Miércoles. 20.09.2017

Guía para cumplir con la Ley de protección de datos

La nueva ley de protección de datos entrará en vigor en la primavera de 2018.
Guía para cumplir con la Ley de protección de datos

La Ley de Protección de Datos Personales (LOPD) es más o menos compleja en función del tipo de datos que tratamos, su volumen o de quién los tratamos. No obstante, para la mayoría de los autónomos, bastará con cumplir los siguientes trámites básicos, que a continuación describiremos, para estar al día:

1-.Notificar los ficheros ante el Registro General de la Agencia Española de Protección Datos.

Este trámite, no significa que tengamos que decir quiénes son nuestros clientes, proveedores o trabajadores, sino que simplemente describiremos, mediante un formulario, los tratamientos de datos que realizamos.

A. ¿Cómo realizar la notificación?:

  1. Acceder a la web de la Agencia de Protección de Datos.
  2. Ir al enlace Notificaciones Electrónicas NOTA.
  3. Seguir las instrucciones para acceder al formulario de Ficheros Privados.
  4. Cumplimentar un formulario por cada fichero (Trabajadores, Clientes y Proveedores, Video Vigilancia…).
  5. Una vez cumplimentados, los puede enviar por medio de la Sede Electrónica de la propia Agencia o por correo postal a la calle Jorge Juan, nº 6, 28001 de Madrid. La Agencia tiene un teléfono 901.100.099 de asistencia.

B. Cumplir con el deber de información y consentimiento

Consiste en dos pasos fundamentales:

  1. Informar a los titulares de los datos personales en la recogida de:
-Quién es el responsable del tratamiento (Datos del Autónomo).
-Finalidades del tratamiento.
-Cesiones a terceros, si las hay.
-Dirección postal o electrónica donde el titular pueda solicitar sus derechos de acceso, rectificación cancelación y oposición.
  1. Obtener el consentimiento para el tratamiento de los datos personales.

El consentimiento en las actividades desarrolladas por los autónomos, en un 99% de los casos, no es necesario solicitarlo, ya es que implícito a la contratación de los servicios. No obstante, lo deberemos solicitar:

-Si pretendemos utilizar sus datos para otras finalidades que no tengan relación con el objeto principal de la solicitud.
-Pretendemos cederlos a terceros, cuando no sea necesarios para el desarrollo del servicio prestado.
  1. Modelo Cláusula de Información: Los modelos de cláusulas variarán en función del tipo de titular y finalidades (trabajador, clientes, video vigilancia…), pero todas tienen un esquema muy similar:
En virtud de lo establecido en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, le informamos que los datos personales proporcionados y los derivados de la relación contractual, son confidenciales y forman parte de nuestro fichero de Gestión con la finalidad de gestionar el servicio contratado, así como remitirle información comercial, inclusive por medios electrónicos. En cualquier caso podrá ejercer los derechos de acceso, rectificación, cancelación y oposición previstos en la ley dirigiéndose a _______________ C/ ___________ de ________, aportando copia de su DNI.

C. Regular nuestra relación con nuestros proveedores que puedan acceder a datos de nuestra responsabilidad (Gestores, informáticos...)

A este tipo de proveedores, la LOPD los denomina encargados de tratamiento, ya que acceden a los datos del autónomo por petición de éste y según sus instrucciones, de manera que el responsable de los datos continua siempre siendo del autónomo.

No obstante, para contratar a este tipo de proveedores (encargados de tratamiento) es obligatorio:

  1. Regularlo por escrito por medio de un contrato específico (Contrato de Encargado de Tratamiento), o bien incluyendo una cláusula en nuestro contrato de prestación de servicios, presupuestos…, siempre que vaya firmado por ambas partes.
  1. El contrato o cláusula deberá contener:
-Que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento (Autónomo).
-Que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
-Las medidas de seguridad que debe cumplir el proveedor para proteger los datos personales a los que pueda acceder.
-Que una vez cumplido el servicio el proveedor deberá destruir o devolver al autónomo los datos que tenga en su poder.
-Que en el caso de que el proveedor destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.
  1. Modelo Cláusula de Encargado de Tratamiento:
En el supuesto que el desarrollo del presente contrato implique el acceso a los ficheros de datos personales de ___________, en cumplimiento del artículo 12 de la LOPD, el PROVEEDOR, como encargado de tratamiento, queda autorizado a su acceso y tratamiento única y exclusivamente para llevar a cabo el servicio objeto del presente contrato, y con sujeción a las siguientes especificaciones: a) Únicamente tratará los datos personales conforme con la finalidad e instrucciones del CLIENTE, b) No aplicará o utilizará los datos personales suministrados con fin distinto al que figura en el presente contrato, ni los comunicará, ni siquiera para su conservación, a otras personas, c) Adoptará las medidas de índole técnica y organizativa que le correspondan para garantizar la seguridad de los datos personales suministrados. Para ello aplicará todas las medidas de seguridad de nivel básico exigidas en el Real Decreto 1720/2007, d) Finalizada la prestación, los datos personales serán destruidos o devueltos al CLIENTE, e) Todos los datos personales suministrados tienen el carácter de confidencial. El PROVEEDOR deberá comunicar y hacer cumplir a sus empleados las obligaciones establecidas en el presente contrato. En el supuesto que el PROVEEDOR incumpla alguno de los requisitos y estipulaciones pactadas en el presente contrato y destine los datos a otra finalidad, o los comunique, será considerado responsable del tratamiento, y responderá de las infracciones en que hubiera incurrido personalmente, exonerando de toda responsabilidad al responsable de los ficheros.


Importante: Recuerde que en el supuesto de que su actividad como autónomo implique el acceso a los ficheros de datos personales de sus clientes, deberá incluir en sus contratos la cláusula conforme actúa como encargado de tratamiento, o en su caso, firmar un contrato específico.

D. Aplicación de las medidas de seguridad reglamentarias

La LOPD impone al responsable del fichero la obligación de adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado. Estas medidas han sido desarrolladas en el Reglamento de desarrollo de la LOPD (Real Decreto 1720/2007).

El reglamento de seguridad recoge las medidas que se deben adaptar, en función de la tipología de los datos. A continuación, le indicamos las principales medidas de seguridad que un autónomo debe aplicar:

  • Utilizar contraseñas individuales para acceder a los ordenadores y cambiarlas como mínimo anualmente.
  • Realizar, como mínimo semanalmente, copias de seguridad y mantener éstas custodiadas y debidamente identificadas e inventariadas.
  • Disponer de un formulario de Registro de incidencias, por si sufre alguna que haya puesto en peligro los datos personales.
  • Si dispone de trabajadores, informarles de las medidas de seguridad que deben aplicar. Además, deberá disponer de un registro que indique a qué ficheros pueden acceder los distintos usuarios.

Todas las medidas de seguridad que se apliquen, deberán incluirse en un DOCUMENTO DE SEGURIDAD. Para confeccionar su documento de seguridad, puede utilizar el modelo que recomienda la Agencia Española de Protección de Datos, accesible en:
 

E. Atención de los derechos de los ciudadanos:
Todos los ciudadanos tenemos unos derechos recogidos en la LOPD para facilitar el control sobre nuestros datos personales. Estos derechos son:

  • Derecho de Acceso: Permite al ciudadano conocer y obtener información sobre sus datos de carácter personal sometidos a tratamiento.
  • Derecho de rectificación: Permite al ciudadano solicitar la corrección de errores y la modificación de los datos que resulten ser inexactos o incompletos.
  • Derecho de cancelación: Permite al ciudadano solicitar que se supriman sus datos.
  • Derecho de oposición: Permite al ciudadano a solicitar que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo.

Todo autónomo, de manera gratuita, deberá facilitar y garantizar el ejercicio de estos derechos a cualquier ciudadano que se los solicite en los PLAZOS indicados en la propia Ley:

  • Derecho de Acceso: 1 mes.
  • Derecho de rectificación, cancelación y oposición: 10 días.

F. Otros derechos y obligaciones de relevancia

  1. Calidad de los datos: Los datos personales que solicitemos deberán ser adecuados, veraces y no excesivos. Este principio implica básicamente:
-No solicitar más datos de los que necesitemos.
-Mantenerlos actualizados.
-Eliminarlos cuando ya no sean necesarios.
  1. Deber de guardar secreto: El autónomo, deberá en todo momento, garantizar el cumplimiento de los deberes de secreto y seguridad.

En conclusión, aplicando los 6 pasos descritos, el autónomo cumplirá con las principales obligaciones que exige la Ley de Protección de Datos Personales, sin perjuicio de que, en determinados casos, se deban aplicar otras medidas si se tratan datos considerados sensibles o por las particularidades de la actividad desarrollada.
Asimismo, es conveniente que el autónomo conozca más a fondo las implicaciones de la LOPD, por lo que le recomendamos que entre en la página web de la Agencia Española de Protección de Datos y visite, tanto el Canal de Ciudadano, como el Canal del responsable.

Recuerde que cualquier duda, puede contactar con la Agencia a través del teléfono 901.100.099 o sus formularios de contacto de su página web.

Guía para cumplir con la Ley de protección de datos