Adaptarse uno mismo a la LOPD (III)

Una vez que tenemos localizados los ficheros con datos personales debemos hacer un análisis del tratamiento, es decir, un informe sobre el cumplimiento legal en las distintas fases del tratamiento de los datos.

Lo primero es comprobar que el tratamiento de datos es acorde con la calidad de los datos. Esto implica que sólo pueden tomarse los datos necesarios para la finalidad legítima en que serán utilizados, y que no serán usados para otra finalidad distinta. También implica que sólo aquellos trabajadores que necesitan los datos para sus funciones podrán acceder a los mismos. Y por último, implica que una vez que ya no sean necesarios los datos para la finalidad para la que se obtuvieron deberán ser cancelados, que supone primero el bloqueo de los datos, y una vez que no quepa alguna responsabilidad legal respecto al motivo del tratamiento deben ser eliminados materialmente.

Lo siguiente es comprobar que se cumple con el derecho de información. Salvo raras excepciones hay que informar siempre que se tomen los datos con la típica clausula LOPD, y por supuesto incluirla en todo formulario escrito.

También debe analizarse si es necesario el consentimiento de la persona a la que hagan referencia los datos, y si así fuera, debe comprobarse que se le informó y aceptó el tratamiento, aunque sea tácitamente. En caso de datos especialmente protegidos, como los de salud, será necesario siempre un consentimiento expreso.

Luego será conveniente comprobar los movimientos de datos con terceros. Si se comunican datos a terceros distintos del afectado habrá que verificar que se contaba con su consentimiento para ello o que cabe aplicar alguna excepción. Si los datos son comunicados a un tercero para que nos realice algún servicio, se debe firmar previamente un contrato de tratamiento por cuenta de terceros. Y si se realizan transferencias internacionales fuera de los países permitidos, que son los pertenecientes al Espacio Económico Europeo y algunos otros con los que existe convenio, será necesaria una autorización del Director de la Agencia Española de Protección de Datos.

Por último, debemos asegurarnos que todos los trabajadores son conscientes de su deber de guardar secreto indefinidamente respecto de los datos personales a los que accedan en su puesto de trabajo.

Una vez que comprobemos todos estos aspectos, deberemos comprobar las medidas técnicas y organizativas que tengamos establecidas para proteger los datos, que deben estar plasmadas en un documento de seguridad, que analizaremos en el siguiente artículo.

21 Comentarios | Leído 7419 veces

Tu puedes enviar una respuesta, or trackback desde tu propio site.

21 opiniones en “Adaptarse uno mismo a la LOPD (III)”

  1. Buenos días,

    Abusando de su confianza me tomo la libertad de hacerle una pregunta : soy asesor fiscal y realizo y confecciono la declaracion de renta de mis clientes ¿ Tengo obligatoriamente que hacerles firmar por escrito algún documento en base a la LOPD ? ¿ o tácitamente se entiende que hay un consentimiento para tratar los datos personales recibidos para hacer exclusivamente dichas declaraciones ?

    Saludos cordiales y , gracias anticipadas,
    Manuel Armas Suárez.

    1. Hola Manuel:

      Si son datos personales de tus clientes (un cliente particular) tienes que informarle del tratamiento pero no es necesario su consentimiento al existir una relación contractual.

      En cambio, si tratas datos personales de trabajadores de un cliente tuyo, deberás firmar con tu cliente un contrato de tratamiento por cuenta de terceros.

      Un saludo

  2. Susana dice:

    Buenas tardes Pedro,
    Querría preguntarte por lo que entendemos como datos de carácter personal.
    En mi caso, tengo una empresa de servicios informáticos a otras empresas y los únicos datos de carácter personal que creo que almaceno son los de mis trabajadores para la realización de las nóminas.
    Al trabajar únicamente con empresas los únicos datos personales que puedo almacenar de clientes y proveedores pueden ser los nombres, teléfonos y emails (de empresa) de los contactos en esas empresas. ¿Son estos datos tratados como carácter personal?
    Muchas gracias por toda la información que has publicado en este blog. Me ha ayudado mucho.
    Saludos,
    Susana

    1. Hola Susana:

      Los datos de los trabajadores son claramente datos de carácter persinal.

      Los datos como los nombres (o denominaciones sociales), teléfonos de trabajo y correos electrónicos corporativos de personas jurídicas, o personas físicas que trabajen en ellas están excluidos del ámbito de aplicación de la LOPD. No obstante, los datos de estas personas físicas no pueden usarse para ningunafinalidad distinta que la de relacionarse con la empresa en la que trabajan.

      Si los datos personales son de profesionales autónomos, en principio, sí se aplica la LOPD. Luego, en cada caso concreto, y dadas las circunstancias, puede ser de aplicación o no la LOPD.

      Un saludo

  3. Francisco Medina dice:

    Buenas,

    Antes de nada, me gustaría felicitarle por esta serie de artículos. Me parecen muy útiles y, sobre todo, con un lenguaje que facilita la comprensión para cualquier persona.

    Nos han hecho una inspección de sanidad en una pequeña clínica de fisioterapia y nos han recomendado cumplir la LOPD. Sé que estamos en el tramo de más riesgo y estoy convencido que los trámites a seguir no deben ser muy difíciles, por lo que, siguiendo sus artículos, me he puesto manos a la obra.

    Me gustaría preguntarle si el envío del documento al que hace referencia en el anterior artículo me obliga a algún plazo sobre el resto de cosas que tenga que hacer. Como por ejemplo el documento de seguridad que se comenta al final de este artículo.

    Muchas gracias.

    1. Muchas gracias Francisco,me alegro que te haya servido de ayuda el artículo.

      Todos los documentos a los que hago referencia (inscripción de ficheros, contrato de tratamiento por cuenta de tercero, o documento de seguridad) deben tenerse antes de comenzar el tratamiento de datos. No obstante, si no se han hecho en su momento nada impide que se hagan posteriormente (sin que la Agencia se meta en nada).

      Un saludo

  4. Dario dice:

    Hola buenos dias Pedro. Antes que nada, agradecerle esta serie de artículos, son de gran utilidad.

    Me gustaria hacerle una consulta: quiero abrir una tienda online, y ya me he bajado el formulario NOTA, pero estoy algo perdido en lo que se refiere al documento de seguridad: ¿qué es exactamente y qué debe contener?. ¿existe un formulario tipo como el NOTA, o debo redactarlo a mi manera?. Por otro lado, una vez solventados el alta de los ficheros y el documento de seguridad, que mas pasos debo seguir?.

    Muchas gracias por anticipado, y un saludo.

  5. Pedro Rodríguez López de Lemus dice:

    Gracias Darío.

    Algo así es, no hay un formulario que rellenar, pero si existe un modelo de documento en la web de la AEPD.

    https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/modelo_doc_seguridad.doc

  6. Manuel dice:

    Hola Pedro muy buenos tus articulos.

    Te puedo preguntar algo?
    Tengo un kiosco de revistas y el gestor me dice que tengo que adaptrarme a la LOPD y me quiere cobrar 400€ .

    Datos personales en un kiosco ( no tengo empleado) no tengo de nadie.

    Es realmente obligatorio para mi como autonomo?

    Si fuese así lo haría como tu dices.-

    Gracias

    1. Estimado Manuel:

      Aunque seas autónomo, si no tratas datos de caracter personal (que identifiquen a personas físicas) de manera organizada (en un fichero manual o informático) no tienes nada a lo que adaptarte, así que podrás gastarte ese dinero en otra cosa.

      Un saludo cordial

  7. Marga dice:

    Estimado Manuel,

    En primer lugar, muchas gracias por tus amables respuestas a todas las dudas que se te van planteando.

    En segundo lugar, quería preguntarle si para adaptar a la LOPD una tienda de pequeña maquinaría, con facturación en Word y datos de clientes en dichas facturas debo hacer mas de un fichero… porque veo en algunos casos

  8. Marga dice:

    Me quedó a medias el comentario anterior…

    Debo hacer un ficheros con datos de clientes/proveedores y contabalidad o dos ficheros…

    No hay empleados, no hay gestor para tema impuestos, sino que todo lo hace la dueña de la tienda…

    Gracias anticipadas.

    1. Pedro Rodríguez López de Lemus dice:

      Estimada Marga:

      En mi opinión los datos de clentes, proveedores, y los de contabilidad son perfectamente encajables en un solo fichero (incluso recomendable), de hecho uno de los ficheros tipo del fromulario NOTA es el de “cliente/proveedores”. Los datos de contabilidad se refiern a las relacciones con éstos, por lo que se encuentran dentro de la misma finlidad.

      Un saludo cordial

  9. cristobal soto dice:

    buenas noches, yo soy taxista y la asociacion de taxis ha solicitado mi expediente al ayuntamiento y este le ha facilitado copia, al ser autonomo, no es d aplicacion la lopd y puede el ayuntamiento facilitar dicho expediente sin mas, en dicho expediente hay datos d clientes mios tambien y lo fue d una solicitud d ampliacion de plazas de 5 a 7.
    muchas gracias por su respuesta

    1. Estimado Cristobal, los datos personales de los autónomos sí están sometidos a la LOPD, al menos en principio. Por ello, si Usted considera que se han vulnerado sus derechos puede denunciar estos hechos ante la Agencia Española de Protección de Datos en esta dirección de Internet: http://sedeagpd.gob.es/sede-electronica-web/vistas/formNuevaDenuncia/nuevaDenuncia.jsf

  10. cristobal soto dice:

    pues siento decirle q la ag proteccion d datos dice q al ser autonomo la ley no me ampara, solo ampara a los particulares

  11. nacho dice:

    hola pedro,

    tenia unas dudas al respecto de estas publicaciones que me estan sirviendo bastante de ayuda, pero todavia ando un poco perdido.

    a que te refieres con: Una vez que tenemos localizados los ficheros con datos personales debemos hacer un análisis del tratamiento, es decir, un informe sobre el cumplimiento legal en las distintas fases del tratamiento de los datos.

    como se hace este informe??

    sobre el parrafo: Por último, debemos asegurarnos que todos los trabajadores son conscientes de su deber de guardar secreto indefinidamente respecto de los datos personales a los que accedan en su puesto de trabajo.

    como nos aseguramos, firman algo?? hay algun modelo??

    y por ultimo, hay cuarto articulo el que habla del documento de seguridad??

    muchas gracias y un saludo.

  12. estefanía dice:

    ¡Buenas tardes!
    Abrí una tienda de bisutería hace un año y ayer vino un chico diciéndome que estoy obligada a hacer la LOPD y que me cuesta 200 euros. Realmente no lo entiendo muy bien…¿tengo que pagar para proteger los datos de mis proveedores?
    Yo solo tengo datos de mis proveedores. De clientes no porque simplemente les doy el ticket de compra.
    Otra cosa, es que los datos que yo he conseguido de mis proveedores vienen en internet absolutamente todos.
    ¿Realmente estoy obligada a ello? y si es así, ¿hay que pagar?
    Muchas gracias. Un saludo

  13. Laura dice:

    Buenos días Pedro.

    Primeramente darle la enhorabuena por sus artículos, me están siendo de gran ayuda.

    Si me lo permite me gustaría transmitirle una serie de dudas a ver si me puede ayudar…

    Tengo una Agencia de Viajes y guardo en carpetas los expedientes de mis clientes. En estos expedientes aparecen datos como nombre, apellidos, dni, teléfono, email… y poco más.

    Por otro lado, tengo trabajadores pero el gestor se encarga de toda la documentación como nóminas y demás.

    En cuanto a mis clientes no sé si necesito algún consentimiento para manejar sus datos ya que es obvio que los necesito para poder contratar sus viajes. Al igual que esos datos llegan al mayorista dónde contrato el viaje en sí y no sé si se considera como que “cedo” los datos a terceros.

    ¿Debería hacer algo más a parte de registrar el fichero?

    Gracias por la ayuda.

  14. Pedro Luis Romera dice:

    Buenos días, Pedro,

    Mis felicitaciones por sus artículos y sobre todo, darle las gracias por su ayuda. Entiendo que en esto de la LOPD se está dando mucha picaresca de peña lista de más que quiere hacer su agosto a costa de nuestra “ignorancia” en el tema. Viene bien que gente como usted ponga un poco de “ley” en todo el asunto.

    Si me permite, le expongo mi caso. Soy autónomo con dos actividades principales: Fabrico unos sistemas de control que vendo normalmente a empresas. Nunca a particulares. Por el otro lado, también actúo como “freelance” dando servicios concretos de asistencias técnicas y de direcciones de obras también a empresas. Además, indicar que todos mis proveedores son empresas.

    De mis proveedores tengo el contacto del comercial que me trata habitualmente. De mis clientes, algo parecido, pero en este caso, del responsable comercial y de administración que más pueda tratar de la empresa.

    De esta forma entiendo que ni por el caso de los contactos de proveedores que tengo, ni en el de los clientes, tengo que adaptarme a la LOPD. Siempre que no use esos contactos para otros fines, claro.

    Ahora bien… en una puesta en marcha de un equipo mío, o en una dirección de obra, es normal quedarme con el correo electrónico o teléfono de determinadas personas del proyecto para facilitar la asistencia técnica posterior. Ese número de teléfono puede quedar memorizado en mi teléfono de uso profesional, y personal. Ya sean encargados de la instalación, los dueños, el electricista local, algún familiar que hace de traductor o similar (cuando los proyectos para los que he sido subcontratado, por empresa española, son de fuera de España). En la mayoría de los casos estamos hablando de personal de la empresa cliente de mi cliente (no se si me explico), pero en otros, sí que hablamos de personas físicas (véase el caso del típico familiar o amigo del cliente que actúa de traductor), o incluso profesionales autónomos. Fíjese en lo complicado de la relación… hablamos de una persona física que es familiar del dueño de la empresa que es cliente de mi cliente. Uf… jejeje…

    En este caso particular, debería crear un fichero específico con esos datos de gentes concretas, y darlo de alta según la LOPD? O por ser algo tan concreto mejor evito tener el contacto de esa persona en particular y así no estaré nunca obligado a hacer nada al respecto?

    Estoy ejerciendo mi actividad profesional desde hace apenas unos meses, así que aún estoy a tiempo de definir en muchos casos mis maneras de trabajar para/con otras empresas.

    Gracias por su tiempo y atención.

    Atentamente,

    Pedro Luis Romera

  15. Mary dice:

    Hola. Tengo un negocio que gestiono desde mi casa. Hago pedidos sobre los pedidos que me hacen mis clientes, los cuales no tengo datos ni introduzco ningún dato de ellos, son ventas contado.

    Los únicos datos que tengo son los de las facturas de gastos que yo tengo, proveedores, y acreedores de servicios varios.
    Mis clientes me localizan a mi teléfono o me visitan.

    Pensando que tenía que adecuarme a la ley envié la inscripción de ficheros a la agencia de protección de datos.

    No se si he hecho bien, por no tener obligación o sí tengo obligación y no estoy haciendo las cosas bien.

    Gracias de antemano. Un saludo.

Deja un comentario

*