Crea una base de datos que le encantará a la LOPD
Por Eva Lozano
Sólo viendo «la LOPD» en el título de este post, pensarás que hoy me he levantado con el firme propósito de erradicar el insomnio en el mundo… pues oye no estaría mal, pero la idea no es que consigas dormirte en los próximos tres minutos, más bien lo contrario, espero que aguantes como un jabato hasta el final de este post y cuando acabes, si tu intención es empezar a captar una base de datos, sepas los pasos que debes dar para cumplir con la LOPD y, al menos por esta parte, poder dormir tranquilo (insisto lo del dormir cuando llegues al final del post, reconóceme el esfuerzo 😉
Nos pasamos el día manejando datos personales y dejándolos donde mejor nos parece y, muchas veces, no nos damos cuenta de la importancia que tiene la información que tratamos. ¿Cuántas veces has recibido un mail de alguien que te invita a un evento y ha puesto en copia a todos sus contactos que ni se conocen entre ellos? ¿Y cuántas veces has respondido a todos que asistirás encantado? Parece una tontería, pero el correo electrónico es considerado un dato personal y te lo han enviado sin permiso del interesado y tú has enviado un correo a personas que no han aceptado recibir tu mail. Así que ese alguien que te ha invitado con toda su buena fe se puede meter en un lío o, lo que es peor, te puede meter en uno a ti. Obviamente es un ejemplo un poco exagerado, y no sé en qué acabaría una queja de este tipo, pero como suelen decir, más vale prevenir que curar. Moraleja: Utiliza la copia oculta 🙂
Bueno, vamos al grano que llevo 200 palabras y no he dicho nada. Simplificando al máximo, antes de empezar a captar tu base de datos debes notificarle a la AEPD la existencia de este fichero en el que vas a incluir esos datos personales, debes informar al afectado y pedirle su consentimiento, debes tomar las medidas necesarias para asegurarte de que esos datos están a buen recaudo y en buenas manos y, por último, debes plasmarlo todo en el documento de seguridad.
Os amplio un poco la información:
1. Inscripción fichero en la AEPD
Todos los ficheros que puedas tener en tu empresa, tienen que estar inscritos en el Registro General de la AEPD, desde el fichero de empleados, hasta el de proveedores, pasando por los clientes… si tienes un fichero con un dato personal, lo primero que debes hacer es notificar a la Agencia Española de Protección de Datos la existencia de ese fichero.
Si tienes certificado digital, lo más rápido es inscribir tu fichero online, si no, vas a tener que hacérselo llegar a la AEPD a la vieja usanza, por correo tradicional o yendo personalmente. En cualquier caso, ponte las pilas, tanto si lo presentas telemáticamente como si no, como mínimo va a tardar un mes en darte una respuesta.
2. Relación con tus usuarios: Información, Consentimiento y derechos ARCO
Principio de Información
Cuando pides un dato personal, debes informar al afectado (vaya “palabro” han elegido en la Agencia para designar al dueño del dato) sobre qué vas a hacer con sus datos. Aquí entra en juego la política de privacidad, esas parrafadas eternas de letra pequeña que no hay quién se lea, en ella debes dejar muy claro quién eres, qué datos estás solicitando y para qué estás recogiendo ese dato, es decir, qué uso le vas a dar y, por supuesto, cómo pueden ejercer sus derechos ARCO, os daré más detalle un poco más adelante, pero hablando en plata, cómo se pueden dar de baja de tu base de datos.
Para cumplir con el principio de información, además de diseñar los procedimientos necesarios para informar adecuadamente al afectado has de poder demostrar posteriormente que has cumplido con dicha obligación.
Principio de Consentimiento
Aunque hay alguna excepción, como regla general, no puedes tratar datos personales sin el consentimiento del interesado, así que has de encontrar el medio idóneo para obtener el consentimiento de las personas cuyos datos pretendas recabar, como ocurre con el principio de información, también debes poder demostrar posteriormente que has cumplido con tu obligación de obtener el consentimiento del afectado.
Derechos ARCO
Por último, tenemos que diseñar un procedimiento para poder dar satisfacción al ejercicio los derechos ARCO por parte de los afectados (Acceso, Rectificación, Cancelación y Oposición)
Brevemente, os indico en qué consiste cada derecho:
El derecho de acceso permite al afectado saber, de forma gratuita, qué datos de carácter personal estamos tratando.
El derecho de rectificación le permite corregir errores, modificar los datos que resulten ser inexactos o incompletos.
El derecho de cancelación le permite exigir que se supriman los datos que resulten ser inadecuados o excesivos.
El derecho de oposición le permite negarse al tratamiento de sus datos de carácter personal.
El ejercicio de estos derechos es personalísimo, por lo que sólo podrá solicitarlos el propio afectado.
4. Responsable del fichero: Tomar las medidas necesarias
Si eres responsable de un fichero de datos personales tienes que adoptar las medidas de índole técnica que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.
También debes tomar medidas jurídicas, asegúrate de que aquellas personas que van a tener acceso a tus ficheros (y, por tanto, a datos personales de los que tú eres responsable), ya sean empleados o proveedores o cualquier otro tipo de colaborador, cumplen también con los requisitos para garantizar el correcto cumplimiento de todas las normas que establece la LOPD, además de la RGPD.
Para ello, firma contratos que regulen las condiciones por las que va a tener acceso a tu fichero y por las que se comprometa a tomar las medidas de seguridad necesarias para garantizar en todo momento la protección de los datos de carácter personal.
Recógelo todo en el Documento de Seguridad
El Responsable de los Ficheros y/o el Encargado del Tratamiento tiene el deber de elaborar el Documento de Seguridad y tiene que asumir la responsabilidad de mantenerlo actualizado en cada momento.
El documento de seguridad sirve de guía para incorporar procedimientos seguros, en él se recoge el tipo de información que manejas, se analiza el flujo de los datos, recoge las incidencias que se hayan podido producir y los puntos críticos que se detecten para evitar brechas de seguridad, y así podrás mejorar tu operativa interna y fortalecer la seguridad interna de tu negocio.
En función del nivel de seguridad que requieran los datos de tus ficheros este documento será más o menos complejo. El tratamiento de los datos de carácter personal varía según su origen, su tipo, los soportes en que se almacenan esos datos, su finalidad o destino, etc. Cada empresa, web o blog es un mundo y, por tanto, cada tratamiento de datos de carácter personal también lo es.
Aquí hemos dado unas pautas generales, a título meramente informativo, a ti te corresponde estudiar qué nivel de protección le debes dar a tus datos según las particularidades de cada dato personal que recopiles. Si tienes un blog y sólo guardas el mail de tus lectores para enviarles tu newsletter tal y como les informaste en su momento, no necesitas saber mucho más, pero cumplir con la LOPD es un tema muy serio, si tienes cualquier duda, consulta a un experto, hay mucho en juego.
Si quieres saber más sobre la normativa vigente de las bases de datos y la protección de datos, te recomendamos que pases a leer nuestro post sobre qué es la RGPD y cómo afecta a la LOPD