LA LOPD EN EL DÍA A DÍA

Las funciones del responsable de seguridad

Éstas son las funciones que debe realizar del Responsable de Seguridad:

  • Coordinar la puesta en marcha de las medidas de seguridad, colaborar con el responsable del fichero en la difusión del documento de seguridad y cooperar con el responsable del fichero controlando el cumplimiento del mismo.
  • Analizar las incidencias registradas, tomando las medidas oportunas en colaboración con el responsable del fichero.
  • Comprobar al menos de forma semestral, la existencia de copias de respaldo que permitan la recuperación del fichero, realizando una prueba de restaurado que verifique la correcta definición del procedimiento y proceso de recuperación.
  • Verificar, al menos con una periodicidad trimestral, la veracidad del inventario de soportes, así como el registro de entradas y salidas de soportes y documentos.
  • Mantener actualizado el Documento de Seguridad.
  • Realizar al menos cada dos años una auditoría de los ficheros de nivel medio y alto
IMPORTANTE

Lo ideal es que el Responsable de Seguridad sea una persona (o varias) con conocimientos jurídicos en protección de datos, y asesoradas si es necesario, por el personal técnico para la implantación correcta de las medidas de seguridad que exige la LOPD.

SANCIONES DE LA AEPD

Comunidad de propietarios no tiene los ficheros inscritos

En el procedimiento sancionador PS/00657/2009 de la AEPD podemos ver cómo cualquier persona puede denunciar a una entidad por no tener notificados los ficheros inscritos en la Agencia Española de Protección de Datos.

Según los hechos, tuvo entrada en la AEPD un escrito de una persona que denuncia a la comunidad de propietarios PISCINA URBANIZACION LOS ALMENDROS por presunta vulneración de la LOPD. A la vista de la denuncia, la Subdirección General de Inspección realizó una consulta al Registro General de Protección de Datos para ver si la comunidad tenía los ficheros inscritos, comprobándose que en esa fecha dicha entidad no tenía los ficheros inscritos.

A la vista de la comprobación efectuada en el Registro General de Protección de Datos, el Director de la AEPD acordó iniciar un Procedimiento Sancionador por presunta infracción del art. 26 de la LOPD, notificando dicho Acuerdo de Procedimiento Sancionador a la comunidad de propietarios.

Dicha comunidad reconoció su responsabilidad respectos a dichos hechos, dando lugar a la resolución del procedimiento, con la imposición de la sanción que proceda.

Resultado: sanción de 601,01€ por infracción del artículo 26 de la LOPD, tipificada como leve.

 

IMPORTANTE

Como hemos visto en este caso, cualquier persona puede denunciar a una entidad por presunta vulneración de la normativa de protección de datos, iniciándose la apertura de un procedimiento de inspección por parte de la Agencia Española de Protección de Datos.

LA AEPD ACLARA

Publicar datos de trabajadores en Internet

El informe 0039/2010 de la AEPD resuelve la consulta planteada sobre si es posible la publicación en la página web de la consultante de los datos personales de sus empleados, la opinión de sus clientes sobre el servicio prestado, así como su difusión por estos clientes en redes sociales, en relación a lo dispuesto por la LOPD y el RD1720/2007. Plantea también si el consentimiento de sus empleados podría efectuarse sin cumplir todos los requisitos exigidos por dichas normas.

De dicho informe jurídico se extrae lo siguiente:

  • El consentimiento para la comunicación masiva por Internet de los datos de sus empleados, incluidas las evaluaciones sobre los mismos, no podría entenderse válidamente prestado en el contexto de la relación laboral si su negativa a darlo, llevase aparejada algún tipo de consecuencia adversa o discriminatoria, no pudiendo hablarse de consentimiento libre. Por ello, el gabinete jurídico entiende que la comunicación de los datos de empleados en Internet no puede ampararse en el consentimiento del trabajador, en el ámbito de la relación laboral.
  • El cliente de la consultante usuario de redes sociales y otros servicios de Internet, tendría que tener en cuenta que la publicación de contenidos con información y datos respecto de terceros no puede ser realizada si éstos no han autorizado expresamente su publicación.A TENER EN CUENTA
  • Una cesión no consentida de datos personales que no esté bajo el amparo de ninguna de las excepciones que marca la Ley es una infracción muy grave, con sanción de hasta 600.000€

 

EL PROFESIONAL RESPONDE

Dando a firmar el contrato al encargado del tratamiento, ¿ya no tengo que preocuparme de lo que él haga?

Hay un artículo en el RD1720/2007 que pasa casi desapercibido pero que es de una enorme importancia a la hora de elegir el encargado del tratamiento por parte del responsable del fichero:

Art. 20.2. Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento.

Es decir, que antes de seleccionar un encargado del tratamiento, como el asesor fiscal, empresa de mantenimiento informático, hosting, etc. debemos comprobar –en la medida de lo posible- que está cumpliendo la LOPD.

Pero, ¿qué puede hacer el responsable para comprobar que el encargado cumple con la normativa vigente en protección de datos personales?

Pues fundamentalmente dos cosas:

  • Comprobar que tiene notificados los ficheros a la AEPD a través de su página web (www.agpd.es).
  • Solicitarle un documento firmado y sellado por el encargado en el cuál manifieste de forma expresa que dispone de Documento de Seguridad y cumple con normativa vigente en protección de datos personales.

    Constituye una infracción leve la transmisión de datos a un encargado del tratamiento sin dar cumplimiento a los deberes que establece el art. 12 de la LOPD, con sanción de entre 900 y 40.000€.