Desde el momento en que una empresa tiene trabajadores o recoge datos personales (nombre, apellidos, teléfono, dirección, etc.) de sus clientes, la respuesta es sí, la empresa debe cumplir con la LOPD.
Por tanto, cualquier empresa deberá cumplir con la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), salvo que, se trate de una empresa sin trabajadores, sin cámaras de videovigilancia y cuyos clientes únicamente sean personas jurídicas (profesionales autónomos u otras empresas). Es decir, empresas que solo recojan y traten datos de autónomos o empresas. Situación ésta, cuanto menos, poco habitual.
¿Qué implica cumplir con la LOPD?
Para cumplir con la normativa de protección de datos (LOPD) deben cumplirse una serie de requisitos:
- Debe disponerse de un documento de seguridad. El documento de seguridad es el informe que recoge cuál es la situación de la empresa en cuanto a datos personales se refiere (qué tipos de datos se recogen, con qué finalidad, cuáles son las medidas de seguridad que la empresa tiene para proteger los datos personales que trata, etc.).
- Deben darse de alta los ficheros de la empresa ante el Registro General de Protección de Datos, registro perteneciente a la Agencia Española de Protección de Datos. En contra de lo que se cree habitualmente, no se trata de facilitarle a la Agencia la base de datos de la empresa , sino de indicarle el tipo de datos que se recogen y el nivel de seguridad de los mismos. Por ejemplo: Dar de alta un fichero de clientes en el que se indique el tipo de datos que se recogen (nombre, apellidos, dirección postal, electrónica, teléfono…) y el nivel de seguridad (básico, medio y alto).
- Verificar y comprobar que la empresa obtiene de forma adecuada el consentimiento de los titulares de los datos personales para poder tratarlos (ya sea de forma presencia o vía internet). En caso de que no sea así, es necesario implantar cláusulas de protección de datos en aquellos documentos o formularios de recogida de datos que correspondan.
- Revisar los contratos que tenga la empresa con otros profesionales o empresas que le prestan un servicio y que, en función de dicho servicio, puedan tener acceso a datos (por ejemplo, gestoría laboral, empresa de mantenimiento informático, prevención de riesgos laborales…). Es necesario que dichos contratos cumplan con una información mínima, sino debe firmarse un anexo o contrato de tratamiento de datos, de conformidad con el artículo 12 de la LOPD.
- Revisar los contratos laborales de los trabajadores y, en caso de que no se incluya información sobre protección de datos, hacerles firmar una declaración del personal que recoja, tanto los derechos como los deberes del trabajador respecto a la normativa de protección de datos. Además de esto, es recomendable, necesario en muchos casos, que se realice una formación a los trabajadores de la empresa sobre la normativa de protección de datos, donde, además, se les puedan resolver las dudas que tengan al respecto y cuya finalidad es que tomen conciencia de la importancia del cumplimiento de la normativa.
- Cumplir con las medidas de seguridad que correspondan en función del nivel de seguridad de los datos personales que se recogen. Hablamos de medidas de seguridad, en muchos casos, tan básicas como: que los ordenadores dispongan de contraseñas personales, que las contraseñas caduquen una vez al año, que la documentación en papel que contiene datos personales se archive en armarios o cajones bajo llave, que se disponga de destructoras de papel en los despachos o habitaciones donde se guarde la documentación en papel, etc. Dichas medidas de seguridad se irán ampliando en función de la sensibilidad de los datos que la empresa trate. Así, no es lo mismo, una clínica (que recoge datos de salud de sus pacientes) que una tienda de ropa (que recoge datos básicos de sus clientes) y, por tanto, las medidas de seguridad que deberán aplicar una y otra serán diferentes.
- Pasar auditorias de protección de datos. Dichas auditorias son bianuales y, únicamente, es necesario que la pasen las empresas que recogen y tratan datos de nivel medio (información tributaria, administrativa…) y/o datos de nivel alto (datos de salud, ideología, etc.).
¿Qué consecuencias puede tener no cumplir con la LOPD?
El incumplimiento de la normativa puede acarrear graves sanciones económicas por parte de la Agencia Española de Protección de Datos, órgano competente para imponer las sanciones.
Las sanciones de la Agencia Española de Protección de Datos, oscilan entre los 900 y los 600.000 euros, dependiendo de si se trata de una sanción leve, grave o muy grave. Debe tenerse en cuenta además, que las sanción, aunque haya sido por negligencia del trabajador, siempre es contra la empresa. Otra cosa es, que si la empresa puede demostrar que la culpa es debida a una negligencia cometida por el trabajador, ésta pueda reclamarle el importe pagado por la sanción al trabajador, pero en cualquier caso, la Agencia Española de Protección de Datos siempre reclamará a la empresa por ser esta la responsable del fichero.
En España, actualmente, disponemos de una de las leyes de protección de datos más restrictivas de Europa, hasta tal punto, que las sanciones en España son de las más elevadas. Por otro lado, se está a la espera de que se apruebe un Reglamento Europeo de Protección de Datos único para todos los estados miembros de la Unión Europea, pero por el momento tardará en aprobarse.