Cumplir con la normativa de Protección de Datos suele ser un tema que da lugar a muchas preguntas. Muchas empresas almacenan cientos o miles de datos de clientes y proveedores en un dispositivo informático, pero no tienen la protección adecuada. No piensan que vaya a pasar nada porque hasta ahora no ha pasado nada. El problema es que no están cumpliendo las normas de Protección de Datos.

¿Cómo cumplir con la Ley Orgánica de Protección de Datos Personales (LOPD) en mi empresa o negocio?

En este artículo te muestro el procedimiento paso a paso para solventar este trámite legal de forma gratuita.

Aún teniendo en cuenta que cada entidad responsable de ficheros con datos personales tendrá sus peculiaridades en función del origen de los datos, su tipología, características del tratamiento y del tipo sistemas y soportes en los que se manejen los datos, etc, ofrecemos a título informativo una breve guía de las diferentes fases de adaptación a la LOPD, enlazando a los correspondientes apuntes en el blog, donde se desarrolla cada punto en profundidad.

Pasos para darse de alta en la Ley de Protección de Datos

como-cumplir-la-lopd-pasos

 

Nivel de seguridad

La LOPD marca tres niveles de exigencia: bajo, medio y alto.
Se trata de una cuestión a dilucidar de forma previa e imprescindible, que se gradúa en función del tipo de datos a tratar, y que además genera las Medidas de seguridad a implantar.
La LOPD considera como infracción grave el mantener los ficheros, locales, equipos o programas sin las medidas de seguridad necesarias para garantizar la seguridad de los datos personales que manejamos. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

Inscripción de ficheros

Serie de artículos que explican paso por paso y de forma detallada el uso del sistema NOTA (oficial y gratuito) para inscribir ficheros en el Registro General de Protección de Datos (RGPD).
Este trámite ha de realizarse según la ley antes de comenzar a recopilar los datos personales.
Desde julio de 2015 existe además una nueva versión del formulario NOTA, cuyo uso se detalla en esta guía: Cómo inscribir ficheros con el nuevo sistema NOTA.

Documento de seguridad

Serie de artículos sobre partes y diferentes aspectos del documento de seguridad, incluyendo un Guía y un Modelo, ambos gratis y desarrollados por organismos oficiales.
Este documento es obligatorio y debe mantenerse siempre actualizado.
El contenido mínimo que debe tener el Documento de Seguridad es el siguiente: ámbito de aplicación con especificación detallada de los recursos protegidos; medidas, normas, procedimientos, reglas y estándares de seguridad; funciones y obligaciones del personal, estructura y descripción de los ficheros y sistemas de información; procedimiento de notificación, gestión y respuesta ante incidencias; procedimiento de copias de respaldo y recuperación de datos; medidas adoptadas en el transporte, destrucción y/o reutilización de soportes y documentos.

Contratos con terceros

Siempre que una figura externa (ya sea un asesor o gestoría, una empresa de telemarketing o de email marketing, un hosting, etc…) trata datos personales por encargo nuestro deberemos tener un contrato de tratamiento de datos en el que se especifiquen con claridad las instrucciones del responsable del fichero, de acuerdo con lo establecido en el artículo 12 de la LOPD.

Política privacidad empleados

Los conflictos con empleados son una de las vías de reclamación mas habituales ante la Agencia Española de Protección de Datos (AEPD), por lo que resulta de gran importancia tener bien marcadas las guías de actuación de los mismos respecto a sus propios datos y los de la empresa que vayan a manejar. Más información sobre trabajadores.

Aviso legal

Apartado necesario en todo sitio web (aunque no existe ninguna obligación de que tenga esa denominación en concreto) en el que se debe incluir no sólo aspectos de la LOPD como la política de privacidad, sino también los relacionados con la Ley de Servicios de la Sociedad de la Información (LSSI).

Derechos ARCO

Derechos de acceso, rectificación, cancelación y oposición de que disfrutan las personas físicas para conservar el control sobre sus datos personales.

El derecho de Acceso reconoce a los ciudadanos la potestad de defender su privacidad controlando por si mismos el uso que se hace de sus datos personales.

Derechos de Rectificación, Oposición y Cancelación: Cuando los datos personales de un ciudadano resultaran ser incompletos, inexactos, excesivos o inadecuados éste puede requerir al responsable del fichero su rectificación o cancelación. El derecho de Oposición  es derecho de los titulares de los datos para dirigirse al responsable del fichero para que deje de tratar sus datos sin su consentimiento para fines de publicidad o prospección comercial.

Videovigilancia

Se aplican las Normas sobre Protección de Datos a los tratamientos de imágenes con el uso de cámaras, videocámaras o cualquier medio análogo que capte y/o registre imágenes, se produzcan grabación de las mismas, se transmitan, se conserven o almacenen, incluso la reproducción y emisión en tiempo real, ya sea con fines de vídeovigilancia u otros y que tales actividades se refieran a datos de personas identificadas e identificables. Y debe existir una “Legitimación“ para ello.

Auditoría sobre Protección de Datos

Procedimiento de obligado cumplimiento para toda entidad que almacene datos de carácter personal de nivel medio o alto y que debe realizarse cada dos años. Consiste en una revisión de las medidas informáticas, físicas, organizativas y documentales que se impusieron en su día y que existen en una empresa, relacionadas con el tratamiento de datos que efectúa aquella, respecto a las personas físicas y sus datos; se trata de comprobar también si el funcionamiento actual de nuestra empresa se adecua a lo establecido por la ley o si se ha producido algún cambio que exija una mejora.

La Agencia Española de Protección de Datos (AEPD) ha editado una serie de guías y manuales enfocados a resolver dudas en diferentes aspectos. Aquí están recopilados:  Los manuales de la AEPD.

¿Demasiado complejo?

Consentimiento para el tratamiento de datos personales

Finalmente, debido a que es probablemente el motivo más frecuente de sanción, conviene repasar bien todo lo relativo al Consentimiento. Este consentimiento del afectado para el tratamiento de sus datos personales se exige que sea libre, inequívoco e informado. Puede ser expreso o tácito, salvo en el caso de datos especialmente protegidos en que la ley exige que sea expreso y escrito. No solicitar el consentimiento del afectado para el tratamiento de sus datos personales en los casos en que sea necesario constituye una infracción grave o muy grave, según el tipo de datos que se vayan a tratar, con multas que van desde los 60.000 € hasta los 600.000 €.

Las multas, según el tipo de datos que se vayan a tratar, pueden oscilar entre los 60.000€ y los 600.000€.

Preguntas frecuentes (desplegable)

¿Todos los autónomos están obligados a cumplir la LOPD?

La respuesta es sencilla: .

Todos los autónomos recogen de una u otra forma datos de carácter personal, bien sea de sus trabajadores, clientes, proveedores etc. y están obligados a garantizar el derecho fundamental a la protección de datos y adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de estos y evitar su alteración, pérdida, tratamiento o acceso no autorizado.

Las razones principales por las que el autónomo debe cumplir la normativa de Protección de Datos son:

  • Para asegurar la confianza del cliente. Si el cliente sabe que cumplimos con la LOPD tendrá más garantías de que haremos un buen uso de sus datos.
  • Para garantizar que gestionamos correctamente los datos que tratamos en nuestra actividad y aplicamos las normas que establece la Ley.
  • Para evitar posibles denuncias de terceros que puedan acarrear inspecciones y elevadas sanciones.

Tengo subcontratada la gestión contable, laboral o fiscal. ¿Estoy obligado a adaptarme a la LOPD?

Aunque la gestión de datos no la realicemos nosotros, estamos obligados. Además tenemos que adaptar nuestros contratos de outsourcing o prestación de servicios de terceros, que han de realizarse por escrito obligatoriamente.

Así, las partes deben firmar un contrato que contenga unos mínimos requisitos en materia de Protección de Datos personales, que proteja tanto a los titulares de los datos, como a la empresa que los comunica al tercero.

¿Se pueden crear o comprar bases de datos de personas físicas para utilizarlos con fines de publicidad?

Son varios los clientes que nos han preguntado sobre la legalidad de comprar una base de datos de clientes potenciales para realizar una acción comercial y las implicaciones que tiene esto a nivel de LOPD.

Existen empresas que se dedican a nutrir bases de datos principalmente de fuentes accesibles al público para posteriormente comercializarlas. El uso de estas bases de datos para fines comerciales únicamente se permite si se obtienen de fuentes accesibles al público (y estas no han caducado) o bien cuando los interesados hayan prestado su consentimiento informado.

¿Es legal el tratamiento de los datos que figuran en el Padrón Municipal de Habitantes o en el Censo Electoral?

Los datos del Padrón municipal se cederán a otras Administraciones Públicas que lo soliciten sin consentimiento previo del afectado solamente cuando les sean necesarios para el ejercicio de sus respectivas competencias, y exclusivamente para asuntos en los que la residencia o el domicilio sean datos relevantes. También pueden servir para elaborar estadísticas oficiales sometidas al secreto estadístico.

Fuera de estos supuestos, los datos del Padrón son confidenciales y el acceso a los mismos se regirá por lo dispuesto en la LOPD.

Respecto a los datos del censo electoral, queda prohibida cualquier información particularizada sobre los datos personales contenidos en el censo electoral, a excepción de los que se soliciten por conducto judicial.

¿Se considera dentro del ámbito de aplicación de la LOPD revelar datos de carácter personal en una página web?

De acuerdo con la definición de tratamiento de datos prevista en el artículo 3 c) de la LOPD, referirse en una pagina web a una persona e identificarla por su nombre o por otros medios, como su número de teléfono o información relativa a sus condiciones de trabajo y a sus aficiones, constituye un tratamiento de datos de carácter personal, siendo necesario cumplir los requisitos establecidos en la Ley.

¿Pueden comunicarse los resultados de reconocimientos médicos al empresario, comité de empresa y sección sindical?

El acceso a la información médica de carácter personal se limitará al personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia de la salud de los trabajadores, sin que pueda facilitarse al empresario o a otras personas sin consentimiento expreso del trabajador.

Por lo tanto, el empresario y los órganos con responsabilidades en materia de prevención, sólo podrán acceder a las conclusiones de dicha vigilancia de la salud referidas al concepto de “apto o “no apto”, salvo consentimiento expreso del trabajador.

¿Se puede grabar a un empleado sin su consentimiento?

El Tribunal Constitucional afirmo que sí se puede grabar a un trabajador con una serie de requisitos, aquí puedes conocer más detalles sobre esta sentencia.

Uno de los temas que más sanciones han generado desde la AEPD.

Las condiciones que deben satisfacerse a la hora de recoger, acumular, reproducir o cancelar las imágenes son:

  • Principio de Proporcionalidad entre la finalidad perseguida y el tratamiento de los datos.
  • Deber de información sobre la grabación de imágenes.
  • Las cámaras de videovigilancia solo se usarán cuando no existan otros medios menos invasivos.
  • Las cámaras de videovigilancia que se instalen en lugares privados no podrán grabar imágenes de la vía pública.
  • Sólo podrán captarse imágenes parciales de vías públicas en caso de que sea imprescindible para el fin de vigilancia perseguido.
  • Respeto a los derechos de las personas y al resto de la normativa vigente. No podemos grabar interiores de viviendas cercanas, ni baños, ni aseos o espacios físicos distintos al específicamente protegido por la instalación.
  • Las imágenes se guardarán el tiempo indispensable para satisfacer el fin para el que se obtuvieron.
ejemplos proteccion de datos

La Agencia Española de Protección de Datos ha creado una herramienta para facilitar a las pymes la adaptación a la normativa de Protección de Datos.

Y si resulta demasiado complejo, puedes recurrir a una empresa de Protección de Datos.

Cumplir LOPD. Guía básica de Ayuda Ley Protección Datos
4.6 (92.77%) 47 votos
  1. Al rellenar este comentario introduzco datos personales.
    ¿Este formulario no deberia llevar las condiciones legales al respecto de LOPD?

  2. Muchísimas gracias por esta guía resumen, me vino de cine ahora que me encargaron supervisar este trabajo en la empresa, aunque eso sí, no me subieron el sueldo por más trabajo, eso no.

  3. Estimado Jesús. Felicidades por tu página. Creo que es muy instructiva. Ha sido una suerte conocerla. Permíteme que te haga una consulta que no me queda clara despues de haber navegado por tu web y aparte haber leído las ayudas y guías prácticas para cumplir la LOPD.

    Un familiar quiere montar una clínica, y me ha encargado a mí, que soy Técnico Sup. en Desarrollo de Aplicaciones Informáticas, el proyecto. Digamos que logicamente esto es gratuito por mi parte, y ellos partirán de ese software, como recurso propio. Logicamente quieren cumplir la LOPD, y el programa intentará gestionar los datos administrativos de sus pacientes, los datos clínicos (estos últimos son los de nivel alto), y datos de provedores y empleados. La duda que tengo es para que el sistema automatizado cumpla completamente ¿Qué características “informáticas” debe tener?. Por ejemplo he leido una, que si cumple que es que el programa impida repetitivos intentos de acceso. Pero por ejemplo, serán los propios familiares los encargados de esos datos, y no tienen ninguna previsión de cederlos a terceros. El ordenador sobre el que será desarrollado, está previsto que funcione en modo local si acceso de internet, por lo que se limita los accesos a los propios familiares, y aún así cada uno tiene su contraseña y usuario asignado. El programa está realizado en Java, con SGBD de soporte tipo MySQL. Gracias de antemano. Un saludo.

    1. Hola Antonio, gracias por visitarnos y los elogios.
      Respecto a la pregunta, entenderás que la respuesta excede con mucho las posibilidades de un comentario.
      De todas formas la LOPD ni el Reglamento especifica características “informáticas” para un software, lo que dice es que las medidas de seguridad correspondientes en función del nivel de protección exigido han de estar incorporadas a los software que se usen, pero esta advertencia está más en función del caso habitual en que se compra un programa y ya que el usuario no puede normalmente modificar sus características, se trata de una advertencia a fabricantes para que en los diseños de programas que van a tratar datos personales tengan en consideración esta cuestión.
      Por lo que entiendo, en tu caso eres tu quien diseña el programa de gestión, y en ese caso lo que se trata es de que cumpla todas las medidas de seguridad de nivel alto, al tratarse de datos de salud. Por ejemplo: ya que el nivel alto exige trazabilidad del acceso a cualquier dato, tu soft deberá ser capaz de cumplir esa función, pero como digo no porque sea un programa, no por una cuestión “informática”, sino porque es una exigencia del nivel alto que si tuvieran un fichero en papel deberían cumplir igual, sólo que en ese caso sería con un registro a su vez en papel.

  4. Muchas gracias Jesús. Comprendo lo que comentas. A grandes rasgos creo que el diseño cumple con los requisitos de nivel alto. Así que no creo que haya problemas. La duda la tenía en si había directrices, informáticas a seguir, pero como comentas, solo son requisitos a cumplir en algunos casos por igual en sistemas automatizados como en manuales. Un saludo.

  5. Fantástica guía sobre los principios básicos de la LOPD. No hay que olvidar que un aspecto fundamental en la protección de los datos personales es la información y formación. No tiene ningún sentido asignar un proyecto LOPD a 1 ó 2 personas en la organización, sin colaboración ni implicación con el resto de la empresa y, sobre todo, formando y enseñando los principios fundamentales de esta Ley y que es de OBLIGADO CUMPLIMIENTO para todo el persona de la organización que trata datos personales.
    Muy buen artículo.
    Un saludo.
    http://www.gesprodat.com

  6. Hola Jesus, felicidades por tu blog, es bastante educativo, he leído ya casi todas las entradas publicadas, pero no consigo encontrar respuesta a mi duda. El caso es que estoy montando un despacho profesional dedicado a la Administración de Fincas y a la Asesoría en materia de LOPD. Somos una Sociedad Civil (un licenciado en Derecho y una Licenciada en Administración y Dirección de Empresas), y mi pregunta es ¿cuáles son los requisitos legales para trabajar asesorando a empresas, negocios, clínicas, etc. en materia de LOPD? Es decir, para ejercer de Administradores de Fincas necesitamos colegiarnos en el respectivo colegio provincial de Administradores de Fincas, pero no se si para asesorar sobre la LOPD necesita de alguna certificación o cualquier otro requisito.
    Muchas gracias de antemano y felicidades de nuevo por el blog.

    1. Estimado Carlos, gracias por visitarnos y los elogios.

      Respecto a la pregunta, la respuesta es sencilla: no encuentras nada porque nada hay, es decir, no existen requisitos de ningún tipo ya que no se trata de una profesión reglada en ningún sentido. Eso sí, no puedo evitar recomendarte que te asocies a APEP (http://www.apep.es Asociación Profesional Española de Privacidad, de la que soy miembro) ya que es la semilla de una futura regulación que esperemos evite algunos de los desmanes que se dan hoy en día en este sector. Su coste anual es realmente bajo y suministra mucha información de valor.

      Suerte en vuestra aventura empresarial.

  7. Muchas gracias por la respuesta, ya me estaba mosqueando con el tema porque no encontraba nada al respecto. Voy a informarme sobre la APEP.
    Muchas gracias de nuevo.

  8. Un artículo muy claro e instructivo, la gente necesita conocer los aspectos fundamentales sobre la ley orgánica de protección de datos que le puede afectar como empresa o como usuario de un sistema que maneja datos privados para ser consciente de sus derechos y obligaciones

  9. Estimado Jesús, tratando de documentarme sobre protección de datos de carácter personal he encontrado su sitio web y debo felicitarte por la magnífica ayuda que está prestando.

    Bueno, procedo a exponer unas dudas que tengo:

    – En un Ayuntamiento ¿quién sería el Responsable de los Ficheros? ¿el Alcalde, la Junta de Gobierno Local, el Pleno, o el Concejal delegado de cada área?

    – En un Ayuntamiento, ¿el/los Responsable/s de Seguridad sería/n el Jefe técnico (funcionario) del Dpto. de Informática, el Concejal de Nuevas tecnologías, o los Jefes técnicos (funcionarios) de cada respectivo Dpto.? ¿Podría serlo cualquiera de ellos?

    – Suponiendo que en un Ayuntamiento el Responsable de Ficheros fuese el Alcalde o un Concejal, ¿puede tener acceso libre e ilimitado a toda la documentación y los sistemas informáticos del Ayuntamiento? ¿y acceso libre e ilimitado a la sala de servidores y a las copias de seguridad (pues se supone que es el Responsable de Seguridad quien autoriza a ello)? ¿y también pueden acceder a las nóminas en las cuales aparecen las cuotas sindicales, o a ésto sólo pueden acceder los administrativos (funcionarios) del Dpto. de RRHH?

    Muchas gracias y un saludo.

    1. Buenos días Salvador, gracias por visitarnos y los elogios.

      El responsable del fichero es el propio Ayuntamiento. Respecto al responsable de seguridad puede en realidad ser cualquiera, es un puesto sin verdadera responsabilidad.

      La tercera pregunta es más compleja, ya que no sólo depende de la LOPD, sino de las atribuciones de cada puesto. El alcalde al ser responsable de la gestión general tiene acceso a toda la documentación. En el caso de un concejal habría que ver si tiene responsabilidades adjudicadas y en cada caso sus límites (no sería lo mismo si es teniente de alcalde, que si es concejal de urbanismo, o si es un concejal sin otras atribuciones).

  10. Muchas gracias por las respuestas.

    Si he entendido bien, entonces el alcalde (o en quien delegue) tiene acceso a toda la documentación, incluída la relativa a datos que requieran medidas de nivel alto.

    Un saludo.

  11. […] Por supuesto la ley no obliga a contratar ningún tipo de servicio externo para proceder a la adecuación, cualquier profesional o el personal interno puede realizar el proceso si se informa de las obligaciones a cumplir. Por ejemplo con la Guía básica de Ayuda Ley Protección Datos. […]

  12. Buenas tardes,
    tengo una duda y no sé si alguién por el foro me pueda ayudar.
    La cuestión es que al lado del portal de mi vivienda existe una sede de un partido político que tiene instalada 4 cámaras de seguridad, grabando claramente la vía pública. Planteada la cuestión, ¿podría decirme si eso no está incummpliendo la LOPD? Tengo entendido que la instalación de cámaras de seguridad que graben la vía pública solo pueden hacerlo los Cuerpos de Seguridad del Estado y que pueden existir exenciones cuando la Delegación del Gobierno da una autorización. Alguien podría comentarme algo al respecto; la verdad, me molesta en parte que sea grabado cada vez que entro en mi vivienda y antes de decir nada, quisiera informarme.

    Muchas gracias y perdonar por el rollo.

    1. Hola Alberto: aplicando la norma general y tal y como comentas, una instalación de videovigilancia de una entidad privada que graba la vía pública queda fuera del amparo de la LOPD y es sancionable por la Agencia de Protección de Datos.
      Ahora que para valorar un caso en concreto habría que examinar la situación: puede gozar de algún permiso específico, puede ocurrir que la única manera de grabar un acceso implique necesariamente grabar también un parte pública pero que esta no sea relevante, puede haber distancia suficiente para que los rostros de personas no sean reconocibles, etc…

  13. hola!!! gracias por toda la información, me gustaria saber que me puedes decir en cuanto a mi caso, yo trabajo de telemarketing para diferentes agentes de seguros, pero quisiera saber si llegamos a tener alguna queja o demanda de alguien, quien es la persona responsable???? yo, que hago las citas o las personas que me dan sus bases de datos.

  14. Buenas tardes,

    Mi duda es la siguiente, al tener un negocio tipo supermercado, me gustaría realizar una instalación de videovigilancia por mi cuenta, mis preguntas son ¿Puedo hacer esta instalación yo mismo? ¿Puedo realizar el tratamiento de las grabaciones yo mismo? O por el contrario ¿debo contratar una empresa? También te agradecería que me dijeras dónde puedo dirigirme para informarme sobre que debo tener en cuenta.

    Te agradezco este blog.

  15. Buenas de nuevo,

    Pero podria tratar las imagenes grabadas por las camaras sin incurrir en ninguna ilegalidad.

    Gracias

    1. Jose: depende a lo que llames “tratar”, para eso se marcan los límites en la LOPD. Una instalación legal de videovigilancia te permite “vigilar” lo que hacen los clientes dentro del establecimiento y puedes grabarlo y conservarlo cierto tiempo, pero por ejemplo no sería legal subir esas imágenes a Youtube.
      Así que la pregunta es demasiado genérica para dar una respuesta definitiva.

  16. Buenas tardes,

    Precisamente me refiero a tratar, a conservar las imagenes, a usarlas en caso de denuncia, no a publicarlas en ningún sitio. Tengo entendido que sólo puedo conservarlas durante un mes, después de este tiempo deben ser borradas ¿no?

    He leído en algún documento que debo registrar en la agencia española de proteccion de datos al responsable del tratamiento de estas imagenes ¿Es eso necesario?

    Perdon por insistir tanto y te agradezco tus aclaraciones.

    1. Jose: efectivamente un mes es el plazo indicado de conservación.
      Por otro lado, por supuesto se han de cumplir el resto de exigencias LOPD y puesto que la imagen es un dato de carácter personal se debe inscribir el correspondiente fichero en la Agencia.
      Finalmente indicar que no hay que pedir perdón por preguntar. Si no quisiera preguntas no habría formularios ni opción de comentarios 😉 Encantado de ayudar en lo que se pueda.

  17. Buenas,

    He leído en un artículo que en caso de realizar grabaciones de videovigilancia, aunque estas grabaciones se eliminen (¿bloqueen?) a los 30 días, hay que conservar una copia semanal de las mismas. ¿hasta que punto es esto obligatorio? y si es obligatorio ¿Qué medios utilizar para conservar tanta grabación?

    Muchas gracias otra vez.

    1. Jose: efectivamente hay que tener copias de seguridad de cualquier dato personal, y la imagen lo es. Sin embargo la LOPD ni su reglamento entran en materia de los medios a emplear, es usted libre de utilizar el procedimiento que le parezca más adecuado.

  18. Buenos días,

    ¿Cuanto tiempo debemos conservar estas copias? He leído desde 3 a 20 años, en cualquier caso la cantidad de datos sería enorme. Con esto la verdad que tengo muchas dudas, ¿sabes de algún sitio donde informarme o donde aclaren esto?

    Muchas gracias por todas tus aclaraciones.

  19. Buenas otra vez,

    Otra pregunta más sobre el tema de las copias de seguridad, ¿estás copias se deben realizar sobre la totalidad de las grabaciones? O como he leído ¿Sólo en el caso de que se produzca una incidencia?

    Muchas gracias por todo.

    1. Jose: las copias de seguridad son una exigencia LOPD no relacionada con el hecho de que haya una incidencia, hay que guardarlas en cualquier caso. Respecto a la pregunta anterior, efectivamente tales plazos de conservación crearían un respaldo monumental, inasumible y carísimo, pero no es necesario.
      El concepto copia de seguridad se refiere obviamente a los datos que se conservan, no tiene sentido una copia de datos que se han destruido, y por tanto las copias lo serán y se conservarán en los mismos plazos que los datos originales. Si las grabaciones de más de 30 días se destruyen, lo mismo hay que hacer con sus correspondientes copias.

  20. Hola Jesús, ¿tiene un ayuntamiento la obligación de cumplir con la LOPD? y si esto no fuera así… ¿seria motivo de sanción pecunaria por este hecho?.Muchas Gracias por tu respuesta.

  21. Buenas Jesus, soy administrador de una Pyme dedicada a inversiones de todo tipo (inmobiliarias, alquileres, arte…) tengo tres trabajadores en nómina (mi mujer, mi hijo y la asistenta), sus datos los tiene la gestoría que les hace las nóminas, no tengo ningún fichero con datos de trabajadores, proveedores, arrendatarios, proveedores de servicios (ejemplo electricista, fontanero…, salvo la agenda de Gmail o Outlook donde guardo sus teléfonos y mails, no tengo página web… estoy obligado a cumplir la Lopd?

    Gracias y feliz 2014
    Maximo

    1. Máximo: dices “tengo tres trabajadores en nómina” y luego “no tengo ningún fichero con datos de trabajadores”. Esto es una contradicción imposible.
      Tu asesor trata esos datos por encargo tuyo, pero eso no te exime de tu responsabilidad y por tanto has de cumplir la LOPD: declarar ese fichero de trabajadores ante la AEPD y disponer de un contrato de tratamiento con el asesor.
      Por otro lado no me queda claro si las inversiones son exclusivamente tuyas o también de terceros, y por tanto tendrías un fichero de clientes, pero como mínimo lo anteriormente indicado ya te obliga, aunque sea a un nivel mínimo y sencillo.
      Feliz año igualmente.

  22. Buenos días,
    En la empresa estamos recibiendo muchas llamadas sobre la LOPD, ofreciéndonos cursos bonificados y así cumplir con la LOPD, sin gastos ya que como he indicado están bonificados. Por otro lado me dicen que esto no es suficiente que tengo que hacer la adecuación contando con una empresa externa… estoy hecha un lio, me gustaría saber si haciendo este tipo de cursos puedo “yo” adecuar la empresa y si así cumpliría con lo que establece la ley. MUCHAS GRACIAS DE ANTEMANO.
    UN SALUDO

    1. Hola María: aquí hay dos temas distintos.

      Por un lado la LOPD no obliga a contratar a nadie externo. Esto es como la contabilidad, todo negocio o profesional está obligado a llevarla, pero puede perfectamente hacerlo a nivel interno o contratar un asesor, dependerá de su nivel de conocimiento en la materia.

      Por otro lado mucho cuidado con el tema de los cursos, ya que hay un gran fraude alrededor (que no digo que sea el caso, pero aviso por si acaso). Véase por ejemplo este post en mi otro blog: http://www.marketingpositivo.es/2012/02/la-fundacion-tripartita-vuelve-avisar.html

      Finalmente la elección estará en función de dos cuestiones a valorar:

      1) nivel de exigencia de la LOPD. Si su empresa necesita nivel bajo de protección, la adaptación es más sencilla. Si necesita nivel medio o alto, diría que es casi imprescindible contar con asesoramiento externo.
      2) disponibilidad de tiempo y voluntad de aprender. Incluso para el nivel bajo, significa aprender varios procesos y cuestiones que quizás nunca se hayan visto.

      Por último también es importante recordar que el cumplimiento de la LOPD (y la LSSI que van parejas en muchos aspectos) no es una cuestión exclusivamente administrativa, sino que se trata de adecuar el tratamiento de algo como son los datos que normalmente es de uso diario en la empresa, y es significativo que la inmensa mayoría de las sanciones de la AEPD no son por que falte o esté incorrecto un determinado documento, sino por un mal uso de datos personales en el día a día.

      En cualquier caso, buena suerte. Y si tienes más dudas, nos preguntas. O nos contratas 🙂 https://ayudaleyprotecciondatos.es/contratacion/

  23. Buenos días.
    He estado leyendo mucha de la información aportada al respecto, y tengo alguna duda que no me termina de quedar clara sobre las copias de seguridad:
    ¿Una copia de seguridad de Nivel Alto debe realizarse cifrada o no es necesario?

    Al igual que los registros de accesos hay que almacenarlos 2 años para el Nivel Alto, ¿esta copia debe almacenarse igualmente 2 años?

    Muchas gracias por su atención!!

    1. Hola Luis: la copia de seguridad no ha de ser cifrada, lo que sí se exige es guardarla “en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan”. Sin embargo lo que sí se debe considerar es que los datos de nivel altos han de cifrarse si se mueven por internet, con lo que en caso de utilizar algún método que implique este tipo de movimiento (subirlos a un servidor en la nube, por ejemplo) deberían cifrarse durante el proceso.

      Las copias han de hacerse semanalmente, guardarlas durante dos años sería una barbaridad (tendríamos 104 copias). Teóricamente es mas que suficiente disponer de la última (aunque personalmente recomendaría guardar dos o tres por si acaso).

  24. Muchísimas gracias por tu respuesta Jesús.

    Yo interpretaba que, si estoy tratando datos de Nivel Alto y en un momento dado tuviera que restaurar alguna información de, por ejemplo, hace 6 meses porque la hubiera borrado de manera involuntaria; en mi copia de seguridad tendría que mantener esa información.

    A mi entender, y si estoy equivocado por favor corrígeme, interpreto que debo mantener una copia de seguridad mientras los datos estén vivos (por así decirlo) y, una
    vez los mismos ya no sean necesarios y por consiguiente tenga que borrarlos, mantener una copia almacenada por la posibilidad de un requerimiento judicial o fiscal. ¿Esto que indico es correcto? Si es así, ¿durante cuánto tiempo tendría que guardarlos?

    Por último, el hecho de cifrarlo, lo indicaba por el hecho de evitar que personas no autorizadas accedieran a los datos que contenía esta copia. Si quisiera evitar esto, ¿sería recomendable cifrarlo?

    De nuevo muchísimas gracias por tu atención.

    Un saludo.

    1. Hola Luis: no se si te entiendo la cuestión ¿me estás hablando de copias incrementales? Porque si la copia es completa (como debería ser) cada una incluye el total de la información, también un dato de hace seis meses.

      La cuestión de los requerimientos es relativa, puesto que no todos los datos están sujetos a esa opción. Para esto se necesitaría un estudio de la tipología de los datos y establecer un plan, si es que se desea establecer una diferencia entre datos “en uso” y otros almacenados. Por ejemplo con la contabilidad: está sujeta a 5 años de posible petición de revisión por Hacienda, con lo cual podría haber un plan semanal de copia del año en curso y un mantenimiento durante cinco años de la anterior. Sin embargo en muchos casos y salvo organizaciones muy grandes es más sencillo hacer copia semanal de todo (la mayor parte de los programas contables lo facilitan así) que andar separando unos datos de otros.

      Finalmente el cifrado que indicas por seguridad podría efectivamente ser conveniente, pero lo que yo te respondía es que la ley no lo exige.

  25. Buenos días,

    Muchísimas gracias por esta guía, ¡¡es realmente muy útil!!
    Reconozco que llevaba meses posponiendo el tema de la LOPD en mi negocio (ups!!), por pura pereza de tener que enfrentarme a todo el lenguaje legal y los documentos indescifrables, y tu serie de artículos me lo ha hecho posible.
    (¡También me encantaría poder tener el presupuesto para contratar a alguien que lo haga por mi!).

    Tan solo me queda una duda: creo que he de inscribir dos ficheros diferentes, por el tipo de datos, su uso y el acceso a los mismos, pero me queda la duda de si podría/debería hacerse en un solo fichero.

    Somos un centro de formación y terapias naturales y tenemos:
    – datos relativos a clientes: usados para comunicación, inscripciones a actividades y datos estadísticos de uso interno, así como para facturación. A estos datos solo tengo acceso yo, que me encargo de toda la parte administrativa y de comunicación.
    – de algunos clientes tenemos datos relativos a su salud (fichas clínicas de los tratamientos). Las fichas clínicas no están informatizadas, se realizan en papel y se guardan bajo llave. Cada terapeuta tiene acceso solo a las fichas de sus clientes. Nuestro ámbito de trabajo NO es sanitario, pero sí que recabamos información sobre el estado de salud de las personas.

    ¿Es correcta mi suposición sobre la necesidad de inscribir dos ficheros saparados?
    ¿En el 2º caso, donde los datos no son informatizados, también es necesario inscribir ese fichero?

    Muchísimas gracias de nuevo, y mi más sinceras felicitaciones por este fantástico recurso disponible para todos!

    Sandra

  26. En nuestra comunidad no estamos dados de alta en la proteccion de datos…
    Debemos hacerlo? estamos obligados?..y como?.
    La administraccion la llevamos nosotros turnando cada año.
    gracias.

  27. Buenas tardes. buscando como implantar en mi negocio la ley de protección de datos me he topado por suerte con vuestra web. y os escribo porque creía que había que contratar a una empresa externa para que realizara todo el papeleo, pero por lo que os leo no es necesario. si yo redacto una especie de procedimiento de como consigo, trato y almaceno los datos que pido a mis clientes según lo que pide la ley entonces no necesito que lo hago y lo respalde una empresa externa, no?

    muchas gracias

    un saludo

    maria

    1. Maria: no tienes que contratar a nadie, esto es como la contabilidad: si quieres te buscas un asesor o si quieres lo haces tu. Ahora que no vale eso de “una especie de procedimiento” lo mismo que no valdría “me hago yo las cuentas a mi modo” ante Hacienda. Si quieres lo haces tu, pero tendrás que ajustarte a las exigencias de la ley, no puedes decidir tu cómo se hace.

  28. Buenas tardes de nuevo. El nivel de datos que pido a mis clientes es basico. Nombre , apellidos, teléfono y correo electronico. Aunque siendo mi negocio una peluqueria, no se si los datos informativos acerca del tipo o número de tinte que se dan o los tratamientos que se hacen tengo que gestionarlos dentro de la LOPD.

    un saludo

    maria

    1. Maria: hay que verlo caso por caso, según qué tipo de datos y cómo se guarden. El tema de tratamientos puede ser delicado si está relacionado con salud (por ejemplo que una clienta tenga alergia a determinados tintes).

  29. Genial el post, y genial la página, muchas gracias.
    Pero yo sigo teniendo una duda que no consigo resolver por más que busque información: yo soy una SL que vende solamente a otras SL o autónomos. ¿Los autónomos se consideran en este caso personas físicas o jurídicas? Porque claro, sus datos de “empresa” coinciden con sus datos personales, pero en este caso, la relación comercial que tenemos con ese autónomo es únicamente a modo de “empresa” digamos, no se si me explico. No se si deberíamos aplicar la ley a estos datos personales de las personas autónomas, o en este caso se consideran personas jurídicas.
    Muchas gracias! Saludos!
    Lorena

    1. La respuesta es depende. Depende de, por ejemplo, el origen de los datos de los autónomos. Supongamos que previamente han solicitado información de los productos vía web o por correo electrónico, claramente esta información debería inscribirse en un fichero. Mi recomendación incluirlos en un fichero de clientes. Aquí también puedes encontrar información acerca de los datos de los autónomos y la LOPD. Casi se me olvida Lorena darte las gracias por tanta felicitación.

    1. Muchas gracias, mi intención es ayudar en el conocimiento de esta normativa

  30. HOLA, YO TENGO UNA duda
    En mi empresa tengo las direcciones de mis clientes facilitadas por ellos, suman mas de 500, investigando por internet, veo que existen programas que incluyes las direcciones en excel y te crea un mail masivo. Me gustaria poder enviarlo una vez al mes, mi duda es si esas empresas van a vender los datos de mis clientes, y si éstos, me pueden denunciar a mi por utilizar este tipo deprogramas. Un saludo

    1. Buenas tardes María José,

      Esos programas de envío de mails publicitarios masivos deben tener una política de privacidad por la que se comprometan a guardar confidencialidad sobre los datos de los clientes y a no utilizarlos para otros fines que los contratados. En ese caso no habría problema. Gracias por leer el blog y por tu consulta


Comments are closed.