La LOPD tiene su origen en la LORTAD (1992) que se centra en la problemática informática, la LOPD ya trabaja en la regulación del tratamiento de los datos de carácter personal. Quien vigila su cumplimiento es la Agencia de Protección de Datos (que se sustenta de la recaudación).
Es de obligatoriedad universal, no dependiendo ni del tamaño ni de la actividad de las empresas, sino de la información que manejan. Mi recomendación es usar estrictamente los necesarios para la realización de nuestro trabajo. Existen exclusiones a la obligatoriedad, circunscrita a muy pocas actividades, por ejemplo un comercio al detalle sin gestión informática.
La adecuación a la LOPD sirve para el cumplimiento de la ley y para evitar sanciones administrativas, ya las ha habido ejemplares. En la adecuación a la LOPD hay que adecuar los circuitos y la metodología de trabajo de la empresa a la normativa vigente, referida a Ficheros y Documentos que contengan datos de carácter personal.
Existen 3 niveles de seguridad:
- Alto o Datos especialmente sensibles: Sanitarios, creencias religiosas, política, raza, vida sexual, etc.
- Medio o Datos de Solvencia Económica: Renta, nóminas, etc
- Bajo: Datos personales, deudas (que hacen referencia a la morosidad, no a la solvencia).
Son muy importantes los matices, así una nómina es de nivel medio, no por contener datos personales que serían de nivel bajo, sino por contener un dato económico que sería de nivel medio. Si una empresa, por ejemplo de asesoría de imagen, tiene empleados con nómina, siendo lo más probable que el nivel de seguridad de sus datos sea bajo, para mantenerlo y si las nóminas las lleva una gestoría, que esos datos los guarde la gestoría, así como en ella se efectúen los partes de baja por ejemplo, en el momento que lo hiciese la propia empresa, cambiaría automáticamente de nivel de seguridad.
Si por ejemplo en la solicitud de una vivienda de V.P.O. obtienen ayuda o subvención por minusvalía, el responder "si "o "no" en este apartado sería un nivel de seguridad bajo, pero si se debe especificar el grado de minusvalía, pasa automáticamente a nivel alto.
Cada fichero tiene un nivel de seguridad diferente. Esto influye por ejemplo en el nivel de destrucción del documento (papel) que se mide por el tamaño que la tira deja en la trituradora.
Cuando existe un grupo o equipo de trabajo, habrá responsables de ficheros, responsables de datos y responsables de seguridad. Esto quiere decir que la adecuación implica a todos y cada uno de los trabajadores del ente que manejan cualquier dato de cualquier persona.
Mi consejo es que, independientemente del tamaño de la empresa o de su actividad, la adecuación la haga una empresa profesional y de acreditada solvencia en este campo.
La adecuación se apoya en tres pilares básicos:
- Parte jurídica (legal)
- Organización de empresa
- Parte informática (normalmente el informático además de su sección atiende mucho de la organización ya que conoce el funcionamiento de cada departamento)
La empresa que realice la adecuación tiene que tener conocimiento o recursos en los tres campos.
Una buena adecuación consta de varias fases:
- Documento de Recomendaciones (es opcional y su elaboración es una garantía para el cliente) en el que se detalla el plan de trabajo y las actuaciones y pasos a seguir.
- Documento de Seguridad (obligatorio Real Decreto 994/1999), con mención expresa de la definición de las medidas de seguridad aplicables.
- Implementación de los procedimientos reglamentarios establecidos en el documento de seguridad y se inscribirán en la Agencia de Protección de Datos, la totalidad de los ficheros que contienen datos de carácter personal.
- Formación (obligatoria) conforme a los procedimientos establecidos. En este punto, se puede pedir la subvención. Informacón en la entrada del blog martes 6 de mayo de 2008
Formación Contínua. Real Decreto1046/2003, de 1 de agosto
- Redacción y entrega del modelo de compromiso de secreto profesional que debe ser firmado por parte de todos los trabajadores de la empresa o entidad.
-Redacción y validación de los contratos con terceros, incluyendo posibles contratos de tratamiento de cesión de datos.
Es posible en algunos casos, que sea necesario un software, que suelen personalizar para el contínuo cumplimiento de la LOPD y la formación correspondiente a los trabajadores para su aplicación.
En este campo, la única empresa que puedo recomendar con garantías y que atiende a nivel nacional es http://www.clepsis.es son profesionales que llevan trabajando en este campo desde más de 10 años, antes especialistas en el campo de la informática y especializados en las adecuaciones y auditorias incluso en los sectores más complejos, el sanitario y el financiero. Os atienden y os hacen presupuesto sin compromiso.
Para cualquier aclaración en este campo, quedo a vuestra disposición.