Y eso de la LOPD, ¿qué era?

Imagína que eres tu propio empresario o que formas parte de una pyme. Seguramente habrás oído alguna vez hablar de la LOPD (Ley Orgánica de Protección de Datos de Carácter Personal) y te habrás preguntado¿qué es eso de la LOPD? y, seguidamente, ¿me afecta?

Y eso de la LOPD, ¿qué era?

19 febrero 2009

LA OPINIÓN DEL EXPERTO

Una de tus posibles respuestas a esta última pregunta, quizá de manera ingenua, ha sido «no creo dado que esa Ley sólo afecta a las grandes empresas que manejan grandes bases de datos».

Esta respuesta no puede ser más equivocada. La LOPD (Ley 15/1999) afecta tanto a grandes empresas, como a pymes, como a las Administraciones Públicas, como a cualquier persona que trate datos de carácter personal por motivos profesionales y las sanciones que establece por su incumplimiento son exactamente las mismas (y muy elevadas, por cierto).

Es decir, la misma multa le puede caer a una multinacional como al dentista de la esquina si no cumple de manera escrupulosa con todas y cada una de sus obligaciones.

Actualmente la LOPD ha sido desarrollada por el Real Decreto 1720/2007 (el reglamento de la LOPD). Es muy importante tener en cuenta que la normativa afecta tanto a los ficheros automatizados (aplicaciones y bases de datos informáticas), como a los ficheros manuales o no automatizados; es decir, los ficheros en soporte papel (por ejemplo, un archivo compuesto de fichas ordenadas alfabéticamente).

Pero ¿qué es un dato de carácter personal? Es cualquier información concerniente a una persona física (no se aplica a los datos de personas jurídicas). Así por ejemplo, son datos personales el nombre y apellidos, el domicilio, el teléfono, la profesión, los datos bancarios, los ingresos, los datos familiares, los datos de salud y un largo etcétera.

Estos datos de carácter personal quedan organizados en ficheros cuyo responsable (el Responsable del Fichero) deberá tratar cumpliendo una serie de obligaciones. Éstas son de dos tipos: legales y técnico-organizativas (relacionadas con las medidas de seguridad).

Entre las obligaciones de carácter legal estarían fundamentalmente atender los derechos de información y consentimiento de los afectados (especial atención hay que tener con los datos específicamente protegidos, a saber: salud, ideología, afiliación sindical, religión, creencias, origen racial o étnico y vida sexual), cumplir con las obligaciones relativas a las cesiones de datos, los tratamientos de datos por cuenta de terceros y las transferencias internacionales de datos, atender los derechos de acceso, rectificación, cancelación y oposición de los interesados e inscribir los ficheros con datos personales en el Registro creado a tal efecto en la Agencia Española de Protección de Datos.

Y por otro lado, estarían las obligaciones relacionadas con las medidas de seguridad. Éstas se regulan en el Reglamento antes citado y dependen del nivel de seguridad del fichero (básico, medio o alto), nivel que se asigna en función del tipo de datos manejados. A mayor nivel de seguridad, mayores medidas de protección deberemos establecer.

Ejemplos de medidas de seguridad serían disponer de un Documento de Seguridad, realizar copias de respaldo, establecer contraseñas que se deben cambiar periódicamente, nombrar un Responsable de Seguridad o realizar una auditoría como mínimo cada dos años sobre el cumplimiento de las propias medidas de seguridad.

No hay que olvidar que los ficheros en soporte papel también deberán cumplir una serie de medidas de seguridad como disponer de adecuados dispositivos de almacenamiento (por ejemplo, armarios con llave), establecer unos criterios de archivo, custodiar los documentos adecuadamente, que sólo acceda el personal autorizado, etc.

Por Ignacio Bruna López-Polín, Senior IT Advisory deKPMG