De la Ley de Protección de Datos llevamos ya más de un año escuchando hablar. Hemos leído mucho sobre ella y sobre los pasos que hay que dar para poner nuestra empresa y todos los datos que en ella tenemos al nivel de la ley evitando así incurrir en faltas. Pero, ¿sabemos realmente qué es la ley de protección de datos? ¿A qué afecta? ¿Cómo ponerla en práctica hasta el más mínimo detalle?
La ley de protección de datos
Si queremos indagar y entender al detalle la ley de protección de datos que ahora nos ocupa hay que retroceder hasta el pasado 7 de diciembre de 2018 momento en el que entra en vigor la Ley Orgánica 3/2018 de 5 de diciembre de Protección de Datos y Garantía de derechos digitales. Ley que automáticamente y de forma inmediata deroga la anterior – Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal o la ya archiconocida Ley RGPD.
Esta nueva Ley trajo a nuestro país, motivado por el boom de Internet y la ascendente recopilación de datos de forma digital que se hace en estos momentos, la ley de del Parlamento Europeo y Consejo de 27 de abril de 2016 – 2016/679.
Este conjunto de leyes y actos trata de forma específica y dota de especial relevancia los datos de los clientes que las empresas recogen, recopilan y almacenan así como el tratamiento que hacen de ellos y los usos adheridos. A partir de este momento y de la entrada en vigor de la ley es mucho más específico el cómo hay que trabajar y cuidar de estos datos de los clientes.
La ley al detalle
Para poder ejecutar dicha ley es imprescindible entender antes el ámbito de actuación y hasta donde abarca así como comprender cada término incluido.
Comenzando por lo fundamental y la base de todo, el dato personal es ese dato informativo capaz de identificar a una persona física. Por lo tanto, cuando vayamos a almacenar datos personales de los clientes – proveedores sabemos ahora que se refiere a todo aquello que nos sirva para hacer identificable a esa persona y habrá que incluirlo en el tratamiento de datos según la nueva normativa.
La ley trata de minimizar el uso de los datos personales por parte de las empresas y para ello, a partir de ahora, hay que tener un permiso explícito por parte del cliente para poder hacer uso de cualquier forma y por cualquier vía de esos datos.
Como decimos, la ley salvaguarda a la persona física y sus datos por encima de las empresas y sus usos normalmente comerciales. Algo que se había descontrolado últimamente al poder enviar emails de forma masiva con publicidad, campañas de sms a móviles – whatsapp, llamadas, etc, etc. Algo mucho más allá que el típico buzoneo físico al que ya estábamos acostumbrado. Al ser toda la comunicación más masiva se ha tenido que tomar cartas en el asunto poniendo en vigor esta ley mucho más estricta en el tratamiento de datos personales.
Consideraciones especiales de la ley de protección de datos
Una vez que sabemos a qué se refiere en su máxima expresión “dato personal” debemos tener en cuenta los siguientes pormenores de la ley:
- Se trata de minimizar los datos personales que una empresa almacena de un cliente. Solo se pedirán y almacenarán los estrictamente necesarios.
- Limitar el uso que se hace de estos datos. No se podrán utilizar para todo lo que se quiera sino para el usuario ha dado permiso.
- Plazo de conservación de los datos. Después de un plazo determinado estipulado, los datos conservados habrá que destruirlos y para poder enviar algo a ese usuario, necesitaremos de nuevo su permiso expreso.
- Transparencia absoluta sobre los datos que se guardan, almacenan y el uso que se hace de los mismos.
- Responsabilidad proactiva sobre los datos almacenados ofreciendo políticas de seguridad fidedignas que impidan la sustracción de datos.
- Necesidad de consentimiento expreso para la recolección de datos así como para el uso de los mismos.
Estos parámetros hay que tenerlos muy en cuenta a la hora de recopilar – almacenar y gestionar datos personales de nuestros clientes – proveedores o cualquier otra persona física.
Responsables de la ley de protección de datos
La ley, según puesta en marcha y ejecutada en nuestras empresas bajo estas premisas descritas en este post, debe mantenerse activa y vigilada en nuestras empresas para evitar incurrir en errores y que nos acarreen importantes sanciones. ¿Quién se encarga?
Responsable del tratamiento de datos personales
El Data Controller (título en inglés) es el responsable de tomar las decisiones necesarias sobre la tipología de tratamientos de los datos recopilados y almacenados así como las finalidades y usos que se les den.
Esta figura puede estar en nómina en la empresa o ser un externo subcontratado que supervise este trabajo de forma periódica. Debe estar identificado en todo momento en caso de inspección.
Encargado del tratamiento de datos personales
Bajo la supervisión del cargo anterior, el Data Processor se encargará de tener acceso a la base de datos de la compañía. Base de datos que almacena los datos personales recopilados y que posteriormente se van a utilizar para determinados fines. Fines que el Responsable habrá determinado y que el Encargado va a velar por su correcta puesta en marcha y mantenimiento.
Igualmente esta figura puede estar dentro de la empresa de forma constante o ser un consultor externo.
Sea como sea, ambas figuras deberán tener todo el proceso de protección de datos bien regularizado y vigilado aplicado a todos los soportes de la empresa donde haya y se recopilen datos de personas físicas (webs, redes sociales, mails, etc).
Es fundamental que a día de hoy las empresas ya tenga más que integrada la necesidad de funcionar correctamente con esta Ley de Protección de Datos para cuidar de los datos almacenados.