Cursos formacion LOPD

DIEZ ERRORES MUY HABITUALES EN MATERIA DE LOPD Y LSSICE.

SÉPTIMO ERROR:

El error al que me referiré hoy es algo así como un “error inducido” por algunas empresas sin escrúpulos, que se dedican a robarte aprovechando que tú desconoces la Ley y que les prestas tu confianza.

Si has oído hablar de la famosa cuestión de la LOPD A COSTE CERO, tal vez te suenen por dónde van los tiros.

En muchos sectores se ha difundido el bulo de que es obligatorio que el empresario o profesional (o titular de otro tipo de entidad) se ocupe de que su plantilla reciba un curso de formación sobre protección de datos. Para que el tema resulte atractivo y la gente pique, se ha venido informando sobre que estos cursos pueden realizarse con cargo a los seguros sociales (créditos de formación) y de paso tienes la adaptación a la LOPD gratuita para tu negocio.

En primer lugar, los créditos de formación, como su propio nombre indica, sirven para formación, y no para cubrir los costes de un servicio de adaptación a la LOPD. De modo que si trasciende que han sido usados para eso, podría abrirse un expediente y obligarte a devolver el crédito empleado, abonar el IVA, etc…

En segundo lugar, nada impide que hagas un curso de formación en tu empresa con cargo a los créditos de formación de los seguros sociales, sobre LOPD.

Pero una cosa es eso y otra bien distinta que te tomen el pelo, porque ni la formación es obligatoria en ese tema, como te quieren hacer creer, ni este mecanismo debe ser usado para adaptarse a la LOPD.

Empezando porque deberías tomar conciencia de que en ningún caso te estás beneficiando de cursos gratuitos. Los cursos con cargo a los créditos de formación los pagas con tu dinero, ya que cuando tú pagas los seguros sociales, tú y sólo tú estás dedicando –por imperativo legal, eso sí- un porcentaje a formación de tu plantilla. Gastes o no los créditos, tienes que pagarlos. Si nos los usas, te los roba el Estado (porque no te los devuelven). Si los usas porque te han contado que un curso de LOPD es obligatorio por Ley, te los roba la empresa estafadora de formación en lugar del Estado.

Bonito, ¿verdad?

Pero vamos a lo que vamos:

¿Qué dice entonces la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD)? Directamente, sobre formación, nada.

Si buscas ahí no lo encontrarás. No obstante sí que encuentras este principio general, que es la base del tema, en el artículo 9.1 LOPD:

El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

Tenemos que acudir llegados a este punto, al Real Decreto 1720/2007, de 21 de diciembre, que es el Reglamento de desarrollo de la LOPD (RLOPD), para concretar más.

La referencia exacta la tenemos en el artículo 89.2 del RLOPD:

El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.

Y eso es todo.

Ni hay obligación de hacer cursos, ni de superar exámenes ni de seguir ningún procedimiento formativo especial. Se trata única y exclusivamente de hacer que el personal conozca las normas de seguridad que le afecten.

En muchas pequeñas empresas bastará con reunirse con el equipo y darle unas explicaciones precisas, o con proporcionarle un manual sencillo, o una circular informativa… (eso sí, deja prueba de ello mediante la firma de algún recibo, porque si no, no quedará constancia)

En supuestos de empresas de funcionamiento complejo, o  con –por ejemplo- datos de nivel alto (laboratorios, clínicas, despachos de abogados, notarías…), muchas veces sí que es conveniente que el personal reciba un curso de formación, pero insisto, no es obligatorio por Ley.

Hay otras materias en las que la formación de la plantilla sí viene exigida por una norma, como ocurre en este momento con la Prevención de Blanqueo de Capitales.

Escribo frecuentemente sobre esta normativa en otros de mis blogs, que puedes visitar aquí:

prevenciondeblanqueodecapitales.bligoo.es

y

http://blanqueodecapitales.enmalaga.net

De este modo, si eres sujeto obligado conforme a la Ley 10/2010, de 28 de abril, de Prevención del Blanqueo de capitales y de la financiación del terrorismo, tendrás que hacer un curso de Prevención de Blanqueo cada año, por así disponerlo el artículo 29 de dicha norma.

Es una obligación que está previsto que desaparezca en breve para buena parte de los sujetos obligados, pues así se recoge en el Proyecto de Reglamento de Prevención de Blanqueo sobre el que se está trabajando en estos momentos.

No obstante, actualmente, la obligación rige para todos los sujetos obligados, y debemos detenernos un instante en el texto en el artículo 29 citado y comprobar qué distinta es esta redacción en comparación con el 89.2 del RLOPD:

Artículo 29 Formación de empleados

Los sujetos obligados adoptarán las medidas oportunas para que sus empleados tengan conocimiento de las exigencias derivadas de esta Ley.

Estas medidas incluirán la participación debidamente acreditada de los empleados en cursos específicos de formación permanente orientados a detectar las operaciones que puedan estar relacionadas con el blanqueo de capitales o la financiación del terrorismo e instruirles sobre la forma de proceder en tales casos. Las acciones formativas serán objeto de un plan anual que, diseñado en función de los riesgos del sector de negocio del sujeto obligado, será aprobado por el órgano de control interno.

Por tanto, aquí sí que hay que hacer cursos, además anualmente, mediante programas de formación permanente y acreditando su realización.

Algo muy distinto a lo que exige la normativa de protección de datos.

Resumiendo y repitiendo: LOS CURSOS DE FORMACIÓN EN MATERIA DE LOPD NO SON OBLIGATORIOS. Cuestión distinta es que en ocasiones sean muy convenientes y que yo sea la primera en recomendarlos, pero no es una obligación legal. Informar a tus trabajadores sobre medidas de seguridad (de LOPD, obviamente) sí es obligatorio. Que hagan un curso, no.

Espero al menos que este artículo sirva para aclarar conceptos y evitar que algún profesional o empresario vuelva a ser estafado.