Cómo llevar a cabo la adaptación de una pyme a la normativa de protección de datos de carácter personal

Así, en esta segunda fase nos centraremos en la localización e inscripción de los ficheros ante la Agencia Española de Protección de Datos (AEPD), la obtención del consentimiento de los interesados para el tratamiento de sus datos, y el cumplimiento del deber de información. Asimismo, se hará mención a las cláusulas y contratos necesarios para regular los posibles flujos de datos con terceras partes. Por último, analizaremos el punto relativo al Manual de Concienciación como medio para sensibilizar a los empleados en el tratamiento de los datos personales, mediante su puesta a disposición.

En este sentido, lo primero que deberemos hacer es identificar los ficheros que son tratados por la empresa, realizando para ello un inventario con los ficheros detectados (por ejemplo, clientes, proveedores, RR.HH., usuarios página web, nóminas, contactos…). Una vez localizados los ficheros existentes, será necesario proceder a la notificación de inscripciones de ficheros ante la AEPD, concretamente, en el Registro General de Protección de Datos , así como la determinación de las medidas de seguridad necesarias según los datos identificados y en virtud de su sensibilidad ñnivel básico, medio o altoñ.

Para conocer las obligaciones existentes en materia de información, el artículo 5 de la LOPD establece los puntos sobre los que informar en la recogida de datos, disponiéndose las circunstancias que deberán ser puestas en conocimiento de los interesados de modo expreso, preciso o inequívoco en el momento en que se soliciten sus datos personales. Dichas circunstancias son, entre otras, la existencia del fichero, su finalidad y los posibles destinatarios de la información; la dirección donde ejercitar los derechos de acceso, rectificación, cancelación y oposición; y la identidad del responsable del tratamiento o, en su caso, de su representante.

Este derecho de información deberá hacerse efectivo en todos los supuestos, independientemente del tipo de soporte utilizado para efectuar dicha recogida, cumpliéndose normalmente con esta obligación a través de una leyenda informativa en el formulario de recogida de datos.

En cuanto a la obtención del consentimiento, entendido éste como: «toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen´´, incluyendo dicho tratamiento las posibles comunicaciones (cesiones) de esos datos a terceros, deberemos tener en cuenta lo establecido en los artículos 6 y 11 de la LOPD para saber en los casos en que será preceptiva la obtención de dicho consentimiento, así como los casos en los que se exceptúa dicha obtención.

Por lo que respecta al acceso a los datos por cuenta de terceros, éste se corresponde con el tratamiento de datos personales efectuado por una persona física o jurídica que le presta un servicio al responsable del fichero o tratamiento. En este supuesto, tal y como establece el artículo 12 de la LOPD, es necesario que se suscriba un contrato entre el responsable del tratamiento o fichero y el encargado del tratamiento o prestador del servicio. En dicho contrato, que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, deberá establecerse expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del mismo, y que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, y tampoco los comunicará, ni siquiera para su conservación, a otras personas.

En este contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de la LOPD y el Reglamento de Medidas de Seguridad, y que el encargado del tratamiento estará obligado a implementar. Por último, una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

Como punto final, debemos resaltar lo que el artículo 9 del Reglamento de Medidas de Seguridad (RMS) establece en cuanto a la concienciación del personal en materia de datos de carácter personal: las funciones y obligaciones de quienes tengan acceso a los datos deben estar claramente delimitadas, y el responsable del fichero debe adoptar las medidas necesarias para que todos ellos conozcan las normas de seguridad al respecto. Con este fin, se recomienda establecer estas medidas en un documento que podemos denominar «Manual de Concienciación´´, cuyo contenido mínimo podría estar compuesto por los siguientes apartados: 1. Introducción a la materia de protección de datos personales; 2. Ámbito de aplicación del manual; 3. Conceptos básicos en materia de protección de datos; 4. Funciones y obligaciones del personal.

Para casos como el que nos atañe, Afina proporciona el software de cumplimiento legal desarrollado por Écija Abogados, con soluciones de copia de seguridad on-line y seguridad gestionada. Esta solución, pionera en el mercado español y única de su clase hasta el momento, se encuentra disponible en modo producto y en modo servicio, para adaptarse a las diferentes necesidades de los usuarios.

Con esta aplicación, Afina y Écija Abogados ofrecen una completa suite para la gestión de datos con total seguridad, cumpliendo escrupulosamente con la LOPD y proporcionando un valor añadido a las empresas que la integren en sus sistemas, siendo por otra parte la primera y única solución de este tipo en el mercado español.

ECIJA ABOGADOS

www.ecija.com