Por Javier Manuel Velasco García
Abogado experto de Derecho de las Nuevas Tecnologías, Aselex Asesores Legales
Con motivo del Día de la Protección de Datos en Europa, el pasado lunes publicamos un post titulado “Desmontando mitos sobre la LOPD (I)” , a través del cual intentamos dar luz a algunas cuestiones que no suelen estar claras acerca del cumplimiento normativo en materia de protección de datos de carácter personal en el ámbito de la empresa. En este segunda parte, nos centramos específicamente en cómo acometer una adaptación de la normativa sobre LOPD a la actividad empresarial.
Esto de la protección de datos es tan sencillo como subir los ficheros al Registro de la AEPD…
Tremendo error: La LOPD y su Reglamento obligan a cumplir con un gran número de medidas legales con el fin de proteger los datos personales que se manejan en la empresa. Aunque la identificación e inscripción de los ficheros es una de las obligaciones, existen otras muchas, como por ejemplo, la adaptación de los procesos internos y externos de la empresa a los principios generales de la LOPD (información, consentimiento, confidencialidad), la elaboración de contratos de cesión o tratamiento de datos por cuenta de terceros, el establecimiento de los procedimientos de respuesta a los derechos de acceso, oposición, cancelación y rectificación de datos, el desarrollo de las medidas de seguridad de índole técnica y organizativa, así como la redacción de un Documento de Seguridad.
Tengo una gestoría que me lleva el tema fiscal, contable o laboral… esto no tiene nada qué ver con la protección de datos, ¿no?
Incorrecto. Cuando una empresa o autónomo contrata a una asesoría o gestoría y ello implica que se trasladen datos personales, nos encontramos ante un supuesto de realización de tratamientos por cuenta de terceros. Esta relación deberá estar regulada en un contrato, en el que se establecerá que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará a otras personas, y que se garantizarán las medidas de seguridad correspondientes.
Este contrato puede firmarse de manera separada, o bien, puede añadirse al contrato principal como una cláusula más, tal y como hacemos habitualmente en los contratos firmados en nuestro Despacho profesional.
Entonces… ¿cómo puedo cumplir con la LOPD?
Se puede hacer de dos maneras. Primero, hacerlo de manera interna en la empresa, asignando los recursos personales y materiales necesarios. Salvo que el personal asignado tenga los conocimientos requeridos, será necesario invertir un gran número de recursos y horas de trabajo en adquirir esos conocimientos y desarrollar la implantación de las medidas adecuadas en la empresa.
Por otro lado, la contratación de un abogado o consultor experto en la materia puede resultar la opción más viable, tanto por ahorro de costes como por perfección en la implantación realizada. A este respecto, la empresa debe seleccionar al experto adecuado, que le ofrezca un tratamiento personalizado y de calidad, de modo que se evite posibles inconvenientes futuros, que pueden llegar en forma de sanciones económicas desorbitadas de hasta 600.000 euros (sí, de cinco ceros).
Innovación en turismo significa sumar y diferenciarse. ¿Te unes?