Ejemplo práctico de adaptación a la LOPD en una empresa.

8 noviembre 2010

Una pequeña empresa de reformas (2 trabajadores/propietarios) pide asistencia para la adecuación de sus tratamientos de datos a la norma. El entorno técnico está compuesto por un solo ordenador que es usado para gestionar los proyectos y recoger el correo electrónico. La empresa dispone de una web donde se recogen algunos de sus trabajos y permite a su vez que los interesados se pongan en contacto con ellos mediante un formulario. Una gestoría externa de encarga de la administración y contabilidad.

 

Análisis

En este caso, el proceso de adecuación a la normativa no es complejo. Por un lado será necesario inventariar todos los tratamientos de datos que la empresa utiliza, tanto en soporte automatizado como manual. Veamos un resumen:

• Datos de clientes en diferentes entornos: agenda de correo electrónico, hoja de calculo para el control de proyectos, carpetas con facturas, agenda de móvil/PDA.
• Datos de proveedores: agenda de correo electrónico, carpetas con facturas, agenda de móvil/PDA.
• Datos de posibles clientes/potenciales/contactos: agenda de correo electrónico, hoja de calculo/base de datos/aplicación CRM para el seguimiento, tarjetero, etc
• Datos de trabajadores/propietarios: datos societarios, datos de nómina y recursos humanos

 

Vamos a ver seguidamente como gestionamos cada uno de estos tratamientos.

Empecemos por el tratamiento de los datos de los clientes. En este conjunto de tratamientos, podemos encontrar tanto datos de personas físicas como empresas, que sean clientes de la mercantil analizada. Los datos se pueden encontrar tanto en soportes automatizados (aplicaciones y documentos electrónicos) como manuales (tarjetas de visita, facturas) e incluso en dispositivos móviles (teléfonos/PDA).

 

Estos tratamientos contendrán datos de tipo nombre, dirección, DNI, correo electrónico, código postal o cuenta corriente y en algunos casos valoraciones del cliente (nivel de riesgo, etc) y observaciones sobre el tipo de proyecto que se esté llevando a cabo. Estaríamos pues ante un tratamiento de datos en el que cabría aplicar medidas de seguridad de nivel medio, ya que los datos obtenidos nos permitirían tener un perfil definido del afectado.

 

Hemos de tener en cuenta que en el caso que estamos analizando, la gestión administrativa está subcontratada a una gestoría que se encarga de la realización de las facturas y la posterior contabilización de las mismas. Al ser una empresa tan pequeña, los propietarios derivan los datos para la realización de estas facturas y en consecuencia, la gestoría se convertiría en encargado de tratamiento del fichero de clientes. Para ello sería necesaria la formalización del contrato de acceso a datos por cuenta de terceros que desarrolla el artículo 12 de la LOPD.

 

Veamos ahora lo referido a los datos de proveedores. Estos se encuentran localizados en similares soportes y ubicaciones que los correspondientes a los datos de clientes. Igualmente, los tratamientos de proveedores incluyen tanto datos de empresas como de profesionales y terceros que en algún momento prestan servicios a la empresa o los prestan en nombre de ella a clientes de la primera. La gestión administrativa se realiza de la misma forma que lo mencionado en el caso del fichero de clientes (vía gestoría).

 

En lo referido a los datos de posibles clientes o contactos, el tratamiento sería similar al de clientes, con la salvedad de que solamente tenemos datos en tarjetas de visitas, correos electrónicos o algunas anotaciones en papel y que en este caso todos los tratamientos se realizan dentro de la misma empresa.

 

Por último nos referiremos al tratamiento de datos de los trabajadores/propietarios. En este caso toda la gestión se realiza de forma externa en la gestoría, que es la encargada de generar las nóminas y toda la documentación relativa a recursos humanos. En este caso, como en el caso del fichero de clientes, la gestoría toma el papel de encargado de tratamiento y por ello es necesario formalizar un contrato de acceso a datos por cuenta de terceros desarrollado en el artículo 12 de la LOPD.

 

Plan de acción

Identificación / Validación

En primer lugar, como la estructura informática es tan simple y teniendo ambos usuarios el mismo rol dentro de la misma, se les recomienda la implantación de identificación al inicio de la sesión en el ordenador que comparten.

 

Como ambos utilizan el equipo, se recomienda crear dentro del espacio del disco duro una carpeta compartida en la que los dos usuarios tendrán derechos de lectura/escritura. La configuración de estos permisos es trivial y se puede realizar en pocos clics una vez accedido a las propiedades de la carpeta en cuestión.

 

La empresa tiene una sola cuenta de correo (del tipo info@nombreempresa.com) que ambos socios consultan. El acceso se lleva a cabo a través del navegador. La validación se realiza mediante un usuario y contraseña, que conocen los dos miembros de la empresa.

 

Copias de seguridad

No existe ningún tipo de copia de seguridad de los datos almacenados, por lo que se recomienda en este caso, el uso de un disco externo USB que se conecta una vez por semana (los viernes) al ordenador y se procede a la copia de la carpeta compartida de proyectos. Cada semana uno de los dos usuarios se lleva el disco a cada y el viernes siguiente se lo entrega al otro usuario.

 

 

Gestión de incidencias

Las pocas incidencias informáticas que se producen, se resuelven insitu con la intervención de un técnico de una empresa de mantenimiento informático. Con esta empresa externa, los socios tienen firmado un contrato de mantenimiento. Junto este contrato de servicios, se extiende otro contrato relativo al acceso a datos por cuenta de terceros (art. 12 LOPD) que se encarga de regular los accesos a datos de los técnicos, garantizando la confidencialidad y el uso que se hace de los datos accedidos por motivos del servicio.

 

En el caso de que por la gravedad de la avería o incidencia el equipo o el disco duro del mismo tuviera que salir fuera de la sede de la empresa, seria necesario registrar esa salida, indicando el motivo, hora, persona responsable, etc, en el Documento de Seguridad.

 

De igual manera, habría que registrar todas las incidencias que se pudieran producir en relación con el tratamiento de los datos personales de clientes o contactos (correos enviados por equivocación, errores en dirección, etc)

 

Documento de seguridad

Las medidas de seguridad implantadas, detalladas lo más posible, han de ser reflejadas en el Documento de Seguridad. Dicho documento servirá como guía para el uso de la información y sus procedimientos. Citando el texto de la norma, RD 1720/2007 (artículo 88.3) esté documento ha de contener por lo menos los siguientes aspectos:

a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.

b) Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.

c) Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.

d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.

e) Procedimiento de notificación, gestión y respuesta ante las incidencias.

f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.

g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.

 

Recordemos que se trata de un texto de mínimos. Así pues, cuanto más compleja sea nuestra organización, mayor nivel de detalles tendrá que tener el Documento de Seguridad.

 

Clausulados

La empresa analizada, dispone de un formulario de contacto en su página web que sirve para que los visitantes o posibles clientes, contacten con la misma en busca de presupuestos o consultas. Dicho formulario, debería advertir del uso y posibles cesiones de los datos que se recogen en el mismo. Para ello, se incluye en la página web un aviso donde en virtud del artículo 5 de la LOPD, se informa a los visitantes y potenciales clientes de los derechos que les asisten y del uso que se va a hacer de los datos que se introduzcan en la web.

El mismo clausulado se refleja en toda aquella documentación en soporte papel, donde se vayan a recoger datos.

 

Declaración de ficheros

Mediante la presentación del formulario NOTA de la Agencia Española de Protección de Datos, bien vía telemática o bien mediante correo postal certificado, se da cuenta a la AEPD de los tratamientos de datos que se administran en la empresa.

 

En concreto, para este caso particular, se han definido los siguientes tratamientos de datos:

• Clientes
• Proveedores / Terceros
• Recursos Humanos

• Contactos

Artículos relacionados

• Modelo de contrato de Encargado de Tratamiento.
• Vamos a contar mentiras… sobre la LOPD
• Checklist de comprobación de la implantación LOPD.
• La adaptación a la LOPD no es difícil
• ¿Quién está obligado a cumplir la LOPD?