Como norma general cuando recogemos datos personales, por ejemplo, para elaborar un presupuesto, debemos informar para que finalidad se recaban dichos datos, la identidad y el domicilio del responsable del fichero, así como donde pueden dirigirse en el caso de que quieran ejercer sus derechos de acceso, rectificación, cancelación y oposición.

Si el responsable de los datos va a llevar a cabo una cesión de datos, se deberá informar en este momento de dicha cesión y de cuál va a ser el destinatario, además de solicitar el consentimiento para la misma.

Es necesario adecuar todos los formularios que la empresa utilice para la recogida de datos, añadiendo en cada uno, la cláusula informativa que se adecue a las necesidades de los datos recabados.

No nos debemos olvidar, de que en ocasiones utilizamos formularios en nuestra página web para recabar datos, y en este caso también es necesario incluir la cláusula informativa adecuada a los datos que recabemos.

Más allá de evitar que podamos ser sancionados por la AEPD por no cumplir con la Ley Orgánica de Protección de Datos, con importantes sanciones, de 900 a 600.000 euros, debemos pensar en la reputación de nuestra empresa ¿Qué pensarían nuestros clientes si se publicara que hemos sido sancionados por no cumplir con la LOPD?.

Sin duda, aportamos mejor imagen ante nuestros clientes, ya que demostramos preocuparnos por proteger adecuadamente sus datos y no debemos olvidar que el principal activo de una empresa son sus clientes.

También nos ayuda a detectar las vulnerabilidades que tiene nuestra empresa en seguridad y poder subsanarlas, y elaborar un organigrama de la empresa limitando a cada individuo a que puede o no acceder, para cumplir sus funciones. No es extraño encontrarse empresas en las que todos los trabajadores tienen libre acceso a todo, de forma innecesaria e injustificada, y cuando se produce un despido se vuelve en contra de la empresa.

Como se puede comprobar, los beneficios obtenidos de tener su empresa adaptada a la LOPD son, sin duda, superiores a los costes de dicha adaptación.

Cuando una empresa decide destruir documentación externalizando este servicio con una empresa se debe formalizar la relación entre ambas igual que se haría con una asesoría o con una empresa de informática.

La Agencia Española de Protección de Datos (AEPD), nos recuerda en su informe 0227/2010 que la figura del encargado del tratamiento responde a la necesidad de dar respuesta a fenómenos como la externalización de servicios por parte de las empresas y otras entidades, de manera que en aquellos supuestos en que el responsable del tratamiento encomiende a un tercero la prestación de un servicio que requiera el acceso a datos de carácter personal por éste, dicho acceso no pueda considerarse como una cesión de datos. Es así que el artículo 12.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, establece que “no se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento”

Esta relación de tratamientos de terceros deberá estar regulada en un contrato que deberá constar por escrito y deberá contener como mínimo los siguientes aspectos:

– La descripción del servicio que se va a prestar
– Las medidas de seguridad a aplicar
– La limitación de utilizar los datos para otra finalidad distinta a la prevista en el contrato.
– La limitación de comunicar los datos, ni siquiera para su conservación, a otras personas.

También nos recuerda la AEPD que el responsable de los datos, deberá elegir un encargado del tratamiento que reúna garantías suficientes en relación con las medidas de seguridad técnica y de organización de los tratamientos que deban efectuarse, y se asegure de que se cumplen dichas medidas.

Dentro de los principios recogidos en el artículo 4 de la Ley Orgánica 15/1999 bajo el título “Calidad de los datos” en su punto 5 establece que los datos personales deben ser “cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados”.

Esto nos lleva a que no podemos generalizar con una regla fija para la eliminación de los datos personales, puesto que si, por ejemplo, hemos recogido curriculums para un proceso selectivo, una vez elegidos a los candidatos, estos dejan de ser necesarios para la finalidad que los hemos recogido y deben ser cancelados, pudiendo variar el tiempo de conservación dependiendo del tiempo que dure el proceso selectivo.

Lo que si podemos decir, es que cuando los datos personales dejen ser necesarios para los fines que se obtuvieron, se debe proceder a su cancelación, sin necesidad de solicitud del titular de los datos.

La proliferación de empresas que ofrecen adaptaciones y auditorías de protección de datos a bajo coste, realizándolas de forma telefónica, ha hecho que la Agencia Española de Protección de Datos se pronuncie al respecto en un comunicado, advirtiendo a los responsables de los ficheros, las empresas, de la invalidez de las auditorias telefónicas, ya que no cumplen con los criterios que exige una auditoria sobre el cumplimiento de la LOPD.
Para realizar una auditoría de forma correcta es necesario realizar una primera visita para verificar presencialmente los procedimientos y protocolos relacionados con los ficheros a auditar, así como inspeccionar documentación, instalaciones, dispositivos etc.
Y una segunda visita para entregar el informe de conclusiones y explicar las medidas correctoras si las hubiese.
Desconfíen, por tanto, de empresas, que a bajo coste, ofrecen con una llamada telefónica, prestar un servicio adecuado y profesional.

Puede ver el comunicado de la AEPD pulsando en este enlace.