LOPD

 Novedades del Nuevo Reglamento Europeo :

La nueva norma europea, que entro en vigor en marzo de 2016, tiene una serie de novedades, que sería bueno que se tuviera en cuenta, aunque es verdad que van a dar hasta el 2018 para implementarlas o actualizarlas, aunque se van endurecer los controles e inspecciones.

Puede citarse, entre otras, estas novedades que aporta la norma:

•  Implementación de nuevas metodologías en relación a:
  • Procedimientos de obtención del consentimiento y de información.
  • Cumplimiento de los nuevos derechos (olvido, limitación del tratamiento, portabilidad).
  • Profiling y decisiones automatizadas.
  • Protección de datos desde el diseño y por defecto.
  • Análisis de impacto en la protección de datos.
  • Implementación de medidas de compliance (accontability o responsabilidad activa).
  • Registro de actividades del tratamiento.
  • Gestión de la seguridad y notificación de incidentes a los clientes/administrados/interesados.
• Procedimientos de colaboración con la autoridad de protección de datos.
  • Transferencias internacionales de datos.
  • Consulta previa.
  • Denuncias y reclamaciones.
• Contratación del delegado de protección de datos.
• Adopción de códigos de conducta y certificaciones.
• Impacto en las contrataciones públicas y privadas. Especial referencia a las relaciones de acceso y cesión.
• Impactos en materias y sectores específicos:
  • Libertad de expresión.
  • Acceso documentos oficiales.
  • Relaciones laborales.
  • Tratamiento de datos con fines de investigación, histórica y estadística.
  • Entidades religiosas.Con este escenario temporal parece que hay tiempo para adaptarse a la nueva normativa, aunque , el cambio operado es tal, que más vale ir teniendo presente estas medidas para intentar no llegar en tiempo de descuento a julio de 2018.
  • La combinación del principio de privacidad por diseño (privacy by design) que obliga a implantar en la organización una verdadera cultura de respeto a la privacidad en la que se actúe con proactividad durante todo el ciclo de vida del dato, es decir desde antes de su obtención hasta su total destrucción, con el principio de enfoque basado en el riesgo que, por ejemplo, ha de ser tenido en cuenta a la hora de optar por unas u otras medidas de seguridad y el principio de accontability que obliga no sólo a cumplir con el RGPD sino también a justificar su cumplimiento, nos llevan a un escenario en el que es preciso tomar decisiones transcendentales, tales como ¿qué medidas de seguridad debo implantar?, ¿cómo integro la privacidad en la cultura de mi organización y cómo lo demuestro?, ¿por qué no me someto a una evaluación de impacto en protección de datos?, ¿cuáles son los riesgos para la privacidad en los tratamientos que llevo a cabo?, etc. A la hora de responder a estas y otras preguntas, deben tenerse en cuenta, entre otras, las siguientes variables:
    • En definitiva de nada servirá implantar medidas y procedimientos si estos no son adecuados para lograr la finalidad que persiguen o se quedan en papel mojado.
    • No implantar las medidas apropiadas nos ponen en riesgo de sanción y daño reputacional de cara a terceros y tomar medidas demasiado exigentes en relación con el riesgo, la tipología de datos, el modo y tipo de tratamiento y el volumen de datos tratados nos pueden ocasionar pérdida de competitividad con respecto a la competencia.
    •  De nada me sirve actuar igual que otras organizaciones puesto que la aplicación conjunta de estos tres principios impide la creación de estándares que sin más se implanten, sino que obligan a actuar conforme a tu organización interna, modelo de negocio y situación concreta. Esto, por poner un ejemplo, quiere decir que aplicar el mismo modelo de una organización muy similar en cuanto a la tipología de datos tratados, el modo y tipo de tratamiento y el volumen de datos tratados puede no ser completamente correcto y adecuado, puesto que pueden concurrir otras variables que pueden elevar o disminuir el riesgo, como pueden ser la  formación del personal, la antigüedad del hardware y software y la existencia o no de actualización y soporte.

 Adaptación Comunidad de Propietarios:

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD), así como su normativa de desarrollo, es de aplicación a los datos de carácter personal[1] registrados en soporte físico[2] que los haga susceptibles de tratamiento[3], y a toda modalidad de uso posterior de estos datos por los sectores público y privado.

Esta ley tiene por objeto garantizar al titular de los datos que los terceros, tanto del sector público como del sector privado, utilizarán sus datos de forma que éste pueda tener control sobre los mismos, y en todo momento tenga conocimiento sobre qué va a hacer el sujeto que trata sus datos, para qué los recaba, cómo los trata y con qué fin los utiliza o a quién se los cede o comunica.

En relación a las Comunidades de Propietarios cabe concluir que, puesto que no se halla contemplado en ninguno de los supuestos excepcionales previstos por el artículo 2 de la LOPD, les resulta plenamente aplicable, el régimen de obligaciones organizativas, legales y técnicas reguladas por la LOPD. Por tanto, una Comunidad de Propietarios será Responsable del Fichero cuando sea ésta quien decida sobre la finalidad de la recogida y del tratamiento, así como cuando determine cuál va a ser el contenido del fichero y qué uso va a darse a los datos que lo componen.

Es conveniente tener en cuenta además de la Ley 49/1960, de 21 de Julio, sobre propiedad horizontal, en adelante Ley de Propiedad Horizontal, que regula la materia relativa a las comunidades de propietarios y las normas relativas a la Protección de datos, una serie de Instrucciones e informes dictados por la Agencia Española de Protección de Datos y en particular, la instrucción relativa al “Responsable de los ficheros de las Comunidades de Propietarios”, por el cual se reconoce la condición de Responsable de los ficheros a la Comunidad de Propietarios, que es quien, a través de sus Órganos de Gobierno resolverá sobre las cuestiones relacionadas con la misma.

[1] Cualquier información concerniente a personas físicas identificadas o identificables.

[2] Objeto físico susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar o recuperar datos

[3] Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

 Adaptación Sector Público:

Nuestra intención es informar sobre las obligaciones con respecto a la Ley Orgánica de Protección de Datos Personales (LOPD) que afectan a los Ayuntamientos. Consideramos que es importante que conozca cuáles son estas obligaciones, qué riesgo corre las Instituciones Publicas y proporcionarle una solución para cumplir con la Ley.

La LOPD es una ley que obliga no solo a las empresas, sino también a todas las Administraciones Públicas, incluidos los Ayuntamientos, que tengan datos de personas físicas a llevar a cabo una serie de acciones. Todos los Ayuntamientos tienen datos de personas físicas, aunque sean pocos o aunque estén ubicados fuera de sus instalaciones: datos de empleados, datos de vecinos, datos de proveedores, ficheros de direcciones, o el propio padrón municipal, etc.

Las obligaciones que esto supone son en resumen estas:

• Inscribir estos ficheros en la Agencia Española de Protección de Datos (o Agencia propia de la Comunidad cuando existe)
• Elaborar e implantar un Documento de Seguridad
• Regular los movimientos de datos con terceros
• Realizar una auditoría al menos cada dos añosLes informamos igualmente, de que en el caso de que el Ayuntamiento no cumpla con la LOPD se ve expuesto a un importante riesgo de denuncia y por tanto de sanciones. Es un riesgo real para cualquier Institución, pero más aún para aquellas que presentan una exposición social y una relevancia mayor, susceptible por tanto de aparecer en los medios de comunicación por una sanción de este tipo.Les recomendamos que tanto si su Ayuntamiento no se ha adaptado nunca a la LOPD, como si lo hizo con anterioridad a abril de 2008, momento en que cambió la legislación, como ahora que con la Nueva Normativa Europea, deberían actualizar los procedimientos y la información, para ello Providence Solutions, S.L., podemos proporcionarle la ayuda adecuada. Realizamos la adaptación completa a la Ley, en proyectos a medida y llave en mano, a través de profesionales con una gran trayectoria y experiencia y con unos resultados siempre exitosos que garantizan la tranquilidad de nuestros clientes. Prueba de ello son las numerosas compañías y entidades privadas y públicas que nos han confiado su adaptación a la LOPD , e instituciones de todo tipo de actividad y tamaño.

Adaptación Pymes:

FASE I: ADAPTACIÓN INICIAL LOPD

Inicialmente se acometerá la adaptación de la entidad al no haber realizado recientemente ninguna acción de adecuación a la LOPD en función de los últimos cambios legislativos. Esta adaptación se realizará en referencia a la LOPD y a su nuevo Reglamento, de tal manera, que quede totalmente actualizada en el cumplimiento de la normativa vigente. Se incluirá al principio de esta fase diversas acciones de concienciación y comunicación del proceso de adaptación entre los trabajadores de la compañía.

FASE II: IMPLANTACIÓN DE MEDIDAS CORRECTORAS

Una vez completada la Fase I y a la luz de las situaciones puestas de manifiesto en la misma, se elaborará un Plan de Acción que indicará cuáles son las medidas correctoras que la entidad necesita acometer para conseguir la total adaptación a la LOPD y posteriormente se implementarán las mismas.

FASE III: AUDITORÍA BIENAL

Completada la Fase II, la entidad se encontrará adaptada a la LOPD y por tanto será el momento adecuado para que Providence Solutions realice la Auditoría Bienal Obligatoria, ya que será en ese momento y no antes, cuando no presentará “no conformidades” con la Ley y el Reglamento de Protección de Datos.

La Auditoría Bienal solo es obligatoria para el caso de que la entidad se encuentre en un nivel de datos Medio o Alto, no así para nivel Básico. Dicho Nivel se establecerá durante la Fase I anteriormente definida, con lo cual, la ejecución de esta Fase III está condicionada al resultado de la fase de Adaptación Inicial, pudiendo resultar no necesaria la realización de la Auditoría Bienal. A priori se estima que SÍ resultará necesaria la auditoría bienal obligatoria, dada la actividad de la compañía.

FASE IV: FORMACIÓN LOPD

La Organización podrá disponer de los servicios de Formación LOPD de Providence Solutions para el personal afectado sobre el que considere necesario transmitir tanto conocimientos de gestión de la adecuación LOPD como difundir las acciones acometidas y concienciar de la importancia de esta materia.

FASE V: MANTENIMIENTO ANUAL LOPD

La Organización podrá contratar el servicio de Mantenimiento Anual LOPD que ofrece Providence Solutions para conseguir una adecuación constante y vigilada a la LOPD con el objetivo de aprovechar los esfuerzos iniciales hechos y no incurrir en el futuro en situaciones de riesgo por incumplimiento.

Adaptación Microempresas y Autónomos:

Esta Adaptación está especialmente diseñadas tanto, para todas las pymes de 1 a 4 trabajadores como profesionales autónomos, que quieren adaptarse a la LOPD de una forma sencilla y económica. Se trata de unos procedimientos de fácil uso, que te permitirá realizar la adaptación de tu empresa u organización, en un tiempo record, con todas la garantías que ofrece una empresa especializada como Providence Solutions.

La protección de los datos personales es un derecho fundamental de las personas y su empresa, al manejar datos (agendas comerciales, de proveedores, de clientes potenciales, de trabajadores…) tiene el deber de respetarlo, pues lo que significan derechos para unos, suponen obligaciones para otros. En otras palabras: debe asumir que su empresa y labor profesional, está plenamente sometida a todas las exigencias de la normativa de protección de datos… y a toda su maquinaria inspectora y sancionadora. No olviden:

• La Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su Reglamento de Desarrollo el Real Decreto 1720/2007, son de obligado cumplimiento para todos los ciudadanos que posean , manejen o utilicen datos de carácter personal de terceros.
• El desconocimiento de la Ley no impide su cumplimiento.
• Con el alta de ficheros en la AGPD no acaban sus obligaciones en lo referente a la Ley.

La buena noticia son en realidad tres buenas noticias:

1.    Es una normativa perfectamente fácil de cumplir (si cuenta con la información adecuada)

2.    Puede contar con la ayuda de asesores cualificados y con experiencia

3.     Procedimientos, protocolos y medidas, sencillas de entender, con formación personalizada, para evitar sanciones, incidencias y perdidas de datos.

Este importe no incluye el IVA