A raíz de una larga conversación que hemos mantenido sobre la LOPD en el grupo de Facebook que tengo el honor de gestionar (Comunidad de ópticos
optometristas),
he visto la necesidad para muchos compañeros de conocer un poco mejor la Ley , además, despejar algunos
mitos, verdades y mentiras que pueden abocarnos a hacer las cosas mal y a tener
grandes disgustos en caso de que la
Agencia de Protección de Datos nos haga una inspección.
La mejor forma que se me ha ocurrido para hablar de
este asunto tan importante es mediante comentarios y reflexiones de los propios
compañeros, así como las aclaraciones que creo que hay que hacer sobre estos
comentarios. He seleccionado los que creo pueden servir de más ayuda y también
los que más se discutieron.
"Yo
mismo dí de alta mis ficheros ante la AEPD.
Sólo
FALSO.
Ese es un requisito más, pero no es ni mucho menos
el más importante. Lo más importante es poder asegurar que tratamos los datos
de carácter personal con el debido celo y seguridad, basándonos en los tres
principios que tiene la LOPD :
1) Calidad de los datos, 2) Información en la toma de datos y 3)
Consentimiento. Para hacer cumplir esto, la LOPD y el Reglamento
(el desarrollo práctico de la Ley )
– establecen unos mínimos que se deben cumplir y deben detallarse en el
Documento más importante en lo que respecta a la adecuación de la empresa a la LOPD , el Documento de
Seguridad. La LOPD
realmente es un grupo de prácticas de índole técnica, organiza y administrativa
que en resumen son:
1) Tener redactado y accesible al personal el
Documento de Seguridad – donde se detallan todos los procesos que se siguen en
la empresa para cumplir con la Ley
y tratar los datos personales como es debido.
2) Inscripción de ficheros en la Agencia de Protección de
Datos (como ya se ha nombrado)
3) Redacción y aplicación de cláusulas de protección
de datos, en comunicaciones, e-mails, faxes o cualquier tipo de formulario o
soporte cuya finalidad sea la recogida y almacenamiento de información
personal.
4) Gestión de los derechos de las personas sobre sus
datos, incluyendo una serie de respuestas y condiciones que se deben cumplir
para que el cliente/ paciente pueda ejercer sus derechos con una garantías
mínimas de seguridad y buenas prácticas.
5) Control accesos por parte de terceros. Esto es
especialmente sensible cuando se contrada publicidad directa a terceros o se
tiene que hacer una trasmisión de datos personales.
“(…)
Muchas de las empresas que se dedican a esto, lo que hacen es un paripé y al
final ni auditoria ni nada... te ponen que lo han hecho y ya esta. Con tal que
que hayas pagado su factura…”
VERDADERO.
La verdad es que quien hizo esta afirmación tiene buena
parte de razón. Como en todo, hay grandes profesionales que hacen muy bien su
trabajo, pero yo he visto y revisado ya bastantes Documentos de Seguridad y son
poco más de un copia-pega del documento-plantilla que hay en la propia página de
la Agencia,
no están en absoluto adecuados a la propia forma de trabajar de la óptica y
desde luego, ante una inspección no valen para nada, por una razón muy
sencilla: no hay que hacer un documento, lo que hay que hacer es adecuar la empresa y sus procesos de
trabajo parta cumplir con la Ley.
Por eso, si alguien os ofrece haceros la adecuación,
el documento de seguridad por métodos que ahora se llevan mucho, como el
consumo de lo que adelantáis cada año con los impuestos que van a la fundación
tripartita/ fondos destinados a la formación de los empleados, con lo que,
aparentemente sale gratis (que no es así, porque ya lo habéis pagado con
vuestros impuestos), desconfiad, y
os digo porqué: realmente lo que estáis pagando es un curso de formación sobre la LOPD - que está muy bien, no
lo niego, pero cuya validez al ser la mayoría en plataformas on-line es muy
discutible... repito: estáis pagando el curso, no la adecuación de la óptica a la LOPD , lo que pasa es que os dirán que os
"regalan" el documento de seguridad. Hasta ahí bien. Pero si la
persona que lo tiene que desarrollar no tiene varias entrevistas con vosotros,
si no os pregunta qué programa usáis para gestionar el fichero, cómo guardáis
las fichas, si hacéis firmar el consentimiento, si no conoce cómo trabajáis con
los datos personales, si al final no os pone tareas para adecuar realmente la
empresa a la LOPD ,
lo que está haciendo en tres palabras es que os está engañando.
No
nos equivoquemos: adecuar la empresa a la LOPD no es tan fácil, porque
tenemos que asegurar que los datos personales son debidamente tratados, y para
eso la persona a la que estamos pagando debe hacer el esfuerzo de conocer
nuestro negocio y cómo trabajamos con los datos personales y, a la vez,
seguramente debe pedirnos que hagamos modificaciones en nuestro modo de
trabajar, no vale con que nos entregue una carpeta o un disquette y que
nosotros lo pongamos en el primer cajón que veamos, con eso no estamos haciendo
nada y por desgracia más de uno nos daremos cuenta cuando tengamos una
inspección.
“El
mantenimiento "Telefonico" que te ofrecen por 420€ anuales es una
gaita. O lo das a una empresa seria o haces un curso "de verdad" y te
lo haces tu bien hecho.”
VERDADERO.
Recuerda siempre que el Responsable del Fichero, y
por tanto a quien pedirá cuentas la
Agencia de Protección de Datos, eres tú, propietario o
responsable de la óptica, así que asegúrate de la disponibilidad de la agencia
o consultora en la que tengas delegada la gestión de la LOPD – incluyendo sus tarifas
en caso de inspección -, y, como afirma el compañero, asegúrate de que esté
bien hecho.
CONCLUSIONES
Realmente, lo que hay que recordar cuando hacemos
cualquier tratamiento de los datos que identifican a una persona, debemos tener
en mente los principios de la
LOPD :
1) Calidad de los
datos.
2) Información en la
toma de datos.
3) Consentimiento.
- Debemos establecer toda una serie de procesos para
segurar la calidad de los datos que poseemos y, si dudamos de su calidad y no
podemos mejorarla por medios lícitos, ni mantengamos ni desde luego usemos esos
datos.
- Debemos Informar a la persona, cuando estamos
recogiendo sus datos, de porqué los recogemos y cómo vamos a usarlos.
- Debemos tener el Consentimiento de la persona para
recoger y usar esos datos, a veces ese consentimiento podrá ser tácito, a veces
deberá ser expreso.
Espero que estos comentarios y reflexiones haya
servido de ayuda.
Puedes comentar a continuación tus dudas o sugerencias, trataré de contestarte lo antes posible.
No hay comentarios:
Publicar un comentario