Adaptación LOPD

Las empresas que se dirigen a ciudadanos españoles deben cumplir la LOPDGDD, sucesora de la LOPD (Ley Orgánica de Protección de Datos), si quieren evitar el riesgo de sanciones y aumentar la confianza de sus clientes.

La Ley Orgánica de Protección de Datos Personales y de garantía de los derechos digitales (LOPDGDD) es la sucesora en España de la LOPD. Esta norma regula la protección de datos en España. La ley entró en vigor en diciembre de 2018, adaptando la normativa española al RGPD de la Unión Europea.

El propósito de la LOPDGDD es otorgar mayor control a los españoles sobre sus datos personales. Por ejemplo, cuando navegan por una página web y se recogen datos sobre su actividad, intereses o incluso información como su nombre, teléfono o email.

Adaptarse a la normativa de protección de datos es crucial para las organizaciones. Las repercusiones de no adherirse pueden ascender a 20 millones. Además la LOPDGDD, ofrece un marco legal uniforme para las organizaciones en materia de protección de datos. Otra gran ventaja es que la normativa ayuda a reforzar la confianza en la digitalización. Así, se favorece el desarrollo económico del país.

A continuación compartimos una guía paso a paso en el proceso de adaptación a la normativa. Desde el análisis inicial hasta la implementación de prácticas de conformidad, las empresas pueden tomar nota para cumplir la LOPDGDD y, por extensión, el RGPD.

Se debe comenzar realizando un análisis exhaustivo de los datos personales gestionados. En este sentido, los principales pasos son:

• Inventariar los datos recopilados y que se tratan
• Identificar posibles riesgos y amenazas de seguridad
• Determinar las medidas de protección necesarias

Cada empresa tiene unas necesidades concretas en cuanto a protección de datos. Para la adaptación RGPD, la cuestión es saber exactamente lo que el negocio debe ajustar. Estas son algunas preguntas que pueden ayudar en el análisis:

• ¿Qué tipos de datos personales se tratan?
• ¿Las políticas existentes son conformes a la LOPDGDD?
• ¿Qué cambios deben hacerse para cumplir la normativa?
• ¿Hay amenazas de seguridad informática?

Cada cierto tiempo debe realizarse una auditoría de protección de datos. Así, la empresa se asegura de mantenerse al día de la normativa vigente.

Es fundamental crear políticas claras y detalladas que cumplan con la LOPDGDD. El objetivo es informar a los usuarios sobre el tratamiento de sus datos. ¿Qué información suya se está recopilando y para qué? Se debe garantizar transparencia y protección de los interesados. Además, la política de privacidad debe ser completa, en el sentido de que cubra todos los aspectos que marca la ley.

Los derechos de los ciudadanos españoles sobre sus datos definidos en la LOPDGDD incluyen:

• Acceso a los datos
• Rectificación de datos personales
• Supresión en determinados casos (o derecho al olvido)
• Portabilidad de los datos
• Oposición a que se traten los datos
• Limitación del tratamiento

La política de privacidad también debe ser accesible. La persona interesada debe poder localizarla fácilmente en la página web. Normalmente la empresa ubica el enlace a esta página en el footer del sitio web.

Para terminar, es fundamental actualizar la política de privacidad de forma regular. Cualquier nueva práctica en el tratamiento de datos se debe reflejar. Además, la empresa debe mantenerse al día de las modificaciones en el reglamento.

Hay una serie de medidas a tomar para salvaguardar los datos personales de amenazas y vulnerabilidades. No basta con pedir consentimiento en la web con un banner de cookies. Ni es suficiente con añadir una página con la política de privacidad.

Es crucial la implantación de una serie de procesos en la empresa que garanticen la protección de datos. Esto incluye información personal de los clientes, empleados y cualquier ciudadano de la UE de quien se recopile información. Las medidas de seguridad pueden dividirse en dos categorías, las técnicas y las organizativas.

En este tipo de medidas podemos incluir todas las relacionadas a hacer ajustes en el hardware, software o las redes de la empresa.

• Encriptación de datos personales
• Uso de firewalls contra accesos no autorizados
• Software antivirus contra malware
• Copias de seguridad regulares para evitar pérdidas
• Control de acceso a los datos con asignación de roles en el equipo
• Registros de actividades de tratamiento de datos

Este tipo de acciones para asegurar la privacidad están enfocadas en fomentar una cultura empresarial de protección de datos.

• Formación del personal de la empresa en la materia
• Evaluación continua de los procesos y la capacitación del personal
• Creación de protocolos de seguridad

Cualquier medida puede ser insuficiente si no va acompañada de formación del personal. Un empleado podría crear una brecha de seguridad que afectaría a derechos fundamentales y supondría importantes sanciones. Por eso es tan crítico capacitar al personal sobre las medidas de protección de datos.

La empresa debe asegurar la comprensión y compromiso con las políticas establecidas por parte del personal. Por ello es crucial realizar:

• Formación regular en materia de protección de datos de carácter personal
• Programas de sensibilización sobre la LOPDGDD y el RGPD
• Evaluación periódica de conocimientos del tema

Los responsables de protección de datos pueden impartir talleres de formación, y también elaborar materiales, como guías o manuales.

Algunas empresas están obligadas a contar con la figura del Delegado de Protección de Datos (DPO, por sus siglas en inglés).

El DPO (o DPD) es un profesional con conocimientos especializados en la materia. Su función es hacer de puente entre la empresa, los interesados y la Agencia Española de Protección de Datos (AEPD).

Esta figura tan relevante para la adaptación a la LOPDGDD tiene diversas funciones:

• Informar y asesorar al responsable del tratamiento
• Formar y resolver dudas de los empleados sobre sus obligaciones
• Supervisar al responsable del tratamiento de datos
• Cooperar con la Agencia Española de Protección de Datos
• Ser el punto de contacto entre personas físicas, empresa y la AEPD

La obligación de contar con esta figura depende del tamaño de la empresa y del tipo de datos que gestione.

Estos son algunos de los tipos de entidades que deben tener un DPO:

• Autoridades y organismos públicos (excepto tribunales en función judicial)
• Organizaciones que tratan datos sensibles a gran escala

En estas categorías podrían estar incluidos hospitales, agencias de marketing directo a gran escala, compañías de seguros, redes sociales, juegos online y más.

En caso de duda, puede consultar la web de la Agencia Española de Protección de Datos para informarse a fondo.

Al menos una vez al año, conviene que la empresa revise su tratamiento de datos. Así, se puede evitar cualquier tipo de sanción por incumplimiento. Es posible que se produzcan brechas de seguridad por tener software no actualizado. También podría haber errores de cumplimiento no detectados. Por ello, es importante realizar auditorías regulares.

Además, se debe contar con un protocolo de gestión de brechas de seguridad. No se puede esperar a que suceda un incidente para improvisar. La empresa debe documentar una serie de pasos a seguir en caso de que se comprometan datos de carácter personal.

Descargo de responsabilidad: Usercentrics no provee asesoría legal, y la información provista tiene fines únicamente educativos. Siempre recomendamos recurrir a consultorías legales cualificadas o especialistas en privacidad en relación a las cuestiones y operaciones sobre privacidad y protección de datos.