¿Qué tengo que hacer para cumplir lo que dice el fichero LOPD pdf?
Al margen de las características propias de cada base de datos, -como el origen de los mismos, tipología o, por ejemplo, el tipo de tratamiento y sistemas con el que éste se realiza-, podemos establecer una pequeña guía acerca de las distintas fases de adaptación a la LOPD.
Ser responsable de ficheros con datos personales representa una serie de exigencias nivel de seguridad, de inscripción de ficheros, de contratos con terceros o, entre otros aspectos, en relación a la política de seguridad.
Nivel de seguridad
La LOPD marca tres niveles de exigencia en cuanto a seguridad: bajo, medio y alto. Una cuestión ineludible, que debe dilucidarse de forma previa. Lo haremos en función del tipo de datos a tratar y, por otra parte, determinará una serie de medidas de seguridad que habremos de implantar.
De no aplicarse las medidas de seguridad necesarias (establecidas vía reglamentaria) para garantizar la seguridad de los datos personales tanto en los ficheros, equipos y programas, la LOPD lo considerará como infracción grave.
Inscripción de ficheros
La LOPD se ocupa de explicar de forma detallada cómo utilizar el sistema NOTA (oficial y gratuito) para inscribir ficheros en el Registro General de Protección de Datos (RGPD). Se trata de un trámite previo a la recopilación de los datos.
Este trámite ha de realizarse según la ley antes de comenzar a recopilar los datos personales. Por otra parte, puede sernos útil esta guía que nos detalla, paso a paso cómo inscribir ficheros con el nuevo sistema NOTA, que cuenta con una nueva versión desde julio del 2015.
Documento de seguridad según la Ley Orgánica de protección de datos pdf
La ley orgánica de protección de datos en su pdf también dedica algunos de sus artículos a los pormenores del Documento de Seguridad, incluyendo una Guía y un Modelo gratuitos. Se trata de un documento obligatorio, que hemos de mantener actualizado.
Su contenido mínimo abarca una serie de temáticas relativas al ámbito de aplicación, las medidas, normas, procedimientos, reglas de seguridad, funciones y obligaciones del personal, así como a la estructura y descripción de los ficheros y sistemas de información. Entre otras, también incluye aquellas relacionadas con el procedimiento de copias de respaldo, medidas adoptadas en el transporte, destrucción o reutilización.
Contratos con terceros
El uso de la información por parte de terceros por encargo nuestro exige un contrato de tratamiento de datos que ha de reunir una serie de condiciones mínimas. En él, por ejemplo, han de especificarse de forma clara las instrucciones del responsable del fichero, según se establece en el artículo 12 de la LOPD.
Política privacidad empleados
También es clave tener marcadas las guías de actuación de los empleados a la hora de manejar los datos de la propia empresa, así como de datos de terceros a los que también pudieran acceder. No en vano, los conflictos con empleados constituyen una habitual reclamación ante la Agencia Española de Protección de Datos (AEPD).
Aviso legal
Incluir un aviso legal en el que figuren aspectos de la LOPD, de la Ley de Servicios de la Sociedad de la Información (LSSI) y de la política de privacidad es otro de los puntos a tener en cuenta como obligatorio en un sitio web.
Derechos ARCO
La normativa también contempla los detalles relacionados con los derechos ARCO (de acceso, rectificación, cancelación y oposición) de que disfrutan las personas físicas en relación a sus datos personales.
La ejecución de estos derechos deberá realizarse en un plazo inferior a 10 días. Tras verificar la identidad y hacer efectivo el derecho en soportes manuales e informáticos, se notificará al afectado por correo certificado de que sus derechos han sido llevados a cabo dentro del plazo.
Videovigilancia
La videovigilancia es una de las cuestiones que más sanciones han generado desde la AEPD. Para evitar problemas al recoger, acumular, reproducir o cancelar las imágenes deben cumplirse determinadas condiciones, como el principio de proporcionalidad, el deber de información o, entre otras, guardar las imágenes el tiempo indispensable para satisfacer el fin que motivó su grabación.
Auditoría
La auditoría es un procedimiento de obligado cumplimiento si almacenamos datos de carácter personal de nivel medio o alto. Su realización es bianual y, básicamente, consiste en revisar las medidas relacionadas con el tratamiento de datos impuestas a priori a nivel informático, físico, organizativo y documental.También se busca comprobar si son necesarias adaptaciones, habida cuenta de que con el paso del tiempo podría haberse producido algún cambio que lo exigiera.
Consentimiento para el tratamiento de datos personales
El consentimiento del afectado para el tratamiento de sus datos personales, uno de los motivos más frecuentes de sanción, debe ser libre, inequívoco e informado. Por otra parte, excepto en el caso de datos especialmente protegidos en la ley, puede ser expreso o tácito. No solicitarlo, por último, constituye una infracción grave o muy grave, con multas que pueden alcanzar los 600.000 euros.
Si estás interesado en que te ayudemos con soluciones de Data Management puedes informarte y solicitar más información aquí.
