LOPD: transparencia aplicada al Social Business

En Territorio creativo, como empresa de Social Business que somos, hemos detectado que el crecimiento que ha experimentado el uso de las redes sociales ha llevado a las organizaciones a usar nuevas herramientas de comunicación – ya sea para la interacción o publicación de sus acciones/campañas -.

La transparencia en este ámbito es clave y para cumplirla tenemos que tener muy presente que manejamos datos importantes de personas. A través del boca a boca en estos medios la información llega a millones de personas y es propagada muchas veces de manera viral, sin tener apenas control sobre ello. Así que tenemos que tener presente la Ley Orgánica de Protección de Datos (LOPD).

La LOPD establece una serie de limitaciones al tratamiento de los datos; limitaciones fijadas para garantizar un uso adecuado, lícito, no excesivo y con las debidas medidas de seguridad que impidan la alteración, pérdida o tratamiento no autorizado de los datos.

En este sentido, las consideraciones a tener en cuenta en cualquier acción que realicemos que conlleve el tratamiento de datos de carácter personal debe cumplir los requerimientos establecidos por la Ley. Estos son los más representativos:

1. Declarar un fichero en la agencia de protección de datos

Se entiende por fichero todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

El responsable del fichero, persona física o jurídica que recaba la información, debe declarar los ficheros que contienen datos personales ante el Registro General de Protección de datos especificando la finalidad, contenido y uso del tratamiento que se va a realizar de los mismos.

2. Recabar el consentimiento

Las personas tienen la facultad de disponer de sus datos, controlar las informaciones relativas a su persona y la circulación de estas informaciones. Por tanto para poder operar con los datos hay que recabar el consentimiento del afectado, debiendo disponerse en todo momento de la prueba que confirme la existencia de dicho consentimiento.

En la recogida de datos se debe proporcionar al afectado la información suficiente para que los suministre en pleno conocimiento del alcance del tratamiento que se va a realizar, debiendo informarse de:

• La existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de los datos y los destinatarios de la información.
• Del carácter obligatorio o facultativo de las respuestas a las preguntas planteadas.
• De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
• De los derechos que le asisten y su posibilidad de ejercicio.
• De la identidad y dirección del responsable del tratamiento.

Si se van a solicitar datos de salud, origen racial, vida sexual o ideología, el consentimiento tiene que ser expreso.

Asimismo, cuando se recojan y traten datos de menores de catorce años, el consentimiento tiene que ser requerido a los padres o tutores.

3. Ejercicio derechos ARCO

Es necesario dotar a los clientes de los mecanismos para ejercer los derechos de acceso, rectificación, cancelación y oposición. Los más habituales son correo electrónico, un número de teléfono gratuito o una dirección postal.

4. Establecer contratos de prestación de servicios

Cuando el tratamiento de los datos personales (gestión, conservación, mantenimiento) se realiza por otra empresa, ésta es denominada encargada del tratamiento y debe existir un contrato de prestación de servicios en el que se debe realizar mención expresa como mínimo de los siguientes aspectos:

• Descripción detallada de las prestaciones a realizar.
• Ámbito de actuación, finalidad.
• Las instrucciones del responsable del fichero para el tratamiento de los datos.
• Los datos no deben ser utilizados para un fin distinto al estipulado ni comunicados a terceros.
• Las medidas de seguridad que el encargado del tratamiento está obligado a implementar.
• Condiciones de devolución o destrucción de los datos, soportes o documentos una vez finalizada la relación contractual.
• No se podrá subcontratar a terceras empresas sin autorización por parte del responsable.

5. Cloud Computing

Cuando se contratan servicios de hosting en la nube donde van a almacenarse datos de carácter personal fuera del territorio español, entra en juego otro aspecto que en materia de protección de datos es muy relevante, la trasferencia internacional de datos.

El prestador del servicio debe cumplir a la normativa española de protección de datos personales y es preciso tener en cuenta que no se pueden realizar transferencias internacionales de datos a países que no dispongan de un nivel adecuado de protección (Espacio Económico Europeo; países con nivel adecuado seguridad según la Comisión Europea; proveedores radicados en EEUU ‘safeharbor’), salvo que se obtenga la autorización del Director de la Agencia Española de Protección de Datos.

Para más detalles consultar La guía para clientes que contraten servicios de Cloud Computing, editada por la Agencia española de protección de datos.

6. Cesión de datos

La LOPD define la cesión de datos como “toda revelación de datos realizada por persona distinta del interesado”. Bajo este concepto se engloban acciones como consultar, comunicar, transferir o cualquier otra forma que facilite el acceso a los datos de un fichero a un tercero, distinto del interesado.

La cesión de los datos se podrá realizar si existe consentimiento previo del interesado, habiéndole informado de:

• La identificación, actividad y dirección del cesionario.
• La finalidad a la cual se destinarán los datos cedidos.

Este consentimiento siempre es revocable.

7. Plazo de conservación de los datos

Los datos deberán cancelarse una vez hayan dejado de ser necesarios para la finalidad para la que se recabaron, manteniéndose bloqueados, en los términos previstos por la Ley al menos durante el tiempo necesario para la prescripción de las acciones que pudieran derivarse de la relación jurídica que vincula al consultante con su cliente, así como los derivados de la normativa tributaria.

8. Adopción de medidas de seguridad

El Reglamento de desarrollo de la LOPD establece tres niveles de seguridad en función del tipo de información que contengan los ficheros:

• Nivel básico: datos identificativos.
• Nivel medio: datos relativos a solvencia patrimonial, operaciones financieras y de crédito.
• Nivel alto: datos especialmente protegidos como datos de salud, origen racial, vida sexual o ideología.

Deben implementarse las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.

Como empezábamos en este post, la transparencia es clave así que cuanto más escrupulosos seamos en la adopción de las medias marcadas legalmente, menos expuestos estaremos a sanciones que puedan venir derivadas de una mala práctica por nuestra parte.

El incumplimiento de la normativa legal acarrea sanciones económicas desde 900 a 600.000€, por lo que un buen abogado especializado en tecnologías de la información y en el entorno social puede ser tu gran aliado.

Imagen de CNN.