Auditoria e Implantación LOPD 15/1999 y LSSI-CE 34 / 2002

 

Adaptarse a la Ley no debe ser ni caro ni complejo. Este es el objetivo principal de nuestro Servicio de Consultoría LOPD.

Con motivo de la entrada en vigor de la Ley Orgánica de Protección de Datos de Carácter Personal 15/1999, de 13 de Diciembre, en adelante LOPD., surgen una serie de obligaciones para aquellas empresas que posean ficheros con datos de carácter personal.

Cualquier empresa o negocio que, en el ejercicio de su actividad profesional, disponga de ficheros que contengan datos relativos a personas físicas, debe cumplir la normativa vigente en materia de protección de datos personales, con independencia de su personalidad jurídica (autónomos, PYMES o grandes empresas).

Las empresas habrán de cumplir también con el Real Decreto 1720/2007, Reglamento que desarrolla la Ley de Protección de datos.

Este reglamento tiene por objeto establecer las medidas de índole técnica y organizativas necesarias para garantizar la seguridad que deben reunir los ficheros automatizados, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento automatizado de los datos de carácter personal.

En la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI-CE) se establecen las obligaciones, responsabilidades, infracciones y sanciones de aquellos (personas y/o empresas) que tienen una página Web o que operan a través de Internet.

Auditoria  y  revisión  de  la  actividad  de  la  empresa   y  procedimientos  de obtención y tratamiento de datos, tipo de datos, usuarios, soportes y entornos informatizados.

Notificación de los ficheros de  datos  de  carácter  personal  ante  la Agencia Española de Protección de Datos.

Redacción de Informe de Auditoría y Guía de buenas prácticas en el que se hacen las propuestas y recomendaciones necesarias para cumplir con las obligaciones correspondientes derivadas de la normativa e implantar de forma correcta las medidas de seguridad técnicas necesarias.

Redacción del Documento de Seguridad de la empresa, que debe incluir todos aquellos aspectos relativos al tratamiento de datos definidos en la normativa.

Revisión de la Web Corporativa para adecuarla a la normativa de protección de datos y de Internet.

 

¿QUÉ ES LA LOPD? ¿QUÉ CAMBIOS APLICA EL NUEVO REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS – RGPD?

 

La LOPD establece unas obligaciones para empresas, instituciones y administraciones públicas en relación a la protección de datos de carácter personal contenidos en ficheros automatizados (informáticos) y no automatizados (en papel). Estas entidades tratan los datos de carácter personal habitualmente, y lo hacen con distintas finalidades: para la gestión de personal, de proveedores o clientes, campañas de marketing, etc.

El Reglamento General de Protección de Datos (GDPR) va a llegar y no importa en qué parte de la empresa trabaje, ya sea el departamento de RR.HH., de marketing, legal o de IT: le afectará y tendrá un impacto en su desempeño laboral. Si maneja, almacena o utiliza datos personales, ya sean detalles de empleados o bien información sobre clientes o clientes potenciales, con GDPR se producirán cambios en su forma de trabajar y dependerá de usted llevarlos a cabo

En 2003 vencieron todos los plazos marcados por la legislación para que las empresas y organizaciones adaptasen sus tratamientos de datos personales a lo establecido por la LOPD y el R.D. 994/1999. Esto implica que, a día de hoy, empresas que no cumplen con dicha legislación están en situación de ilegalidad, arriesgándose a incurrir en durísimas sanciones.

 

Principales cambios con el nuevo Reglamento europeo de Protección de Datos

¿A qué empresas se aplica el nuevo RGPD?

Este Reglamento se aplica a responsables o encargados de tratamiento de datos de carácter personal establecidos en la Unión Europea, y también a responsables y encargados no establecidos en la UE siempre que traten datos como consecuencia de una oferta de bienes o servicios destinados a ciudadanos de la Unión. Esas organizaciones deberán designar un delegado en la Unión Europea, que actuará como punto de contacto de las Autoridades de supervisión y de los ciudadanos.

 

Nuevas obligaciones para las empresas

Este Reglamento supone un mayor compromiso de las empresas y organizaciones con la Protección de Datos.

Para ello todas las organizaciones que tratan datos deben efectuar un análisis de riesgo de sus tratamientos para poder establecer qué medidas han de aplicar y cómo hacerlo.

Estos análisis pueden ser procedimientos sencillos en entidades que no llevan a cabo más que unos pocos tratamientos elementales que no supongan, por ejemplo, datos especialmente protegidos, o trabajos más complejos, en entidades que desarrollen muchos tratamientos, que afecten a gran número de personas o que por sus características requieren de una valoración cuidadosa de sus riesgos.

Esta responsabilidad activa se refiere a la necesidad de prevención por parte de las organizaciones que manejan datos personales.

Las empresas y entidades deben adoptar medidas que garanticen de manera suficiente que están en condiciones de cumplir con las reglas, derechos y garantías que el Reglamento establece.

El Reglamento entiende que actuar únicamente cuando ya ha tenido lugar la infracción no es suficiente como estrategia, debido a que esa infracción puede ocasionar daños a los interesados que puede ser muy complicado compensar o reparar.

Se establecen una serie de medidas como:

  • Protección de datos desde el comienzo
  • Protección de datos por regla general
  • Medidas de seguridad
  • Establecer un registro de tratamientos
  • Realización de análisis de impacto en la protección de datos
  • Nombramiento de un Delegado de Protección de Datos
  • Comunicación de infracciones de la seguridad de los datos
  • Promoción de códigos de conducta y esquemas de certificación.

 

¿Cómo tenemos que obtener el consentimiento?

El Reglamento pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco.

Las empresas deberían revisar la forma en la que obtienen y guardan el consentimiento. Actualmente existen prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas con la actual normativa pero dejarán de serlo cuando el Reglamento sea de aplicación.

Para poder considerar que el consentimiento es “incuestionable”, el Reglamento requiere que haya una declaración de los interesados o una acción positiva que apunte al acuerdo del interesado. La aceptación no puede deducirse del silencio o de la inacción de los ciudadanos. Se exige que el consentimiento tenga que ser “manifiesto” en determinados casos, como puede ser para autorizar el tratamiento de datos sensibles. Por tanto, el consentimiento tiene que ser verificable y quienes recopilen datos personales deben poder probar que el afectado les concedió su consentimiento.

 

¿Se deben revisar los avisos de privacidad?

El Reglamento prevé que se incluyan una serie de informaciones que anteriormente no eran obligatorias, entre ellas, habrá que explicar la procedencia legal para tratar los datos, los períodos de retención de los mismos y que los interesados puede dirigir sus requerimientos a las Autoridades de protección de datos. Se establece que la información proporcionada sea fácil de entender y debe presentarse en lenguaje claro.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies