrán llevar a cabo estas transferencias sin necesidad de una autorización de la AEPD siempre que el tratamiento de datos observe lo dispuesto en el RGPD.
Principios del RGPD
EL RGPD indica un conjunto de principios que los responsables del tratamiento de datos deben tener en cuenta para cumplir con la normativa:
- Principio de licitud, transparencia y lealtad. Los datos deben ser tratados de manera lícita, leal y transparente para el interesado.
- Principio de limitación de la finalidad. La obligación de que los datos sean tratados con una o varias finalidades determinadas, explícitas y legítimas, y se prohíbe que estos datos sean tratados posteriormente de una manera incompatible con estos fines.
- Principio de minimización de datos. Los datos deben ser adecuados, limitados y pertinentes en relación con sus finalidades.
- Principio de exactitud. Deben ser exactos, y cuando es preciso, actualizados. Además deben adoptarse todas las medidas necesarias para que se rectifiquen o supriman los datos inexactos.
- Principio de limitación del plazo de conservación. La conservación de los datos también debe limitarse en el tiempo al logro de los fines que el tratamiento persigue. Una vez logrados los objetivos, éstos deben ser borrados o desprovistos de todo elemento que permita identificar a los interesados.
- Principio de integridad y confidencialidad. Proteger los datos que se manejan frente a cualquier riesgo que amenace su seguridad.
- Principio de responsabilidad proactiva (en inglés accountability). Los responsables deben aplicar medidas técnicas y organizativas apropiadas para garantizar el tratamiento de datos personales y su protección de acuerdo a lo que establece la normativa.
¿A qué sanciones te expones de no cumplir con la LOPD?
Por no cumplir la LOPD, las sanciones impuestas por la AEPD oscilan entre los 900 euros y los 600.000 euros. Todo dependerá de la infracción y si afecta a los derechos personales de los interesados, los beneficios que se han obtenido o la cantidad de información tratada.
Si necesitas la ayuda profesional para gestionar y cumplir la protección de datos, no dudes en poner en contacto con Goya Soluciones para que podamos asesorarte con nuestro servicio de RGPD.
