Que no te estafen con la Ley de Protección de Datos

¿Tiene su empresa implantada la Ley de Protección de Datos (LOPD)? ¿Tiene que implantársela una empresa especializada? ¿Qué servicios le han ofrecido diciendo que son obligatorios? ¿A qué nos obliga realmente la LOPD?.

Recientemente son muchas las preguntas que me han llegado al respecto, empresas a las que les han cobrado una cantidad desorbitada por implantar la Ley de Protección de Datos y además unas tarifas anuales de mantenimiento por una auditoria.

https://www.flickr.com/photos/ricardosanroman/6086156619

Estas tarifas abusivas son pagadas por el empresario y otras son abonadas a cargo de los créditos de formación bonificada (que no quiere decir que salga gratis).

Bueno… empezaremos por el principio para explicar por qué todo esto es una aberración.

Para comenzar es necesario comentar que para implantar la Ley de Protección de Datos no necesitas subcontratar a una empresa consultora, ni un abogado para nada, a continuación os dejo una serie de post que escribí en mi página personal exponiendo como lo puedes hacer tu mismo, otra cosa es que no te apetezca o te parezca demasiado complicado y decidas personalmente subcontratar el servicio (igual que cuando llamas a un fontanero porque tú solo no puedes arreglar las cañerías de casa).

            LOPD 1: Niveles de protección

            LOPD 2: Documentos de seguridad

¿Es obligatorio contratar a alguien para hacer la auditoria? ¿Es obligatoria en todos los casos?

Según la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal su realización es OBLIGATORIA para ficheros de nivel medio y alto ¿Tiene tu empresa este tipo de ficheros? Compruébalo pinchando aquí: NIVELES DE SEGURIDAD. No obstante comentar que la mayor parte de la empresa tieneN sólo ficheros de nivel bajo y estarían EXENTOS.

Todos los días veo empresas a las que les están cobrando por realizar unas auditorias a las que no están obligadas . INFÓRMATE BIEN ANTES DE CONTRATAR NADA.

Y además, la ley de Protección de Datos nos dice que la auditoria puede ser EXTERNA O INTERNA, o sea, que la puedes realizar tu mismo si te ves capacitado siempre y cuando la persona que la realice no sea la responsable del mantenimiento de la documentación de la implantación de la ley de protección de datos.

https://www.flickr.com/photos/jesusdq/1570302391

La auditoria (si estás obligado) debe realizarse al menos cada DOS AÑOS (no es anual) y excepcionalmente si se han realizado modificaciones sustanciales en el sistema de información deberá realizarse una auditoria para comprobar la adecuación y eficacia de las medidas de seguridad.

Conclusión, si te están cobrando una tarifa anual por una auditoria al año NO TIENES POR QUÉ CONTRATAR ESO, otra cosa es que tú voluntariamente quieras pagar a una empresa externa que anualmente te revise la documentación (pero que la revisen, no que te llamen por teléfono).

Comentarios de algunos empresarios; “Es que me sale gratis, no pago nada, lo cobran de los créditos de formación” ¡ERROR! ¿Qué son los créditos de formación bonificada?   Ana Galindo nos explico perfectamente en un anterior Post que son un sistema de créditos (en base del número de trabajadores que tenga la empresa) para responder a las necesidades específicas de formación.

¿Si nos están implantan la Ley de Protección de Datos con cargo a esos créditos estamos realizando formación o nos están prestando un servicio de asesoría?.

Se considera fraude cualquier acción llevada a cabo por una empresa a cargo de la formación bonificada siempre y cuando la empresa que contrata el curso no recibe formación alguna y si algún servicio ( por ejemplo la adaptación a la Ley de Protección de Datos). La fundación tripartita advierte incluso, tal y como disponen el Real Decreto 395/2007 y la Orden Ministerial 2307/2007, de la ilegalidad de realizar cursos de formación bonificados a cambio de otros servicios.

Cuidado, que no os engañen con la Ley de Protección de Datos, puedes implantarla tu mismo y realizar las auditorias con personal de tu empresa, si quieres subcontratar el servicio subcontrátalo, pero ten claro lo que contratas y lo que necesitas ¡Y ojo! Nunca a cargo de créditos de formación bonificada porque incurrirías en una infracción tú, no ellos.

Para más información sobre ISO 9001 y/o ISO 14001 visita mi web donde profundizo sobre el tema y aclaro todas vuestras dudas:

Web Ismael Lozano Latorre / Auditor y Consultor de Calidad y Medio Ambiente

Implantación y mantenimiento de sistemas de gestión (ISO 9001, ISO 14001, Q de calidad, EMAS, Travelife, SICTED…), formación y asesoramiento continuo.

Solicita presupuesto sin compromiso:

Teléfono: 616 39 34 79

ismaellozanolatorre@hotmail.com

¿Es Usted seropositivo?

Hace un par de años decidí cambiar de dentista, acudí a una clínica nueva y lo primero que tuve que hacer es sentarme con una chica muy amable que me entregó una cartulina donde debía rellenar mis datos para su fichero de clientes. Lo primero que me sorprendió es que en pleno siglo XXI todavía siguiesen utilizando la típica caja de cartón con fichas que guardaba bajo el mostrador y lo segundo y más preocupante, es que además de mis datos personales, incluía una pregunta como mínimo comprometida: “¿Es usted seropositivo?”.

Entiendo que dadas las peculiaridades del servicio que ofrecen deban hacer una pregunta así, es más, puede que estén hasta obligados, lo que no entra en mi cabeza es que la caja de cartón donde ponían esos datos tan íntimos de sus pacientes estaba al alcance de la mano de todo el que entraba en la clínica ¿Estaba esa caja vigilada todo el tiempo? ¿Cuándo la joven iba al baño el dentista se sentaba en su mesa para asegurarse que nadie las miraba? ¿Y el personal de limpieza? ¿La mujer que limpiaba el polvo, cuando está sola por la tarde, tenía acceso a toda esa información?.

Desprotegidos. Esa es la sensación que te da.

Un caso parecido ocurre cuando entregas un currículo a un empresa, en el incluyes tu formación, tu experiencia, tu estado civil, si tienes carnet de conducir, donde vives, cuantos años tienes…. ¿Dónde van a parar esos datos? ¿Cuántas veces esos curriculums se quedan almacenados en la mesa del jefe de recepción de un hotel o en la de recursos humanos sin ningún tipo de protección? A la vista de todos ¿Y si tengo una exnovia maniaca-obsesiva que trabaja en ese hotel? ¿Y si al ir a pedir la nómina del mes ve mi currículo sobre la mesa y descubre la nueva dirección a la que me mudé para que dejara de tocarme al timbre treinta y ocho veces al día?.

Pues eso… Desprotegidos.

La UNE-EN-ISO 9001:2008 en su punto 7.5.4. Propiedad del cliente nos matiza que la organización debe cuidar los bienes que son propiedad del cliente mientras estén bajo el control de la organización o estén siendo utilizados por la misma e incluye una nota que matiza la propiedad del cliente puede incluir la propiedad intelectual y los datos personales.

¿De qué estamos hablando? Evidentemente de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD).

La Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) tiene por objetivo garantizar y proteger los datos personales velando por la intimidad, honor y privacidad de los individuos.

El Real Decreto 1720/2007 Reglamento de desarrollo de la LOPD de 21 de Diciembre desarrolla las medidas de seguridad del tratamiento de datos de carácter personal.

Aunque todos sabemos que son obligatorias… ¿La tiene tu empresa implantada? ¿Existe un manual de seguridad para la protección de datos? ¿Le comunicáis a los clientes que sus datos van a ser incluidos en una base de datos? ¿Están vuestras bases de datos registradas en la Agencia Española de Protección de Datos?.

Cómo clientes, proveedores o empleados de la empresa tenemos derecho a que nuestros datos de carácter personal estén protegidos, más incluso, cuando se trata de datos de nivel alto (ideologías, afiliación sindical, religión, creencias, salud o vida sexual) y como empresa, debemos hacerlo para cumplir la ley y evitar las sustanciosas sanciones que nos pueden caer por el incumplimiento:

• Infracciones Leves: Multa entre 900€ y 40.000 €.
• Infracciones Graves: Multa entre 40.001€ y 300.000 €
• Infracciones Muy Graves: Multa entre 300.001€ y 600.000 €

Si queréis completar la información leyendo más sobre la LOPD pincha en los siguientes enlaces:

http://ismaellozanolatorre.com/2013/06/05/que-sabes-de-la-ley-de-proteccion-de-datos-parte-i-niveles-de-proteccion/

http://ismaellozanolatorre.com/2013/06/19/que-sabes-de-la-ley-de-proteccion-de-datos-parte-2-documento-de-seguridad/

Ismael Lozano Latorre

AREA: Calidad y Medio Ambiente