domingo, 17 de febrero de 2013

Tu óptica y la Ley Orgánica de Protección de Datos de carácter personal (LOPD) – Mitos, Verdades y Mentiras



A raíz de una larga conversación que hemos mantenido sobre la LOPD en el grupo de Facebook que tengo el honor de gestionar (Comunidad de ópticos optometristas), he visto la necesidad para muchos compañeros de conocer un poco mejor la Ley, además, despejar algunos mitos, verdades y mentiras que pueden abocarnos a hacer las cosas mal y a tener grandes disgustos en caso de que la Agencia de Protección de Datos nos haga una inspección.

La mejor forma que se me ha ocurrido para hablar de este asunto tan importante es mediante comentarios y reflexiones de los propios compañeros, así como las aclaraciones que creo que hay que hacer sobre estos comentarios. He seleccionado los que creo pueden servir de más ayuda y también los que más se discutieron.

"Yo mismo dí de alta mis ficheros ante la AEPD. Sólo hace falta eso para cumplir"

FALSO.

Ese es un requisito más, pero no es ni mucho menos el más importante. Lo más importante es poder asegurar que tratamos los datos de carácter personal con el debido celo y seguridad, basándonos en los tres principios que tiene la LOPD: 1) Calidad de los datos, 2) Información en la toma de datos y 3) Consentimiento. Para hacer cumplir esto, la LOPD y el Reglamento (el desarrollo práctico de la Ley) – establecen unos mínimos que se deben cumplir y deben detallarse en el Documento más importante en lo que respecta a la adecuación de la empresa a la LOPD, el Documento de Seguridad. La LOPD realmente es un grupo de prácticas de índole técnica, organiza y administrativa que en resumen son:

1) Tener redactado y accesible al personal el Documento de Seguridad – donde se detallan todos los procesos que se siguen en la empresa para cumplir con la Ley y tratar los datos personales como es debido.

2) Inscripción de ficheros en la Agencia de Protección de Datos (como ya se ha nombrado)

3) Redacción y aplicación de cláusulas de protección de datos, en comunicaciones, e-mails, faxes o cualquier tipo de formulario o soporte cuya finalidad sea la recogida y almacenamiento de información personal.

4) Gestión de los derechos de las personas sobre sus datos, incluyendo una serie de respuestas y condiciones que se deben cumplir para que el cliente/ paciente pueda ejercer sus derechos con una garantías mínimas de seguridad y buenas prácticas.

5) Control accesos por parte de terceros. Esto es especialmente sensible cuando se contrada publicidad directa a terceros o se tiene que hacer una trasmisión de datos personales.


“(…) Muchas de las empresas que se dedican a esto, lo que hacen es un paripé y al final ni auditoria ni nada... te ponen que lo han hecho y ya esta. Con tal que que hayas pagado su factura…”

VERDADERO.

La verdad es que quien hizo esta afirmación tiene buena parte de razón. Como en todo, hay grandes profesionales que hacen muy bien su trabajo, pero yo he visto y revisado ya bastantes Documentos de Seguridad y son poco más de un copia-pega del documento-plantilla que hay en la propia página de la Agencia, no están en absoluto adecuados a la propia forma de trabajar de la óptica y desde luego, ante una inspección no valen para nada, por una razón muy sencilla: no hay que hacer un documento, lo que hay que hacer es adecuar la empresa y sus procesos de trabajo parta cumplir con la Ley.

Por eso, si alguien os ofrece haceros la adecuación, el documento de seguridad por métodos que ahora se llevan mucho, como el consumo de lo que adelantáis cada año con los impuestos que van a la fundación tripartita/ fondos destinados a la formación de los empleados, con lo que, aparentemente sale gratis (que no es así, porque ya lo habéis pagado con vuestros impuestos), desconfiad, y os digo porqué: realmente lo que estáis pagando es un curso de formación sobre la LOPD - que está muy bien, no lo niego, pero cuya validez al ser la mayoría en plataformas on-line es muy discutible... repito: estáis pagando el curso, no la adecuación de la óptica a la LOPD, lo que pasa es que os dirán que os "regalan" el documento de seguridad. Hasta ahí bien. Pero si la persona que lo tiene que desarrollar no tiene varias entrevistas con vosotros, si no os pregunta qué programa usáis para gestionar el fichero, cómo guardáis las fichas, si hacéis firmar el consentimiento, si no conoce cómo trabajáis con los datos personales, si al final no os pone tareas para adecuar realmente la empresa a la LOPD, lo que está haciendo en tres palabras es que os está engañando.

No nos equivoquemos: adecuar la empresa a la LOPD no es tan fácil, porque tenemos que asegurar que los datos personales son debidamente tratados, y para eso la persona a la que estamos pagando debe hacer el esfuerzo de conocer nuestro negocio y cómo trabajamos con los datos personales y, a la vez, seguramente debe pedirnos que hagamos modificaciones en nuestro modo de trabajar, no vale con que nos entregue una carpeta o un disquette y que nosotros lo pongamos en el primer cajón que veamos, con eso no estamos haciendo nada y por desgracia más de uno nos daremos cuenta cuando tengamos una inspección.

“El mantenimiento "Telefonico" que te ofrecen por 420€ anuales es una gaita. O lo das a una empresa seria o haces un curso "de verdad" y te lo haces tu bien hecho.”

VERDADERO.

Recuerda siempre que el Responsable del Fichero, y por tanto a quien pedirá cuentas la Agencia de Protección de Datos, eres tú, propietario o responsable de la óptica, así que asegúrate de la disponibilidad de la agencia o consultora en la que tengas delegada la gestión de la LOPD – incluyendo sus tarifas en caso de inspección -, y, como afirma el compañero, asegúrate de que esté bien hecho.


CONCLUSIONES
Realmente, lo que hay que recordar cuando hacemos cualquier tratamiento de los datos que identifican a una persona, debemos tener en mente los principios de la LOPD:

1) Calidad de los datos.
2) Información en la toma de datos.
3) Consentimiento.

- Debemos establecer toda una serie de procesos para segurar la calidad de los datos que poseemos y, si dudamos de su calidad y no podemos mejorarla por medios lícitos, ni mantengamos ni desde luego usemos esos datos.
- Debemos Informar a la persona, cuando estamos recogiendo sus datos, de porqué los recogemos y cómo vamos a usarlos.
- Debemos tener el Consentimiento de la persona para recoger y usar esos datos, a veces ese consentimiento podrá ser tácito, a veces deberá ser expreso.

Espero que estos comentarios y reflexiones haya servido de ayuda.

Puedes comentar a continuación tus dudas o sugerencias, trataré de contestarte lo antes posible.

No hay comentarios:

Publicar un comentario