Las empresas, en su calidad de agentes que manejan y tratan datos de carácter personal, están obligadas a garantizar el derecho fundamental a la protección de los datos personales de que disponen. La normativa no contempla excepciones por tamaño, facturación o sector de actividad, de forma que cualquier empresa está incluida en el ámbito de aplicación de la legislación, siempre que trabaje con ficheros con datos personales.
El nivel de exigencia en cuanto al cumplimiento de la LOPD es el mismo para todas las empresas, sin que se establezcan criterios distintos dependiendo de si es una gran empresa o una microempresa. La LOPD establece un marco general para todos y debe ser cumplida por todos.
La adaptación a la normativa sobre protección de datos es un trabajo que exige una monitorización y seguimiento constantes. Por ello el esfuerzo por parte de la empresa ha de ser decidido y continuado. Lo que se ofrece en esta guía son unas pautas para las pymes que todavía no se hayan iniciado en la protección de los datos personales.
- Fase I. Adaptación de ficheros: una de las principales implicaciones que la normativa sobre protección de datos tiene para las empresas es la necesidad de notificar sus ficheros ante el Registro de la AEPD. Para ello, como paso previo, es necesario que la empresa identifique los datos de carácter personal que se están manejando en su ámbito y cómo se encuentran éstos organizados (ficheros automatizados, no automatizados, mixtos).
- Fase II. Legitimación de datos: todos los datos de carácter personal recogidos por la empresa, deben contar con el consentimiento del afectado, así como cumplir una serie de principios y obligaciones básicas previstas en la normativa, que se tratarán en detalle en este apartado.
- Fase III. Políticas de seguridad de datos: la LOPD y el RDLOPD establecen una serie de medidas de carácter técnico y organizativo que garanticen la seguridad de los datos de carácter personal, que habrán de adoptarse por la empresa o profesional que almacene estos datos. Entre estas medidas se incluye la elaboración de un documento de seguridad en el que se detallarán los datos almacenados, las medidas de seguridad adoptadas, así como las personas que tienen acceso a esos datos.
Tras haber repasado la guía, mi opinión personal es que efectivamente puede ser muy útil como iniciación en el cumplimiento de los aspectos jurídicos de la LOPD y su Reglamento de desarrollo para aquellas pymes que no hayan implantado aún la protección de datos, pero se queda corta como instrumento de control posterior (probablemente tampoco era esa la intención de sus autores), y sobre todo parece olvidar un aspecto fundamental: la formación de los empleados que manejan los datos dentro de la empresa en el día a día.
No me cansaré nunca de advertir que las mayores sanciones en protección de datos no se producen porque en la empresa falte tal o cual documento, sino por vulnerar los derechos individuales de las personas físicas en el uso de la información, y esto difícilmente se resuelve con documentos: es una cuestión más cultural que legal, más de conocimientos que de papeles.
Fotografía l Ian-S Más Información l Guía para empresas: cómo adaptarse a la normativa sobre protección de datos (pdf 2,01 MB) En Tecnología Pyme l Estudio de INTECO sobre la adaptación de las pymes a la LOPD En Tecnología Pyme l Guía LOPD