Adaptacion a la LOPD

DIEZ ERRORES MUY HABITUALES EN MATERIA DE LOPD y LSSICE.

Este error que me encuentro casi todos los días en mi práctica profesional, se podría enunciar así:

 

“Aaaahhhh, yo no le pido datos a mis clientes… luego no tengo que adaptarme a la normativa de protección de datos”.

 

Cierto es –y ocurre en algunos sectores- que no hay ninguna necesidad de pedirle nombres, apellidos, DNIs ni teléfonos (por ejemplo) a los clientes.

 

Es el caso habitual de una zapatería, bar, peluquería, tienda de ropa, panadería,a confitería, quiosco, etc…

 

Salvo que un cliente quiera una factura formal (cosa extraña en ese tipo de negocios), no hay necesidad de tener ningún dato personal.

 

Por tanto, si no tienes datos personales, en efecto, no se te aplica la normativa de protección de datos y por tanto no tienes que hacer ninguna adaptación.

 

El error suele venir por el hecho de que, lo normal de esos negocios, también es que cuenten con trabajadores a los que tú has contratado…: y aquí sí entra en juego la LOPD totalmente.

 

Tienes los nombres, apellidos, DNIs, números de seguridad social, domicilios, teléfonos, e-mails, etc… de tus trabajadores. ¿Acaso no son esos datos de carácter personal?

 

Podrías decirme que tú no tienes nada, porque todo te lo lleva tu asesor.

 

Eso no es correcto.

 

Tú has firmado un contrato de trabajo con tu empleado, no tu asesor.

 

Tú has tenido que dar de alta a tu trabajador y cotizar por él, no tu asesor.

 

Tu asesor te presta un servicio y accede a la información de tus trabajadores, pero eres tú y sólo tú el responsable de ese fichero de datos de tu plantilla y por tanto, se te aplica la Ley.

 

Así que, en efecto: tienes que adaptarte a la LOPD. Desde el momento en que tengas un solo trabajador contratado, ya estás haciendo un tratamiento de datos de carácter personal, y según el artículo 2.1 LOPD:

 

La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.

 

¿Y qué es eso del “soporte físico”, te puedes preguntar? Pues por ejemplo lo es la nómina de tu empleado, o su contrato laboral, o la agenda en papel que tienes sobre la mesa donde apuntas sus datos de contacto, o el fichero que guardas en el ordenador con su documentación escaneada…

 

Copia oculta y LOPD

DIEZ ERRORES MUY HABITUALES EN MATERIA DE LOPD y LSSICE.

 

 SEGUNDO ERROR:

 

Del que os voy a hablar hoy, me atrevería a decir que es el error más habitual con el que me encuentro en el día a día.

 

Son muchos los que se sorprenden cuando se lo explico y reconocen que lo desconocían en absoluto.

 

Me refiero al envío de correos electrónicos a múltiples destinatarios poniendo las direcciones en “copia visible” (CC)  en lugar de en CCO  o en BCC.

 

Hacerlo, puede suponerte una multa de –al menos- 900 euros, siendo frecuente la imposición de multas más elevadas (3.000 euros es muy habitual).

 

¿Pero por qué?

 

Pues porque estás vulnerando la obligación de guardar secreto y realizando una cesión inconsentida de datos personales.

 

En la mayoría de las ocasiones, las direcciones de correo electrónico son consideradas como datos de carácter personal que permiten identificar a su titular, y más aún en el caso de esas direcciones que tanto abundan ,que contienen nombres y apellidos de la persona (me refiero, por ejemplo, a un e-mail que fuese vanesagonzalezperez@lopddirecta.es).

 

Cuando escribes las direcciones en el apartado CC,  los destinatarios que reciben tu e-mail, están viendo al mismo tiempo las direcciones del resto de destinatarios. ¿Y qué sucede si uno de esos destinatarios no quiere que otro tenga su e-mail bajo ningún concepto? Son cosas que pueden ocurrir y que de hecho ocurren, y que suponen una cuestión de privacidad que siempre debe ser respetada, protegida y tenida en cuenta.

 

El artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, se refiere a la obligación de guardar secreto, de la siguiente forma:

 

El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

 

Por su parte, el artículo 11.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, sienta como principio general la prohibición de cesión de datos personales, así:

 

Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

 

El párrafo 2º de dicho precepto, recoge una serie de excepciones a esta necesidad de consentimiento, sin que ninguna de ellas sea en principio aplicable al supuesto que estoy comentando.

No lo vuelvas a hacer más. La próxima vez usa la opción CCO de tu e-mail.

 

Los ejemplos reales de multas impuestas por la Agencia Española de Protección de Datos son muchísimos. Puedes leer algunos ejemplos aquí:

 

– MULTA DE 3.000 EUROS: 

 

https://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/ps_2010/common/pdfs/PS-00679-2009_Resolucion-de-fecha-16-02-2010_Art-ii-culo-10-LOPD.pdf

 

– MULTA DE 3.000 EUROS:

 

http://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/ps_2010/common/pdfs/PS-00228-2010_Resolucion-de-fecha-21-10-2010_Art-ii-culo-10-LOPD-21-LSSI.pdf

 

– MULTA DE 2.000 EUROS:

 

http://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/ps_2010/common/pdfs/PS-00553-2009_Resolucion-de-fecha-06-04-2010_Art-ii-culo-10-LOPD.pdf

 

 

 

 

Notificacion ficheros AEPD

DIEZ ERRORES MUY HABITUALES EN MATERIA DE LOPD y LSSICE.

 PRIMER ERROR:

 El primer error, de esta serie de diez que iré enunciando en los próximos días, es el que cometen numerosos profesionales, empresarios y responsables de otras entidades, al iniciar y/o desarrollar su actividad sin haber notificado previamente a la Agencia Española de Protección de Datos, la existencia de ficheros que contengan datos de carácter personal.

 Pongamos el ejemplo de un abogado que se colegia y comienza a atender clientes y a prestarles servicios de representación, defensa técnica y/o asesoramiento jurídico.

 Desde el momento en el que el profesional recoge datos identificativos de su clientes para abrirles expedientes, poder comunicarse con ellos o para asesorarles, ya se están creando ficheros de datos, ya sean en papel (recogida de documentos a los clientes) o en soporte digital (escritos que se realizan en nombre de clientes, e-mails que se intercambian con los mismos, envíos de whatsapp…).

 Pues bien, si es tu caso, lo primero que debiste hacer es notificar tus ficheros a la Agencia Española de Protección de Datos, utilizando los formularios oficiales que puedes encontrar aquí, dentro de la web oficial de la referida Agencia:

 https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/Notificaciones_tele/obtencion_formulario/common/pdfs/Titularidad_Privada.pdf

 

Esta obligación legal de notificar tus ficheros, la encontrarás en el artículo 26.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, según el cual:

 Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos.

 En consecuencia de todo lo anterior, si vienes desarrollando tu actividad profesional y para ello recoges datos personales a tus clientes, y sin embargo no has cumplido esta formalidad, incurres en la una infracción administrativa leve, tipificada como tal en el artículo 44.2.b) LOPD.

 Las multas pueden oscilar entre los 900 y los 40.000 euros.