Conoce Atico34 - Solicita presupuesto
LOPDGDD & RGPD

Implantación LOPD: Guía práctica 2024

En las siguientes líneas detallaremos los pasos a seguir por una empresa, o cualquier otro tipo de entidad que trate datos personales, para realizar la implantación de la LOPD (o LOPDGDD) de acuerdo a la propia normativa.

Cómo implantar la LOPD y el RGPD en 11 pasos

El Reglamento General de Protección de Datos entró en vigor el 25 de mayo de 2016 para sustituir a la normativa vigente hasta ese momento, y estableció el 25 de mayo de 2018 como la fecha límite para implantar la nueva ley de protección de datos.

La adaptación a la protección de datos en empresas, en asociaciones sin ánimo de lucro, en cooperativas, en entidades públicas o la adaptación LOPD en comunidades de propietarios, supone ejecutar una serie de obligaciones, que pueden ser más o menos estrictas, más o menos complejas, dependiendo del volumen y del tipo de datos personales que se traten.

Entre las obligaciones para implantar la LOPD en una empresa están las siguientes:

  • Identificar los archivos contengan datos personales.
  • Asignarles el nivel de seguridad correspondiente.
  • Identificar responsables o encargados de los ficheros.
  • Elaborar el documento de seguridad.
  • Formación a responsables o encargados del tratamiento.
  • Informar a los usuarios sobre la existencia de los ficheros.

En las siguientes líneas profundizamos más sobre el tema ofreciendo una guía práctica dividida en 11 pasos para llevar a cabo la implantación de la LOPD en empresas y otro tipo de organizaciones.

Pasos para la implantación Lopd

11 Pasos para la implantación de la Lopd-gdd

– Obedecer los principios de protección de datos

El primer paso es conocer los principios de protección de datos que establece el RGPD y que también recoge la LOPD, puesto que de su cumplimiento se derivan las acciones y medidas que se deben llevar a cabo y tomar para adaptar la organización a la normativa vigente.

Estos principios son los de:

  • Licitud, transparencia y lealtad; implica cumplir con el deber de informar a los interesados y tratar sus datos personales solo cuando contamos con su consentimiento o estamos legitimados para ello por una base jurídica.
  • Limitación de la finalidad; los datos se recogerán y tratarán con fines determinados y nunca se usarán para otras finalidades diferentes.
  • Minimización de datos; solo se recabarán los datos personales necesarios para cumplir con la finalidad determinada.
  • Exactitud; los datos siempre deben estar actualizados, por lo que deberán suprimirse o corregirse cuando hayan cumplido con su finalidad o sean erróneos respectivamente.
  • Limitación del plazo de conservación; los datos personales solo se conservarán durante el tiempo necesario para cumplir con su finalidad determinada.
  • Integridad y confidencialidad; se debe garantizar la seguridad y privacidad de los datos personales, adoptando las medidas técnicas y organizativas adecuadas para evitar la pérdida, destrucción o el acceso no autorizado a los datos personales.
  • Responsabilidad proactiva del responsable del tratamiento (la empresa o entidad que trata los datos), que debe demostrar que cumple con los principios anteriores.

1.- Determinar qué tipos de datos personales se van a tratar

Para saber qué obligaciones se van a tener que cumplir en la implantación de la LOPD, que a su vez nos servirán para decidir qué medidas de seguridad debemos aplicar, necesitamos determinar qué tipo de datos vamos a tratar, el volumen previsto y si serán tratamientos habituales.

La normativa distingue entre dos categorías de datos; los datos personales que podemos denominar básicos y que entrañan un nivel menor de riesgo para los derechos y libertades de los interesados (datos identificativos, académicos, financieros, profesionales, etc.), y datos de categorías especiales, que son los recogidos en el artículo 9 del RGPD y que están especialmente protegidos, puesto que implican un mayor nivel de riesgos para los derechos y libertades de los interesados y que, a la hora de implantar la LOPD, exigen un cumplimiento más estricto de ciertas obligaciones.

Estos datos de categorías especiales son:

  • Datos de origen racial o étnico
  • Opiniones políticas
  • Creencias religiosas o filosóficas
  • Afiliación sindical
  • Datos genéticos
  • Datos biométricos cuyo objetivo sea identificar al individuo
  • Datos relativos a la salud
  • Datos relativos a la vida sexual y/o la orientación sexual

2.- Realizar el análisis de riesgos y la evaluación de impacto

Cuando determinéis qué tipo de datos vais a tratar y el tipo de tratamientos que vais a llevar a cabo (base de datos de clientes, imágenes de videovigilancia, fichas de empleados, suscriptores de la web, etc.), el siguiente paso es realizar los correspondientes análisis de riesgos sobre esos tratamientos previstos, para conocer qué riesgos para los derechos y libertades de los interesados pueden derivarse de dichos tratamientos de datos.

Es decir, determinar las posibles amenazas que pueden provocar la pérdida, destrucción o robo de los datos personales durante el tratamiento (por ejemplo, el acceso no autorizado a la base de datos de nuestros clientes para robarla) y la posibilidad de su materialización.

En determinadas circunstancias, como cuando se tratan datos de categorías especiales o grandes volúmenes de datos o cuando del análisis de riesgos se determina un nivel de riesgo alto para los derechos y libertades fundamentales de los interesados, será necesario también realizar una evaluación de impacto en protección de datos (EIPD).

Las conclusiones del análisis de riesgos y de la EIPD (si se ha hecho) servirán para determinar las medidas de seguridad que es necesario adoptar para minimizar el nivel de riesgo y evitar que las amenazas se materialicen y, si lo hacen, reducir su nivel de impacto para los interesados.

tarifas proteccion datos

3.- Elaborar el registro de actividades de tratamiento

Implantar la LOPD exige documentar y registrar los tratamientos de datos que realizamos en el desarrollo de nuestra actividad, para ello debemos elaborar los correspondientes registros de actividades de tratamiento.

Estos registros están obligadas a hacerlos las empresas con más de 250 empleados, o si se tratan datos de categorías especiales, o se tratan datos de manera habitual o a gran escala. En la práctica significa que muchas empresas que manejan datos personales pueden estar obligadas a ello.

El registro de actividades de tratamiento es un documento de carácter interno, que debe llevarse por escrito (incluido digitalmente), y ponerse a disposición de la autoridad de control (en España es la AEPD) cuando esta lo solicite.

Como mínimo debe incluir la siguiente información sobre el tratamiento que documenta:

  • Identidad del responsable del tratamiento
  • Finalidad del tratamiento
  • Descripción de categorías de interesados y categorías de datos
  • Descripción de categorías de destinatarios (existentes o previstos)
  • Transferencias internacionales de datos y sus garantías
  • Descripción de las medidas de seguridad aplicadas (siempre que sea posible aportar esta información sin que suponga un riesgo para misma)
  • Plazos de conservación de los datos previstos

4.- Aplicar las medidas de seguridad

Como responsables del tratamiento, para una correcta implantación de la LOPD, debemos aplicar todas medidas técnicas y organizativas que garanticen la confidencialidad, integridad, disponibilidad y resiliencia de los datos personales que hemos recabado y que almacenamos en nuestros sistemas o archivos.

Estas medidas pueden ser de diferentes tipos, determinación de roles para limitar el acceso a las bases de datos, implantación de soluciones de seguridad informática, formación en ciberseguridad para los empleados, cifrado de las bases de datos, seudonimización de los datos, controles de acceso a archivos físicos, etc. Pero siempre deben adoptarse en función de los riesgos y amenazas detectados en el análisis de riesgos y la EIPD y documentarse (es decir, llevar un registro de las mismas).

Además, la normativa establece que estas medidas de seguridad siempre deben aplicarse desde el diseño y por defecto, es decir, antes de comenzar ningún tratamiento de datos y siempre lo más restrictivas posible (permitiendo, cuando sea posible, que los usuarios configuren el nivel protección según sus criterios).

5.- Firmar contratos de encargo de tratamiento

Si para llevar a cabo otras gestiones o trámites o cumplir con otras obligaciones legales, la empresa u organización debe ceder los datos personales que trata (sean de clientes, empleados, usuarios, etc.) a otra empresa y esta va a tener acceso a ellos y llevar a cabo algún tratamiento encargado por el responsable, se debe firmar un contrato de encargo de tratamiento.

En este contrato, el responsable del tratamiento (nuestra empresa) establece las obligaciones y condiciones que el encargado del tratamiento (la empresa con la que contratamos) debe cumplir respecto a los datos que se le ceden (finalidad, medidas de seguridad, plazo de conservación, qué hacer con los datos una vez alcanzada la finalidad, etc.).

6.- Determinar si se necesita un DPO

Si nuestra empresa se dedica a una de las actividades contempladas en el artículo 34 de la LOPDGDD, o tratamos datos a gran escala sistemáticamente o tratamos datos de categorías especiales o está implantado un canal de denuncias interno, estamos obligados a designar un Delegado de Protección de Datos (DPO).

El DPO, que entre otras funciones, debe asesorar y ayudar a la empresa en la gestión de la protección de datos y funcionar como enlace con la AEPD, puede ser un empleado de la empresa, que tenga los conocimientos y experiencia necesaria en protección de datos, o puede contratarse a través de un servicio externo.

tarifas proteccion datos autonomos

7.- Informar a los interesados

Es deber del responsable del tratamiento informar a los interesados de todo lo relacionado con el tratamiento de sus datos personales, desde el momento en que se recogen hasta el cuándo van a ser suprimidos y todo lo que implica dicho tratamiento. De esa manera podrán tener un mayor control sobre la gestión de sus datos personales.

Por lo tanto, debemos informar sobre:

  • Identidad y datos de contacto del responsable del tratamiento y, si procede, del encargado del tratamiento y del DPO
  • Finalidad del tratamiento
  • Legitimidad del tratamiento
  • Si los datos serán cedidos a terceros
  • Si se van a transferir los datos fuera de la UE
  • El plazo de conservación de los datos previsto
  • A través de qué vía y cómo ejercer sus derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición)
  • La posibilidad de reclamar ante la Agencia Española de Protección de Datos (AEPD)

Esta información debe suministrarse a los interesados siempre con carácter previo al tratamiento de datos y puede hacerse de diferentes formas, dependiendo del momento y para qué se estén recabando los datos, por ejemplo, en el formulario de una página web, se incluirá una información básica sobre ello y un enlace a la política de privacidad. En un contrato para la prestación de servicios, podría ir como una cláusula o anexo sobre protección de datos.

Se admite (y se recomienda) que la información se dé en dos capas, una primera con la información básica relativa a la identidad del responsable del tratamiento, la finalidad, la legitimidad y los derechos, junto con una dirección o enlace que lleve a la segunda capa informativa, en la que estaría toda la información.

8.- Recabar el consentimiento expreso

Salvo que concurra uno de los supuestos del artículo 6.1, letras «b» a «f» del RGPD, la base legitimadora para el tratamiento siempre será el consentimiento expreso del interesado, es decir, que es necesario que el interesado acceda al tratamiento de sus datos personales mediante una acción afirmativa (la firma de la cláusula LOPD, marcar la casilla de aceptación de la política de privacidad, etc.).

Este consentimiento debe quedar registrado, para poder demostrar que se obtuvo en su momento, por lo que la implantación de la LOPD en este sentido implica contar con los medios técnicos necesarios para ello (como puede ser un software de gestión de protección de datos).

El consentimiento para el tratamiento de datos solo será válido para llevar a cabo la finalidad de la que fue informado el interesado, siendo necesario recabar un consentimiento por cada finalidad diferente o nueva.

Además, el consentimiento es revocable en cualquier momento y el responsable del tratamiento debe facilitar una vía para ello.

En el caso de los datos de categorías especiales, además del consentimiento expreso, también debe concurrir alguna de los supuestos contemplados en el artículo 9.2, letras «b» a «j».

9.- Obligaciones LOPD para página web

Si nuestra empresa o negocio tiene una página web, esta también debe cumplir con las siguientes obligaciones:

  • Tener una política de privacidad
  • Tener una política de cookies
  • Aviso o banner de cookies para recabar el consentimiento para su uso
  • Adaptar los formularios la LOPD para recabar el consentimiento del interesado (primera capa informativa, casilla desmarcada para aceptar la política de privacidad y enlace a esta)
  • Tener el aviso legal

10.- Establecer un protocolo para las brechas de seguridad

Implantar la LOPD de manera adecuada, también exige tener un protocolo de seguridad, que, por un lado, los empleados deberán seguir para evitar pérdidas, robos, modificaciones o destrucción de los datos, y, por otro lado, permita detectar posibles brechas de seguridad, gestionarlas y reportarlas lo antes posible cuando se produzcan.

La notificación de brechas de seguridad debe hacerse a la AEPD y los interesados afectados en un plazo no superior a 72 horas, a contar desde el momento en que se detectó la brecha. Aunque solo deberán notificarse aquellos incidentes que puedan suponer un riesgo para los derechos y libertades de los interesados o que puedan suponerles un daño o perjuicio.

11.- Establecer un período para las auditorías

Finalmente, y para cumplir con el principio de responsabilidad proactiva, se deben llevar a cabo auditorías de protección de datos con las que comprobar el nivel de cumplimiento de la LOPD y si es necesario reforzar, mejorar o aplicar nuevas medidas de seguridad.

Se debe establecer un período de tiempo para estas auditorías, siendo recomendable hacerlas cada uno o dos años. También se recomienda hacerlas cuando se produzcan cambios significativos en los sistemas de la empresa o se comiencen a realizar nuevos tratamientos de datos.

¿Necesitas ayuda para implantar la LOPD en tu empresa?

Cómo habéis visto, la implantación de la LOPD en empresas y otro tipo de organizaciones supone no solo cumplir con todas la mayoría de obligaciones que hemos descrito en el apartado anterior, sino también tener conocimientos suficientes sobre la propia normativa, saber redactar todos los documentos que son necesarios para cumplir con ella, mantener el nivel de cumplimiento actualizado, lo que implica estar al día de posibles cambios y modificaciones en la ley, así como de cambios en la propia empresa que afecten a la protección de datos.

Así mismo, también es necesario responder en tiempo y forma a las reclamaciones de derechos de los interesados y mantener el nivel de seguridad necesario para garantizar la privacidad y protección de los datos personales que se tratan.

Por todo ello, implantar la LOPD uno mismo es una tarea compleja, que consume tiempo y para la que todo el mundo no está preparado, y que puede acarrear costes extra en forma de sanciones, si la normativa se cumple de forma insuficiente o de manera inadecuada.

Si no se tiene personal formado en la materia, la mejor opción para la adaptación a la Ley de Protección de Datos en empresas es contratar los servicios de una consultoría especializada en protección de datos, como Grupo Atico34, que cuenta con un equipo de profesionales expertos en protección de datos, que se asegurarán de que vuestra empresa cumple con todas las obligaciones y os asesorarán ante cualquier duda que pueda surgir.

¿Cuánto cuesta la implantación de la LOPD?

El precio de la implantación LOPD no tiene por qué ser caro, en Grupo Atico34 nos adaptamos a las necesidades de vuestra empresa, a los datos que vais a tratar habitualmente y a las obligaciones que debéis cumplir en función de ello, para ofreceros un presupuesto ajustado. Además, a todos nuestros clientes les facilitamos un software de gestión de protección de datos, para que en todo momento puedan comprobar su nivel de cumplimiento y obtener los documentos legales que necesiten, siempre adaptados y personalizados a las características de su empresa.

Y, recordad, la protección de datos gratis en empresas puede salir cara, ya que en muchas ocasiones son promociones fraudulentas o que solo se limitan a rellenar unos documentos estándar, que serán insuficientes de cara a una inspección. La implantación LOPD debe llevarse a cabo teniendo siempre en cuenta las particularidades de la empresa y el negocio y del tipo y el volumen de datos que trata de manera habitual o que prevé tratar en el futuro y seguir manteniéndose, actualizándose y adaptándose en el tiempo.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.