¿Sabía que no puede usar la fecha de nacimiento de uno de sus empleados para felicitarle por su cumpleaños? ¿O que no puede ceder datos de sus clientes a un tercero sin el consentimiento de éstos? La respuesta está en la Ley Orgánica de Protección de Datos (LOPD), una norma fundamental que afecta a todas las empresas, grandes, pequeñas y de cualquier sector, y que sin embargo, según confiesa un abogado, "es imposible cumplir al cien por cien".
De hecho, y según datos del Instituto Nacional de Tecnologías de la Información del Ministerio de Industria, un mayoritario 96% de las pymes españolas de menos de 50 empleados disponen de datos de carácter personal, y están por tanto sujetas a la LOPD. De éstas, sólo el 16% declaran los ficheros ante la Agencia de Protección de Datos.
Pero hay más formas de incumplir con la ley. Un ejemplo: tengo un responsable de Recursos Humanos que no avisa al posible candidato a ocupar un puesto de que su currículum se va a incluir en un fichero, y que se va a mantener ahí por espacio de tiempo de un año. Ya se está incumpliendo con la LOPD. Y es que además de los aspectos técnicos y legales que implica la ley de protección, gestión y tratamiento de datos, están los meramente organizativos, que suelen ser los más complicados.
Ficheros lógicos
Pero vayamos por pasos. El primero de ellos, según explica Miguel Geijo, asociado de mercantil en Garrigues, es la identificación de todos datos de carácter personal susceptibles de ser tratados por los empleados de la empresa. A partir de ahí, hay que ordenarlos. Pero no de cualquier manera. En ficheros lógicos que, por ejemplo, separen los datos de empleados, candidatos, clientes y target -potenciales clientes-. Ojo, porque hablamos en todo momento de datos de personas físicas; la ley excluye a las jurídicas, esto es, no tenemos por qué incluir a una empresa.
Llega el momento de identificarlos: ver la naturaleza de cada dato (si es de salud, de afiliación sindical, financiero...), el uso que estoy haciendo del mismo y posibles cesiones a terceros.
Ceder referencias a terceros
Este último punto es muy im-portante. Como explica Antonio Sánchez-Crespo López, socio director de Sánchez-Crespo Abogados, hay varios escenarios posibles en los que una empresa cede sus datos a un tercero: pensemos en un servicios de consultoría, una gestoría, una empresa de mantenimiento informático, una asesoría... En este caso, hay que firmar un contrato en el que tiene que quedar constancia de: las instrucciones, los fines concretos para los que se pueden tratar los datos o acceder a los ficheros, prohibición expresa de cederlos a terceros, las medidas de seguridad que tienen que seguir y la necesidad de devolverlos o destruirlos cuando termine la prestación de servicios.
Una vez tenemos los ficheros ordenados hay que determinar las medidas de seguridad que requieren, y si nos basta con un nivel básico, o hay que subir al intermedio o al superior. Por cierto, hay datos, como antecedentes penales, que no se pueden tener. Y entre los que requieren mayor protección: afiliación sindical, datos de salud, creencias religiosas, políticas... Es más, algunos no sólo los regula la LOPD, los sanitarios, por ejemplo, están regulados, además, por la Ley de Autonomía del Paciente. Los financieros y los relativos al mundo de las telecomunicaciones también gozan de regulación específica.
¿Cómo protegerlos? Mediante servicios de backup o copias de seguridad, y con cambios frecuentes (cada 15 días) de las coordenadas de seguridad, si son electrónicos, o directamente restringiendo el acceso físico a los ficheros si éstos son de papel.
Llega el momento de declarar a la agencia de protección de datos los ficheros que tenemos en nuestra posesión e inscribirlos en el Registro general de protección de datos. En 2006, por ejemplo, había más de 815.000 ficheros inscritos.
Inscribirlos equivale a cumplimentar un documento, accesible desde la web de la agencia (programa NOTA) en el que se da cuenta de los datos de la compañía, finalidad de los ficheros, los encargados de su mantenimiento, etc.
Todo este procesos requiere, cómo no, unos gastos para la empresa y puede compensar externalizar a un tercero la elaboración, mantenimiento y actualización de los ficheros. Aunque Sánchez-Crespo habla de "inversión" más que gasto. Entre otros beneficios, destaca que crea seguridad jurídica en el entorno de personas con el que se relaciona la empresa -clientes, proveedores...-. También permite organizar los recursos humanos a través de los perfiles de cada uno, mejora la gestión de seguridad de la información y, cómo no, evita sanciones administrativas.
