Cómo cumplir la nueva Ley de Protección de Datos: Guía de cumplimiento LOPDGDD

La Ley de Protección de Datos en España y la UE establece las obligaciones de las empresas en el tratamiento de la información personal. Cumplir la normativa vigente es fundamental para evitar importantes sanciones. A continuación explicaremos con detalle cómo cumplir la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD) paso a paso.

La LOPDGDD es la legislación que entró en vigor para sustituir la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) anterior. Esta nueva ley de protección de datos española emana del Reglamento General de Protección de Datos (RGPD) de la UE.

Actualmente, las organizaciones que tratan datos de ciudadanos españoles deben seguir la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales.

Es importante que las empresas conozcan y apliquen la normativa respecto al tratamiento de datos personales. Por ello a continuación veremos con detalle cómo cumplir la LOPDGDD y el reglamento de la UE.

Las obligaciones como cumplir la LOPDGDD no son un tema menor para las empresas. Una infracción relativa a la protección de datos podría suponer cuantiosas sanciones. En general, las organizaciones han de cumplir con lo siguiente:

• Los datos personales deben ser tratados de forma lícita, leal y transparente
• El tratamiento de datos personales debe basarse en el consentimiento del interesado
• El consentimiento debe ser voluntario, explícito, informado, específico y revocable
• Se debe garantizar la seguridad, integridad y confidencialidad de los datos

Con estas obligaciones se busca proteger una serie de derechos de los ciudadanos sobre sus datos. Así, los usuarios pueden exigir a las organizaciones:

• Acceso a los datos
• Rectificación de datos personales
• Supresión en determinados casos (o derecho al olvido)
• Portabilidad de los datos
• Oposición a que se traten los datos
• Limitación del tratamiento

La LOPDGDD, junto con el RGPD en la Unión Europea, establece un marco legal sólido para garantizar la privacidad de las personas. La adaptación LOPD GDD, por tanto, es fundamental para el futuro de las empresas.

Si tiene dudas de cómo cumplir la LOPDGDD en su empresa, a continuación veremos los pasos a seguir. Explicaremos cómo hacer la evaluación inicial, qué medidas implementar y más. Esta lista recoge las acciones clave para cumplir la ley de protección de datos para empresas en España:

• Organizar los datos personales que trata la empresa
• Determinar la finalidad del tratamiento de los datos
• Evaluar la base legal para poder recopilar y gestionar los datos
• Identificar los riesgos para los derechos y libertades de las personas
• Adoptar medidas técnicas y organizativas para proteger los datos
• Formar al personal en la materia
• Informar a los interesados sobre el tratamiento de sus datos
• Obtener el consentimiento de los interesados
• Elaborar un registro de actividades de tratamiento
• Definir y publicar una política de privacidad
• Elaborar un procedimiento de gestión de brechas de seguridad
• Realizar auditorías internas para verificar el cumplimiento
• Mantenerse actualizado sobre las últimas normas

Tenga en cuenta que éste es solo un resumen general de los principales pasos a seguir. A continuación veremos con detalle cómo implementar cada uno de los aspectos clave para el cumplimiento. Desde el análisis previo hasta la definición y ejecución de medidas para seguir la ley de protección de datos.

El primer paso a seguir es identificar qué información personal trata la empresa. Como si se tratara del stock de productos, se deben inventariar los datos que se recopilan, almacenan, usan y transmiten.

Normalmente las empresas pueden tener datos de empleados, clientes, prospectos y proveedores. Sea cual sea el tipo de contacto del que se trate, la normativa de protección de datos se aplica.

¿Qué tipos de datos hay que analizar?

• Datos estructurados: nombre, dirección, correo electrónico, etc.
• Datos no estructurados: documentos, imágenes, vídeos y demás.

A continuación, es crucial definir la finalidad del tratamiento de datos. La finalidad debe ser:

• Específica: precisa y clara
• Lícita: conforme a la ley
• Legítima: por una razón justificada

Además, se deben evaluar los riesgos que el uso de la información puede suponer a las personas interesadas. Es decir, ¿puede amenazar sus derechos y libertades individuales? Por ejemplo, se debe proteger la privacidad y evitar cualquier clase de discriminación o robo de identidad.

Se deben desarrollar y publicar políticas claras de privacidad y protección de datos que cumplan con los requisitos de la LOPDGDD y el RGPD. Esto es fundamental para asegurar la transparencia y el derecho a la información de los interesados.

El primer paso es definir dichas Políticas de privacidad, incluyendo en dicho documento legal:

• Identidad y datos de contacto del responsable del tratamiento
• Finalidad y base jurídica del tratamiento
• Destinatarios de los datos personales
• Derechos de los interesados
• Medidas de seguridad para proteger los datos
• Información sobre la transferencia internacional de datos, si la hay

No basta con tener dicha política, se debe publicar, para que los usuarios la puedan conocer. Lo habitual es incluir la Política de privacidad en la página web de la empresa.

Además, se debe procurar facilitar la lectura, colocando visiblemente el acceso a este apartado. Al mismo tiempo, conviene usar un lenguaje claro y sencillo y evitar los tecnicismos legales. La idea es que los usuarios puedan comprender sus derechos y los compromisos de la empresa sobre la protección de datos. Además, es fundamental una revisión regular de los documentos sobre privacidad de datos. Así, se garantiza que se ajustan a la normativa vigente.

La empresa debe implementar medidas de seguridad adecuadas para proteger los datos personales. Estas medidas deben ir enfocadas a la protección contra amenazas como:

• el acceso no autorizado;
• la destrucción accidental o ilícita; o
• la pérdida de información.

Las medidas para aplicar la LOPDGDD pueden ser técnicas y organizativas. Ambos aspectos son claves, para asegurar la protección de datos.

Hay una serie de acciones concretas que pasan por proteger los datos tanto a nivel físico como digital.

Una de las principales medidas técnicas es la encriptación de datos. Consiste en convertir, por ejemplo, el nombre de una persona, en un código que debe descifrarse. Al dar acceso únicamente a las personas autorizadas, se protege la información privada.

Otro punto importante es el control de acceso a los datos, que incluye tanto el aspecto digital como el material. Por un lado, pasa por garantizar la seguridad física de los servidores, ordenadores e incluso posibles archivos impresos. También incluye la creación de contraseñas robustas, por ejemplo. Estos y otros aspectos se pueden regular mediante protocolos de seguridad TIC dentro de la empresa.

En cuanto a medidas organizativas, es necesario crear políticas de seguridad que establezcan las normas y procedimientos para la protección de los datos personales. Además, conviene realizar auditorías de forma periódica. También es crucial formar al personal, un tema que se desarrollará con detenimiento en el siguiente punto.

Es esencial que todo el personal comprenda la importancia de la protección de datos dentro de la empresa. Se debe formar de manera continua acerca de las medidas necesarias para seguir la normativa al respecto. Estos son los principales puntos que debe incluir la capacitación:

• Bases de la protección de datos personales
• Obligaciones de la empresa sobre el tema
• Políticas propias de la organización para cumplir la normativa
• Riesgos que tiene la seguridad de los datos personales
• Medidas que pueden tomarse para proteger o resolver brechas que afecten a los datos

La formación se puede realizar tanto de forma presencial como online, e incluso combinando ambos formatos. Además, conviene documentar todo y apoyar al personal con material accesible para su información.

Más allá de capacitar, también se debe concienciar sobre la importancia del tema. Es clave transmitir el valor fundamental de la privacidad y la necesidad de proteger ese derecho propio y de las demás personas. Con un personal al día de la normativa, comprometido y sensibilizado, es más fácil asegurar el cumplimiento. Por tanto, se trata de una inversión clave para evitar sanciones y garantizar la legalidad de la empresa.

Otro paso clave de cómo cumplir la LOPDGDD es la designación de un rol fundamental: el Delegado de Protección de Datos (DPO, por sus siglas en inglés). Si bien no todas las empresas deben tenerlo, es recomendable contar con él.

Como figura clave para cumplir con la ley de protección de datos, el DPO es un profesional con conocimientos especializados en la materia. Su función es ser el enlace entre la empresa, el usuario y la autoridad de control (la Agencia Española de Protección de Datos o AEPD en el caso de España). Las principales funciones del DPO son:

• Informar y asesorar al responsable y al encargado del tratamiento
• Supervisar que la empresa cumple la normativa
• Colaborar con la Agencia Española de Protección de Datos
• Facilitar a los interesados información sobre el tratamiento de datos

Se han mencionado dos figuras clave que conviene explicar: el encargado y el responsable del tratamiento.

• El responsable es quien determina los fines y medios del tratamiento de datos
• El encargado es quien trata los datos personales siguiendo instrucciones del responsable. Generalmente, suele ser una tercera parte.

El artículo 34 de la LOPDGDD recoge los supuestos en los que es obligatorio designar un DPO. Principalmente, son aquellas organizaciones que manejan datos a gran escala, o de categorías especiales. Este podría ser el caso de proveedores de servicios médicos o financieros.

En general, muchas empresas están exentas de contar con la figura del Delegado de Protección de Datos. Con todo, siempre es recomendable contar con este profesional, ya se trate de un miembro del equipo interno o de un servicio externo. Además, lo idóneo es contar con un DPO que tenga el certificado LOPD para ejercer su profesión.

Las empresas deben adoptar una estrategia proactiva para cumplir la ley en materia de protección de datos. No basta con gestionar el consentimiento de cada nueva visita de la página web corporativa. Tampoco es suficiente con añadir una Política de privacidad en el sitio.

Si no quieren cometer una infracción, las empresas realmente deben tener un compromiso concreto que incluya una serie de medidas. Además, se debe realizar una auditoría de protección de datos de forma periódica. Hay organizaciones que ofrecen justamente este tipo de servicios LOPD para el cumplimiento normativo. También es clave contar con un protocolo para atender posibles brechas de seguridad. Por otro lado, es crítico formar al personal, ya que cualquier brecha producida dentro de la organización puede suponer importantes sanciones para la misma.

En el día a día, se deben incorporar actividades y procesos que garanticen la seguridad y el cumplimiento normativo. Esto incluye:

• Tener sistemas de control de acceso a los datos
• Establecer roles y permisos concretos por usuario
• Monitorizar y revisar los accesos a datos
• Formar y concienciar al personal de manera continua
• Fomentar una cultura de privacidad en la empresa
• Contar con el software necesario para la protección de datos
• Mantenerse al día de la normativa vigente
• Realizar auditorías continuas de seguridad

No hay que olvidar que la protección de datos es un proceso continuo. Además, la legislación se puede ver modificada por muchas razones, como los avances tecnológicos.

Se trata de un proceso independiente y sistemático que se enfoca en evaluar el cumplimiento de la ley de protección de datos. Analiza la situación, propone un plan de mejora y ofrece recursos para garantizar que la empresa sigue la normativa vigente.

• Identificar las áreas de mejora
• Proponer medidas para cumplir la ley de protección de datos
• Hacer un plan de gestión de brechas de seguridad
• Registrar y documentar el compromiso de la empresa con el cumplimiento

La auditoría se puede realizar de forma interna dentro de la organización, aunque también algunas empresas permiten externalizar esta labor. La cuestión es contar con el criterio experto para poder revisar el cumplimiento de manera exhaustiva y garantizar que se está al día de la normativa vigente.

Las empresas deben tener un plan de contingencia para atender posibles violaciones a la seguridad de la información personal. Así, se debe poder minimizar el impacto del problema, una vez suceda cualquier incidente. En primer lugar, el plan debe incluir medidas de detección de la brecha. Esto pasa por identificar indicadores de la posible situación, monitorizar los sistemas y realizar pruebas concretas para detectar vulnerabilidades.

Una vez se produce la incidencia, ya no se trata de planificar. Es el momento de tomar acción, y hay una serie de prácticas recomendadas, además de las propias exigidas por la ley. En este caso, las empresas deben:

• aislar el sistema o la red afectada;
• deshabilitar las cuentas de usuario comprometidas;
• cambiar las contraseñas de los usuarios afectados;
• encontrar la causa de la brecha para resolverla y evitar; y
• evaluar el impacto de la brecha de seguridad en los derechos y libertades.

Además, las organizaciones deben avisar a las administraciones públicas correspondientes en caso de que se comprometa algún dato. Este deber de informar sobre brechas de seguridad se debe hacer en un plazo de 72 horas, notificando a la AEPD.

Asimismo, es obligatorio informar a los afectados cuyos datos han sido accedidos, dañados o difundidos. Según el artículo 34 del RGPD, si la violación de datos supone un riesgo significativo para los derechos y libertades de las personas, el encargado del tratamiento debe informar de manera inmediata a los perjudicados. Por tanto, no se establece un plazo concreto en este sentido, pero en el reglamento se señala que debe hacerse sin dilación.

Si desea más información, la AEPD cuenta con una guía exhaustiva para gestionar las brechas de seguridad.

A continuación respondemos a algunas dudas habituales que tienen las empresas sobre cómo cumplir la LOPDGDD o el RGPD.

Descargo de responsabilidad: Usercentrics no provee asesoría legal, y la información provista tiene fines únicamente educativos. Siempre recomendamos recurrir a consultorías legales cualificadas o especialistas en privacidad en relación a las cuestiones y operaciones sobre privacidad y protección de datos.