Conozca sus obligaciones en protección de datos

Anuncio
27/06/2016
Tirada:
44.504
Categoría: Económicos
Difusión:
28.999
Edición:
Nacional
Audiencia: 163.000 Página:
36
AREA (cm2): 904,3
OCUPACIÓN: 84,6%
V.PUB.: 11.187
ECONOMIA
ORGANIZACIÓN i LEGAL
Conozca sus obligaciones
en protección de datos
Las pymes deben comunicar la existencia de un fichero con información sobre sus clientes,
las medidas de protección y los canales que tienen los afectados para ejercer sus derechos.
LOS ERRORES MÁS
FRECUENTES
1
2
I. Bolea. Madrid
L Petición de información. Los datos solicitados por la empresa tienen
que ajustarse a lo necesario para realizar su actividad. Por ejemplo, puede preguntar a los consumidores sobre su capacidad económica para
realizar un estudio de mercado, pero
probablemente no necesita conocer
sus ideas políticas. En el momento
de solicitar la información habrá que
comunicar a los clientes las consecuencias de no proporcionarla, el
uso que se va a hacer de ella, si se va a
ceder a terceros y los canales –teléfono o correo electrónico directo–a
través de los que podrán ejercer sus
derechos. Para ello, hay que obtener
su consentimiento por escrito.
L Inscripción del fichero. Antes de
empezar a reunir la información, se
debe notificar la existencia del fiche-
3
4
Dreamstime
Para mejorar la organización interna
y aumentar sus ventas, conviene que
las pymes dispongan de unas bases
de datos completas sobre sus clientes, empleados o proveedores. Pero
la existencia de estos ficheros también implica unas obligaciones que,
en muchas ocasiones, son desconocidas por las compañías y pueden
acarrear importantes multas.
“Estas obligaciones afectan a cualquier empresa que reúna información sobre personas físicas, pero no
si el fichero es sobre otras compañías”, aclara Cecilia Álvarez, presidenta de la Asociación Profesional
Española de la Privacidad. Estos son
los principales aspectos a vigilar:
ro a la Agencia Española de Protección de Datos (AGPD). Hay que especificar los datos que se van a solicitar, el uso que se va a hacer de ellos y
las medidas de seguridad con las que
se van a proteger. Posteriormente,
esta información será accesible por
los afectados a través de la página
web de la Agencia.
“Se debe repetir este procedimiento por cada fichero que se abra:
de clientes, de proveedores o de empleados”, avisa Ernesto Abelló, presidente de la Asociación Profesional
de Consultores en Protección de Datos (Apcdp). Pero cumplir con este
trámite no garantiza que la empresa
no vaya a recibir sanciones.
L Uso y cesión a terceros. Los negocios podrán realizar cualquier tipo
de tratamiento –por ejemplo, analizar y cruzar los datos para obtener
información relevante sobre la clientela– siempre que se ajuste a su actividad y lo hayan notificado a la
AGPD. En el caso del envío de información comercial, tienen que haber
obtenido el consentimiento expreso
del cliente, a través de una cláusula
específica que éste podrá rectificar
en cualquier momento.
Una cuestión delicada suele ser la
cesión de esta información a otras
organizaciones. Para realizar esta
operación, normalmente es necesario que lo haya autorizado la persona
Varios niveles de seguridad
Cualquier empresa que almacene ficheros debe contar con un documento de seguridad que
recoja las medidas adoptadas. La ley establece
tres niveles distintos de protección en función
del tipo de datos recogidos. En el básico se incluyen los más habituales, como el DNI, domicilio o la información bancaria. En el intermedio
están los que revelan faltas administrativas o
delitos, la solvencia financiera o los gustos y aficiones de la persona. Por último, en el nivel más
alto están los que definen la identidad del individuo, como la ideología política, las creencias religiosas, la salud o la vida sexual. La normativa
recomienda que no se recojan los datos de estas
dos últimas categorías salvo que sea necesario
para la actividad de la organización, como en el
caso de una clínica. “Algunas de las principales
medidas que se deben adoptar es nombrar a un
responsable, restringir el acceso, cifrar y encriptar la información o realizar auditorías de seguridad en las que se detecten los posibles fallos“,
destaca Josep Albors, responsable de laboratorio de ESET en España. Además de los ‘hackers’
y los virus informáticos, el mayor riesgo está en
los empleados, ya sea porque accedan a ellos
sin autorización o porque sean negligentes en el
manejo de la información. Por último, hay que
tener en cuenta que las obligaciones de seguridad y las posibles multas han aumentado con la
directiva europea, aprobada recientemente y
que se implantará en España de forma progresiva hasta 2018.
afectada. Aunque también se le puede pedir el beneplácito a posteriori,
lo mejor es prevenir y avisar de este
posible uso en el mismo momento
de solicitar la información. Los únicos casos en los que no es necesario
obtener la aprobación explícita es
cuando los datos hayan sido recogidos de fuentes accesibles al público o
se cedan cumpliendo con una obligación legal, por ejemplo con la
Agencia Tributaria.
L Derechos de los afectados. Todas las personas tienen derecho a conocer los datos sobre ellos que la
empresa tiene almacenados. Para
ello, pueden presentar solicitudes
Varias empresas notifican
la existencia del fichero
a la Agencia de Protección
de Datos después de haber
empezado a reunir
la información, cuando hay
que avisar con antelación.
Al solicitar los datos
a sus clientes, algunas
organizaciones no
les comunican el uso que se
va a hacer de la información
reunida ni los derechos
que pueden ejercer.
Para facilitar que
los afectados ejerzan
sus derechos de acceso
o cancelación, algunas
empresas no proporcionan
los canales adecuados
o no cumplen con los plazos
establecidos por la ley,
Muchas pymes descuidan
la seguridad en la protección
de los datos que tienen
almacenados. Además
de los ‘hackers’, los empleados
también son un peligro
potencial.
que la compañía tiene la obligación
de responder, proporcionando la información en el formato solicitado
(físico o electrónico) en un plazo máximo de un mes.
Los clientes, proveedores o empleados también tienen derecho a
solicitar que sus datos desaparezcan
del fichero. El negocio únicamente
estará forzado a atender este requerimiento cuando no los necesite para
cumplir con sus obligaciones. Por
ejemplo, las compañías deben conservar la información sobre sus
clientes para presentar sus declaraciones del IVA o sus cuentas anuales.
El derecho de oposición permite
que los afectados se puedan oponer a
que los datos estén en manos de un
tercero, salvo en los casos en los que
haya una obligación legal. Por último, también pueden solicitar las rectificaciones y modificaciones necesarias para solucionar cualquier
error o actualizar la información. En
todos estos casos, la empresa tiene
que responder en un máximo de
diez días.
L Sanciones. Cuando detecta que
no se están cumpliendo estas obligaciones –actuando normalmente a
partir de las reclamaciones de los
afectados– la AGPD envía apercibimientos o establece multas que actualmente oscilan entre 600 y
600.000 euros. La cuantía final depende de si se ha recibido un aviso o
sanciones anteriores, la importancia
del error y el perjuicio causado a los
afectados.
Descargar