¿Conoce las obligaciones que tiene su empresa en protección de datos?

0
1389

Las pymes deben comunicar la existencia de un fichero con información sobre sus clientes, las medidas de protección y los canales que tienen los afectados para ejercer sus derechos.

Para mejorar la organización interna y aumentar sus ventas, conviene que las pymes dispongan de unas bases de datos completas sobre sus clientes, empleados o proveedores. Pero la existencia de estos ficheros también implica unas obligaciones que, en muchas ocasiones, son desconocidas por las compañías y pueden acarrear importantes multas.

«Estas obligaciones afectan a cualquier empresa que reúna información sobre personas físicas, pero no si el fichero es sobre otras compañías», aclara Cecilia Álvarez, presidenta de la Asociación Profesional Española de la Privacidad. Estos son los principales aspectos a vigilar:

Petición de información. Los datos solicitados por la empresa tienen que ajustarse a lo necesario para realizar su actividad. Por ejemplo, puede preguntar a los consumidores sobre su capacidad económica para realizar un estudio de mercado, pero probablemente no necesita conocer sus ideas políticas. En el momento de solicitar la información habrá que comunicar a los clientes las consecuencias de no proporcionarla, el uso que se va a hacer de ella, si se va a ceder a terceros y los canales -teléfono o correo electrónico directo-a través de los que podrán ejercer sus derechos. Para ello, hay que obtener su consentimiento por escrito.

 
Inscripción del fichero. Antes de empezar a reunir la información, se debe notificar la existencia del fichero a la Agencia Española de Protección de Datos (AGPD). Hay que especificar los datos que se van a solicitar, el uso que se va a hacer de ellos y las medidas de seguridad con las que se van a proteger. Posteriormente, esta información será accesible por los afectados a través de la página web de la Agencia. «Se debe repetir este procedimiento por cada fichero que se abra: de clientes, de proveedores o de empleados», avisa Ernesto Abelló, presidente de la Asociación Profesional de Consultores en Protección de Datos (Apcdp). Pero cumplir con este trámite no garantiza que la empresa no vaya a recibir sanciones.

 
Uso y cesión a terceros. Los negocios podrán realizar cualquier tipo de tratamiento -por ejemplo, analizar y cruzar los datos para obtener información relevante sobre la clientela- siempre que se ajuste a su actividad y lo hayan notificado a la AGPD. En el caso del envío de información comercial, tienen que haber obtenido el consentimiento expreso del cliente, a través de una cláusula específica que éste podrá rectificar en cualquier momento. Una cuestión delicada suele ser la cesión de esta información a otras organizaciones. Para realizar esta operación, normalmente es necesario que lo haya autorizado la persona afectada. Aunque también se le puede pedir el beneplácito a posteriori, lo mejor es prevenir y avisar de este posible uso en el mismo momento de solicitar la información. Los únicos casos en los que no es necesario obtener la aprobación explícita es cuando los datos hayan sido recogidos de fuentes accesibles al público o se cedan cumpliendo con una obligación legal, por ejemplo con la Agencia Tributaria.

 
Derechos de los afectados. Todas las personas tienen derecho a conocer los datos sobre ellos que la empresa tiene almacenados. Para ello, pueden presentar solicitudes que la compañía tiene la obligación de responder, proporcionando la información en el formato solicitado (físico o electrónico) en un plazo máximo de un mes. Los clientes, proveedores o empleados también tienen derecho a solicitar que sus datos desaparezcan del fichero.El negocio únicamente estará forzado a atender este requerimiento cuando no los necesite para cumplir con sus obligaciones. Por ejemplo, las compañías deben conservar la información sobre sus clientes para presentar sus declaraciones del IVA o sus cuentas anuales. El derecho de oposición permite que los afectados se puedan oponer a que los datos estén en manos de un tercero, salvo en los casos en los que haya una obligación legal. Por último, también pueden solicitar las rectificaciones y modificaciones necesarias para solucionar cualquier error o actualizar la información. En todos estos casos, la empresa tiene que responder en un máximo de diez días.

 
Sanciones. Cuando detecta que no se están cumpliendo estas obligaciones -actuando normalmente a partir de las reclamaciones de los afectados- la AGPD envía apercibimientos o establece multas que actualmente oscilan entre 600 y 600.000 euros. La cuantía final depende de si se ha recibido un aviso o sanciones anteriores, la importancia del error y el perjuicio causado a los afectados.

 
Medidas de seguridad
Cualquier empresa que almacene ficheros debe contar con un documento de seguridad que recoja las medidas adoptadas. La ley establece tres niveles distintos de protección en función del tipo de datos recogidos. En el básico se incluyen los más habituales, como el DNI, domicilio o la información bancaria. En el intermedio están los que revelan faltas administrativas o delitos, la solvencia financiera o los gustos y aficiones de la persona. Por último, en el nivel más alto están los que definen la identidad del individuo, como la ideología política, las creencias religiosas, la salud o la vida sexual. La normativa recomienda que no se recojan los datos de estas dos últimas categorías salvo que sea necesario para la actividad de la organización, como en el caso de una clínica. «Algunas de las principales medidas que se deben adoptar es nombrar a un responsable, restringir el acceso, cifrar y encriptar la información o realizar auditorías de seguridad en las que se detecten los posibles fallos», destaca Josep Albors, responsable de laboratorio de ESET en España. Además de los ‘hackers’ y los virus informáticos, el mayor riesgo está en los empleados, ya sea porque accedan a ellos sin autorización o porque sean negligentes en el manejo de la información. Por último, hay que tener en cuenta que las obligaciones de seguridad y las posibles multas han aumentado con la directiva europea, aprobada recientemente y que se implantará en España de forma progresiva hasta 2018.

¿Cuáles son los errores más frecuentes?
Varias empresas notifican la existencia del fichero a la Agencia de Protección de Datos después de haber empezado a reunir la información, cuando hay que avisar con antelación.
Al solicitar los datos a sus clientes, algunas organizaciones no les comunican el uso que se va a hacer de la información reunida ni los derechos que pueden ejercer.
Para facilitar que los afectados ejerzan sus derechos de acceso o cancelación, algunas empresas no proporcionan los canales adecuados o no cumplen con los plazos establecidos por la ley,
Muchas pymes descuidan la seguridad en la protección de los datos que tienen almacenados. Además de los ‘hackers’, los empleados también son un peligro potencial.

Noticia extraída de: expansión.com