Como habrás podido escuchar o leer recientemente, el pasado mes de mayo de 2016 quedó aprobado finalmente el esperado Reglamento Europeo de Protección de Datos que, una vez entre en vigor en mayo de 2018 y la Agencia Española de Protección de Datos articule los mecanismos necesarios para su implantación, variará el escenario de protección que hasta ahora venía garantizando la Ley Orgánica de Protección de Datos 15/1999 (LOPD) y su reglamento de desarrollo.
Día Europeo de la Protección de Datos
Entre tanto, y aprovechando que el próximo 28 de enero celebramos el Día Europeo de Protección de Datos, con el ánimo de ayudar a las pequeñas y medianas empresas a cumplir con uno de los principios básicos de esta ley, la concienciación a sus empleados y colaboradores, ponemos a su disposición un útil decálogo que pueden adaptar y difundir entre su plantilla.
Es un texto de mínimos, en lenguaje no técnico y desprovisto de términos jurídicos, lo que ayuda a la comprensión por cualquier empleado, sea cual sea su rol en la compañía.
Espero que os sea útil.
Consejos para cumplir con la LOPD
-
Recuerda que los datos son de las personas
Los datos personales (información numérica, alfabética, gráfica, fotográfica o acústica sobre personas) pertenecen a las personas a las que se refieren y sólo ellas pueden decidir sobre los mismos. Por tanto, ni el empleado ni la empresa son dueños de ellos.
-
Para empezar, comprueba que el fichero está creado
Es necesario que compruebes que el fichero está creado, esto es, que está inscrito en la Agencia Española de Protección de Datos www.agpd.es y que existe un Responsable de Seguridad y/o una persona responsable del fichero en tu organización, quienes pueden y deben resolver las dudas que se te presenten.
-
Informa y pide el consentimiento
Cuando solicites datos personales a los ciudadanos, debes informarles de la existencia del fichero y, sobre todo, de su finalidad. En algunos casos (datos sensibles o especialmente protegidos) será necesario, además, que les solicites el consentimiento expreso para tratar sus datos (firma, grabación, etc.).
-
Solicita y trata sólo datos adecuados, pertinentes y no excesivos
Los datos personales han de ser adecuados, pertinentes y no excesivos con relación a la finalidad para la que se recogen.
No puedes utilizar datos personales recogidos para finalidades distintas y/o incompatibles con aquéllas para las que se recogieron.
-
Cumple las medidas de seguridad
Es tu obligación cumplir la normativa de seguridad en materia de protección de datos personales. Si no te la han entregado, debes reclamarla a tu Responsable de Seguridad de la organización. Sobre todo, no olvides de:
- Utilizar las contraseñas seguras y no compartirlas.
- Guardar los expedientes o listados con datos personales en armarios, que cerrarás con llave cuando no estés.
- Mantener los datos personales fuera de la vista de personas no autorizadas (atención a los documentos que dejas en fotocopiadoras, impresoras, faxes o, incluso, encima de la mesa).
- No llevarte datos en memorias USB u otros soportes sin autorización previa de la Dirección de tu empresa, y si lo haces, siempre cumpliendo las medidas de seguridad establecidas en ella.
6. Facilita el ejercicio de derechos a las personas a las que se refieren los datos
Tienes que facilitar a la persona titular de los datos personales el derecho a Acceder, Rectificar, Cancelar y Oponerse al tratamiento de sus datos. Tendrás que saber informarle sobre cómo ejercerlos y facilitarle los medios para que pueda hacerlo (por lo general está en todas las leyendas legales que acompañan a los formularios de recogida de datos).
-
Cumple con tu deber de secreto
Mantén, indefinidamente, absoluta reserva y sigilo sobre cualquier información personal a la que accedas en el ejercicio de tus funciones. Te obligan a ello la normativa de protección de datos y una conducta ética básica. En ocasiones, su incumplimiento, puede ser perseguido incluso penalmente.
-
No cedas datos a terceros sin autorización
No cedas nunca datos personales a otras entidades o particulares sin autorización del Responsable de Seguridad de tu organización. Para que esto sea posible es necesario que tu empresa habilite ciertos mecanismos que lo autorice.
-
Comprueba que existe un contrato con las empresas que trabajan para tu organización
Antes de facilitar datos personales a empresas o entidades que, en virtud de contratos, realizan trabajos para tu organización (desarrollos informáticos, seguridad, limpieza, distribución de correspondencia, etc.) asegúrate que existe un contrato firmado, y que contenga una cláusula en donde se les imponen obligaciones de confidencialidad y de seguridad de la información respecto a los datos de carácter personal.
-
Cuando no sean necesarios cancela los datos de forma adecuada
Cancela los datos cuando dejen de ser necesarios o pertinentes para la finalidad para la cual fueron recogidos. Algunas veces, antes de destruirlos habrá que bloquearlos, es decir, imposibilitar el tratamiento y permitir el acceso sólo cuando se den algunas situaciones concretas (como requerimiento de información por las Administraciones Públicas o los Tribunales).
Para destruir ficheros con datos personales en soporte papel utiliza las destructoras de papel o el sistema seguro que haya establecido en la organización, o si el servicio está externalizado exige que te entreguen un certificado de destrucción.
Miguel Ángel Abeledo, Director corporativo de Organización y Sistemas en IMF Institución Académica
Latest posts by El Blog de IMF Business School (see all)
- Los proyectos y sus características principales - 02/01/2023
- Consejos para elaborar el currículum - 29/12/2022
- 10 razones para estudiar un MBA - 22/08/2022