Lo que siempre quiso saber sobre la LOPD y nunca se atrevió a preguntar.
Recogemos en este post una serie de dudas que a menudo nos plantean los clientes o posibles clientes cuando les visitamos.
- ¿Pero esto también es obligatorio para mi? Si soy una tienda. Evidentemente que es obligatorio. Solamente hay que ir a la norma y revisar el art. 2 de la misma para leer: “1. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.”Es decir, cualquier entidad sea pública, privada e independientemente del tamaño de la misma, está obligada por esta norma. El hecho de que estemos tratando con un establecimiento como una tienda, en este caso, simplemente indica que la gestión es más sencilla. Como mínimo tendrá un fichero de clientes; si tiene algún trabajador en nómina, fichero de empleados; un fichero de proveedores y si tiene web y recoge consultas o pedidos, un fichero de contactos (que probablemente se pueda asimilar al de clientes). Así pues, de entrada ya nos encontramos con 4 ficheros.
- Esto es muy complicado, ¿influirá en mi gestión diaria? No es complicado, porque las políticas y procedimientos se han de adaptar a la entidad y no al revés y sí influirá en su gestión diaria. ¿Como? Sencillo. Haciendo más transparente la gestión y pudiendo llevar un mayor control de los procesos que traten datos: como se gestionan, quien es el encargado, donde se almacenan/gestionan, cuando se tratan, etc.
- Esto es un impuesto revolucionario… No es broma, lo hemos llegado a escuchar. Evidentemente los procesos de adaptación tienen un coste. Mandar a un proyecto a un junior tiene un coste en € mensurable, luego hay que añadir dietas, desplazamientos, etc. Ya no digamos un senior. Pero de todas formas siempre decimos lo mismo: esto se lo puede hacer usted, eso esta claro. En ningún sitio de la norma indica que perfil ha de realizar este tipo de consultorías. El cliente se puede declarar los ficheros de forma gratuita a través de los formularios de la AEPD e incluso puede encontrar modelos de Documento de Seguridad tanto en la propia web de la agencia, como en esta misma. Pero le hacemos la reflexión: ¿que coste tiene para su estructura tener a uno o dos recursos propios dedicados a la implantación durante un tiempo determinado?. ¿Tiene capacidad técnica para desarrollar los procedimentos de seguridad técnicos necesarios?. ¿Y los jurídicos?. ¿En caso de un problema con la Agencia de Protección de Datos, es capaz de gestionar el procedimiento?.¿Le cubre su seguro de Responsabilidad Civil una posible sanción?. ¿Se hace usted responsable de una mala implantación ante sus clientes o usuarios?
- Yo no tengo ficheros ni bases de datos trabajo con Word. Esta es de nota. La norma no hace distinción del tipo de tratamiento (automatizado o no) que se le de a los datos personales. El simple almacenamiento de los mismos en una hoja de cálculo, ya está considerado tratamiento y por tanto, es obligatoria su protección. Es decir, si su gestión se realiza en un libro de registro, anotando datos a mano… está haciendo tratamiento de datos y por tanto… si, tiene un fichero.
- ¿Hay que hacer mantenimiento obligatorio de esto? Esta pregunta nos la hacen a menudo ya que son bastante las consultoras que aplican planes de mantenimiento anuales a sus proyectos. La normativa no obliga más que a una auditoría cada 2 años del sistema y del cumplimiento de la norma. Se aplica la excepción de una auditoría a más corto plazo si ha habido un cambio substancial en la estructura, que afecte a los datos.Como referencia, siempre la norma:“Artículo 96. Auditoría.
1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.
Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior…..”
- Evidentemente si el cliente nos lo pide, se puede montar un plan de seguimiento, que incluya visitas periódicas durante el periodo de vigencia de la implantación o la auditorías.
- ¿Me van a dar un certificado conforme estoy adecuado a la LOPD? La única “certificación” valida referida a la adecuación a la norma de protección de datos, es figurar en el Registro General de Protección de Datos de la AEPD (www.agpd.es). La aparición de la la empresa en el Registro General, implica que al menos formalmente, cumple la normativa sobre protección de datos. Pero ojo! No nos olvidemos de una cosa importante: figurar en el registro es obligatorio, pero sin una política de gestión y unos procedimientos bien dimensionados a la medida de nuestra entidad, el registro no sirve de nada. Es más, ante un procedimiento inspector de la agencia, si no podemos demostrar que tenemos todos los procesos bien cubiertos, estaremos mintiendo y por tanto la inscripción en el el registro no sirve de NADA.
-
¿Cuanto me cuesta? La pregunta del millón ( o de los 6.000 €). Muchas veces tenemos que vernos con clientes que, obviamente piden más de un presupuesto para una adaptación o una auditoría. El problema viene cuando los precios bailan y hay tanto desfase de un proyecto a otro, que se hace difícil valorar para el cliente, cual es la mejor opción. Nos hemos encontrado en situaciones en las cuales un presupuesto presentado era 4 o 5 veces superior a otro. Antes de decidirse por un proyecto u otro hágase estas preguntas: ¿Está claramente documentado el proyecto a realizar?. ¿La consultoría se realiza insitu o online?. ¿Los perfiles de los consultores están especificados en la propuesta?. ¿Está documentado el tiempo de duración del proyecto?. ¿En caso de incidencia por mala implantación o definición del proyecto, la consultora asume los riesgos?. ¿Tiene la consultora experiencia en mi sector?. ¿Ha venido a verme un consultor, que sabe lo que dice o es un comercial con un guión (con todo el respeto a los comerciales)?. ¿Está documentado el coste hora y las condiciones económicas?. Estas preguntas, y finalmente las sensaciones que haya recibido el cliente a la hora de valorar las ofertas, serán suficientes para apostar por un proyecto u otro. Como siempre, lo barato sale caro.
Artículos relacionados
abril 8th, 2010 at 15:52
Dos “peros” a vuestros comentarios.
1/ NUNCA puede haber en una organizacion un fichero de Proveedores pq los proveedores, aunque sean personas fisicas, mantienen una relacion de tipo empresarial, no personal, con el cliente, con lo que la LOPD no es de aplicacion.
2/ Respecto al mantenimiento, esta muy claro que se establece la obligatoriedad de Auditoria bienal para los ficheros a partir del nivel medio. OK. Entonces que es lo que hay que hacer si hay cambios en los propios ficheros, equipos, usuarios, o si se producen incidencias en las copias de seguridad? Hay que esperar a la Auditoria? No hay que hacer nada? Parece logico que haya que hacer modificaciones al menos en el DMS, no? Ese es el servicio de mantenimiento, el hecho de revisar periodicamente todos los aspectos que pueden modificarse en una organizacion respecto a la LOPD y que quede reflejado en la documentacion necesaria.
Logicamente, salvo opinion mejor fundada…
abril 8th, 2010 at 16:09
Ante todo gracias por la aportación.
A nuestro entender (y también salvo mejor opinión) el tratamiento de ficheros de proveedores o terceros, llamesele como quiera; si debería estar incluido en las definiciones de los tratamientos de datos, pues si bien como dice son fruto de una relación laboral, pero referidas siempre a personas de contacto, de las que podemos tener su móvil personal, su correo particular o incluso su fecha de cumpleaños, todos ellos datos personales. Por ello, nuestro parecer es que si debería estar declarado.
En lo referente al mantenimiento LOPD, nuestra filosofía de trabajo es la de proveer al cliente de las herramientas y conocimientos que necesita para ello, sin dejar de lado, obviamente que puntualmente nos puedan hacer una consulta. La formación que se les imparte al final del proyecto, implica el conocimiento del funcionamiento y la estructura del Documento de Seguridad. Creemos que nuestra obligación es la de enseñar a gestionar el funcionamiento de sus políticas y procedimientos, no la de convertirnos en “actualizadores” de su Documento de Seguridad.
Una vez más, gracias por sus indicaciones.
abril 8th, 2010 at 16:49
Me alegra ver que hay colegas que lo tienen incluso más claro que la propia Agencia Española. En esto de la protección de datos hay que ser prevencionista y en el caso de que tratemos datos de autónomos o profesionales liberales que no se encuentren en la definición que recoge el Código Mercantil de empresario o comerciante(así lo establece la propia normativa de protección de datos)debemos entender que hay tratamiento sometido a la normativa.
Respecto al punto 2 de Alejandro Ok
abril 9th, 2010 at 6:11
Hay una cosa que habría que aclarar.
No hay que confundir el mantenimiento LOPD con el seguimiento del cliente.
Algunas consultoras presentan el mantenimiento como algo obligatorio cuando evidentemente no es así. Otra cosa es que el cliente pida expresamente un plan de seguimiento y se monte un proyecto al respecto.
Nosotros tenemos algunos clientes que si nos han pedido ese tipo de proyecto y se lo damos, obviamente. Pero no decimos que es obligatorio, para tener al cliente atado.
Saludos de nuevo.