Todas los personas o entidades están obligadas a cumplir con la Ley Orgánica de Protección de Datos, más conocida como LOPD, cuando recaben en sus actividad datos de carácter personal, entendidos éstos como todos aquellos que identifiquen a una persona física.
Téngase en cuenta que cuando decimos TODAS…. Hablamos de TODAS. No solo bancos, o empresas, también comunidades de vecinos o propietarios, clubes deportivos o sociedades, cofradías, hermandades, y en general cualquier colectivo que maneje datos de sus miembros o de terceros con quienes se relaciona.
El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos que obliga a realizar una serie de cambios con plazo límite hasta 25 de mayo de 2018.
Mientras tanto, la actual LOPD sigue vigente.
Esta Ley tiene como finalidad garantizar la protección y buen tratamiento de datos de carácter personal.
Los datos de carácter personal se clasifican en tres niveles atendiendo al nivel de la información que recojamos de nuestros clientes y/o usuarios:
- Nivel básico: datos identificativos, como el NIF, NºSS, nombre, apellidos, dirección, teléfono, firma, imagen, e-mail, nombre de usuario, número de tarjeta, matrícula, etc…
- Nivel medio: datos a cerca de infracciones administrativas o penales, solvencia o crédito, datos tributarios o de la Seguridad Social, datos de prestación servicios financieros, y datos referentes a la personalidad o comportamiento de las personas, como gustos, costumbres aficiones etc…
- Nivel alto: datos a cerca de ideología, religión, creencia, origen racial, salud, vida sexual o violencia de género.
El responsable de estos datos y de su tratamiento será la persona que decida sobre la finalidad, el contenido y el uso del tratamiento de los datos personales. Y por tanto será sobre quién recaerán las obligaciones establecidas por la LOPD, y quien deberá hacer que se cumpla la Ley.
Entre los deberes del responsable estarán:
- Inscripción de ficheros; ante el Registro General de Protección de datos.
- Calidad de los datos; que estos sean adecuados y veraces.
- Deber de guardar secreto; garantizar el cumplimiento de los deberes de secreto y seguridad.
- Deber de información; Informar y obtener consentimiento para la recogida y tratamiento de los datos personales.
- Atención de los derechos de los ciudadanos; derecho de acceso, derecho de rectificación y cancelación y derecho de oposición.
Según la Ley 2/2011, de 4 de marzo de Economía Sostenible, sobre la LOPD, artículo 45, que modificó algunos puntos de la Ley Orgánica 15/1999 de Protección de Datos, los importes de las sanciones se han reducido y quedan de la siguiente manera:
- Las infracciones leves serán sancionadas con multas de 900 a 40.000€.
- Las infracciones graves serán sancionadas con multas de 40.001 a 300.000€.
- Las infracciones muy graves serán sancionadas con multas de 300.001 a 600.000€.
Los pasos para el proceso de implantación de la LOPD serán:
- Identificación de los ficheros que contengan datos de carácter personal (empleados, clientes, proveedores, etc…).
- Identificación del nivel de seguridad que se les aplica.
- Identificación del Administrador del Fichero.
- Elaboración del Documento de Seguridad.
- Formación al Responsable del Fichero.
- Información a los propietarios de los datos, sobre la existencia de los ficheros.
- Inscripción de los ficheros en el Registro de la Agencia Española de Protección de Datos.
Además si existen datos calificados de nivel medio y/o alto, estaremos obligados a hacer auditorías bienales como mínimo. La realización de la auditoría será también obligatoria en el caso de cambios en los sistemas de información que puedan afectar a las medidas ya implantadas.
Reglamento General de Protección de Datos (RGPD)
Esta normativa europea ya en vigor tiene como fin aportar un único marco comunitario para la protección de datos. Con ella se procura la mejora del proceso y reducir los trámites burocráticos.
Las empresas adquirirán un mayor compromiso con la gestión y privacidad de los datos.
En este sentido, entre las nuevas prácticas que autónomos y pymes deben realizar en su negocio durante 2017 y hasta el 25 de mayo de 2018 están:
- Procurar el consentimiento inequívoco, y no tácito, del cliente para el uso de sus datos.
- Actualización de las cláusulas y políticas informativas en torno a la protección de datos.
- Obligatoriedad de la figura de un delegado de protección de datos.
- Puesta en marcha de Evaluación de Impacto en la Protección de Datos Personales (PIA).
- Nuevos códigos de conducta para velar por la privacidad de datos.
- Certificados y sellos de cumplimiento de la RGPD.