Protección de datos  Adecuación a la LOPD

DSI ofrece una solución integral de adecuación a la LOPD proporcionando la máxima garantía y profesionalidad. Adáptese a la ley y evite la posibilidad de ser sancionado.

Este servicio incluye entre otras las siguientes actuaciones:

  • Inscripción de los ficheros existentes en el Registro General de Protección de Datos (RGPD), previo estudio, evaluación y clasificación de los mismos.
  • Documento de Seguridad: debe redactarse un Plan de Seguridad, en el que se describa el modo en que activamente se da cumplimiento a todos los mecanismos de seguridad, tanto técnicos como procedimentales, del Reglamento de Medidas de Seguridad (RMS, Real Decreto 1720/2007), así como una amplia descripción del Sistema de Información, usuarios con permiso de acceso, etc.
  • Confección de los contratos, formularios y cláusulas para la recogida de los datos, los tratamientos por terceros y las cesiones o comunicaciones de datos.

El proyecto de adecuación de DSI le permite implantar en su empresa las medidas técnicas y organizativas previstas en la normativa, de una forma ágil y eficaz.

En vigor desde 1999, la LOPD (Ley Orgánica de Protección de Datos) impone una serie de obligaciones legales a las personas físicas o jurídicas que posean ficheros de carácter personal. También desde 1999 se establece la obligación a las empresas de poner en marcha diversas medidas destinadas a garantizar la protección de dichos datos, afectando a sistemas informáticos, archivos de soportes de almacenamiento, etc.

El incumplimiento de estas obligaciones puede acarrear multas de más de 600.000 €*.

La LOPD establece distintos niveles de seguridad en función de los datos personales guardados:

  • Nivel Básico
    Nombre, apellidos, direcciones de contacto (físicas y/o electrónicas), teléfonos (fijos y/o móviles)

  • Nivel Medio
    Comisión infracciones penales, comisión infracciones administrativas, información de Hacienda Pública, información de servicios financieros

  • Nivel Alto
    Ideología, religión, creencias, origen racial, salud, vida.

La gran mayoría de empresas guarda datos de sus clientes, proveedores, empleados… de forma que están sujetos al cumplimiento de la LOPD.

La LOPD dicta una serie de obligaciones (inscripción de los ficheros en el Registro General de Protección de Datos, redacción de documentos de seguridad, etc.) que, por desconocimiento, muy pocas empresas cumplen. El desconocimiento de la ley no exime de ella. Disponer de datos de otras personas físicas o jurídicas conlleva una serie de obligaciones legales.



Pasos del proceso de adaptación a la L.O.P.D.

  1. Recogida de Información (in situ)
  2. Elaboración del Informe de Recomendaciones 
        Jurídico (Contratos, cláusulas, etc.)
        Tecnológicas (informáticas, de acceso, etc.)
        Correos electrónicos y recomendaciones Web
  3. Registro de Ficheros en la Agencia
  4. Elaboración del Documento de Seguridad
        Mantenimiento Documento de Seguridad  
        Registro de Incidencias
        Registro de Soportes
  5. Mantenimiento LOPD

La Ley Orgánica de Protección de Datos (LOPD) tiene como principal finalidad proteger derechos fundamentales de las personas, como son el derecho al honor, la intimidad personal y la propia imagen de todas las personas físicas. Por lo tanto la LOPD, con el objeto de garantizar los derechos indicados, limita y regula el uso de la informática y otras técnicas y medios de tratamiento automatizado de los datos de carácter personal, así como la información en soporte Documental (papel). La LOPD se aprobó el 13 de diciembre de 1999 y está vigente desde el 14 de enero de 2000.

Cualquier información numérica, alfabética, gráfica, fotográfica, o de cualquier otro tipo, susceptible de recogida, registro, tratamiento o transmisión concerniente a una persona física identificada o identificable, como puede ser empleados, clientes, proveedores, pacientes, asegurados, etc.,

El conjunto de la información de los datos de carácter personal se denomina Fichero y el responsable de éste se denomina Responsable del Fichero, estando obligado a adoptar las medidas técnicas y organizativas de seguridad necesarias para garantizar la integridad, disponibilidad y confidencialidad de los datos de carácter personal que se disponen.

Toda empresa o autónomo que tenga y trate datos de carácter personal, ya sea en un sistema informático o en soporte papel, está obligada al cumplimiento de la LOPD.

El Reglamento acrecienta la seguridad jurídica y resolverá determinadas cuestiones o lagunas interpretativas que pudieran existir en la actualidad, con especial atención a todo aquello que pueda suscitar una mayor sensibilidad a los titulares del derecho y los sujetos obligados por la Ley. Recoge, además, la interpretación que de la Ley Orgánica han efectuado los Tribunales a través de la jurisprudencia.

La norma incluye expresamente en su ámbito de aplicación a los ficheros y tratamientos de datos no automatizados (en papel) y fija criterios específicos sobre medidas de seguridad de los mismos. Igualmente, regula todo un procedimiento para garantizar que cualquier persona, antes de consentir que sus datos sean recogidos y tratados, pueda tener un pleno conocimiento de la utilización que estos datos vayan a tener.

Muchas empresas tienen la creencia de declarando un fichero en la Agencia ya están adaptadas a la LOPD. La realidad es que ese paso es solo el inicio. A continuación damos algunos ejemplos de exigencias de la ley no tenidas en cuenta por la mayoria de las empresas:

  • No realizar la auditoria externa CADA 2 AÑOS
  • No tener el documento de seguridad actualizado
  • No tener actualizado los registros de incidencias y de accesos
  • No encriptar la informacion de nivel alto cuando se envia por correo electrónico
  • No implantar todas las medidas de seguridad exigidas
  • No tener las copias de seguridad de datos de nivel alto externalizadas
  • Ceder datos a terceros (gestoria laboral, fiscal,..) sin el previo consentimiento de los afectados (empleados, clientes,…)
  • No tener establecido un mecanismo para las posibles reclamaciones
  • No informar a los afectados sobre sus derechos cada vez que se obtienen datos de carácter personal
  • No haber dado de alta en el Registro de la Agencia todos los ficheros ( p.e. videovigilancia)

La mayoría de las empresa que han recibido sanciones de la Agencia de Protección de Datos creían cumplir la ley y sin embargo recibieron sanción.

Muchos responsables piensan que el riesgo de sufrir alguna consecuencia por no cumplir esta normativa es mínimo (como mucho una mínima sanción), por lo que ni si quiera se preocupan por conocer las verdaderas consecuencias.

No existe una ley, en la actualidad, por la que por incumplimiento, se puedan aplicar sanciones tan fuertes como estas, por lo que los Responsables deberían estar perfectamente informados:

  • Sanciones económicas que pueden llegar a los 600.000 €. Un error al enviar un correo electrónico a una persona que no lo solicitó, tirar a la basura documentos con datos de carácter personal, ceder datos de empleados a empresas sin su conocimiento y sin firmar Contratos de Confidencialidad, no informar de sus derechos a los afectados, etc. son causas de sanción.
  • Responsabilidad personal y penal. El artículo 19 del Código Civil, impone penas de cárcel, al Responsable o Encargado de tratamiento, que revelen datos (cartas, imágenes, papeles, etc.) que vulneren la intimidad de las personas.
  • Indemnizaciones al afectado. El artículo 19 de la LOPD, reconoce el derecho de cualquier afectado a solicitar una indemnización al Responsable del Fichero, cuando considere que por el incumplimiento de algún artículo de la Ley, se ha dañado o lesionado sus bienes o derechos.

Una simple denuncia de un afectado (empleado, cliente, proveedor, etc.) ante la Agencia de Protección de Datos, origina la apertura de un expediente y por tanto la posibilidad de recibir sanciones.

Por lo tanto, el Gerente de una Empresa debería preguntarse si realmente está dispuesto a arriesgarse personalmente (incluso con penas de cárcel) y poner en riesgo la continuidad de su negocio por no querer cumplir esta normativa.


* La Agencia de Protección de datos se autofinancia con las sanciones que impone.

¿Quiere más información?

Rellene los siguientes datos y le resolveremos todas sus dudas.

(*)Campos obligatorios