Con independencia de a qué tipo de servicios de informática se dedique tu negocio, tienes la obligación de cumplir con la normativa de protección de datos vigente, porque vas a tratar con datos personales de clientes, proveedores, empleados, etc. En esta guía te explicamos cómo debe adaptarse la Ley de Protección de Datos en informática.
En este artículo hablamos de:
- ¿Es obligatorio cumplir la Ley Protección de datos en servicios de informática?
- Normativa sobre protección de datos en relación con la informática
- LOPD en informática
- RGPD en servicios informáticos
- Cómo implementar el RGPD y la LOPD en informática
- La mayoría de los informáticos nos preguntan…
- ¿Cuándo sé que trato datos de carácter personal?
- ¿Qué es la seguridad de datos y por qué es tan importante en tu empresa?
- ¿Tengo que cifrar los datos que trato?
- ¿Los datos de las tarjetas de los clientes en un TPV se consideran datos personales?
- ¿Es obligatorio realizar un curso de protección de datos en informática?
- Recomendaciones para verificar que cumplo la LOPD en informática
¿Es obligatorio cumplir la Ley Protección de datos en servicios de informática?
Empresas y profesionales que ofrecen servicios de informática están obligados a cumplir con la Ley de Protección de Datos Personales. Como hemos señalado en la introducción de esta guía, este tipo de negocios, con independencia de los servicios que ofrezcan, van a tratar en su día a día con datos personales de sus clientes, como mínimo, después también pueden tratar datos de sus empleados o incluso de proveedores autónomos.
Es importante señalar que esta guía no va a tratar la protección de datos y la seguridad informática en el sentido meramente técnico, relacionado más con la propia seguridad informática y protección de los sistemas de información, sino con la protección de datos tal y como se articula en la normativa vigente.
Ciertamente, muchos aspectos de la protección de datos están relacionados con elementos de la seguridad informática, puesto que muchas actividades de tratamiento de datos personales se realizan a través de sistemas informáticos y es en ellos donde se almacenan las bases de datos. Se puede decir que la seguridad informática y la protección de datos personales van en muchas ocasiones de la mano.
Pero aquí vamos a explicar cómo adaptar un negocio de servicios de informática a la Ley de Protección de datos personales, no sobre cómo se lleva a cabo la protección de datos en seguridad informática.
Normativa sobre protección de datos en relación con la informática
La normativa aplicable en materia de protección de datos para servicios de informática la tenemos articulada en una ley de ámbito nacional, LOPD-GDD, y un reglamento de ámbito europeo, RGPD. Además, también se debe tener en cuenta la LSSI-CE (Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico).
LOPD en informática
La Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales, LOPD-GDD (o LOPD), entró en vigor en diciembre de 2018, y adaptar el RGPD al ordenamiento jurídico español. Supuso la modificación de la antigua ley orgánica de protección de datos.
En lo que respecta las empresas o profesionales que ofrecen servicios de informática, esta Ley contempla las mismas obligaciones que para el resto de entidades que tratan con datos personales de sus clientes o usuarios, si bien, la prestación de determinados servicios, como los de cloud computing, pueden conllevar una mayor exigencia en algunos aspectos del cumplimiento (este es uno de esos casos en los que podríamos hablar también de la seguridad informática en la protección de datos).
En cualquier caso, si tu empresa o negocio de servicios informáticos cumple con las exigencias de la LOPD, estarás cumpliendo también con el RGPD.
RGPD en servicios informáticos
El Reglamento General de Protección de Datos es el marco único comunitario para la protección de datos. Se aprobó en 2016, pero en España no entró en vigor hasta mayo de 2018.
El RGPD introdujo varios cambios que se adaptaron en la LOPD-GDD, muchos de los cuales vamos a tratar en los siguientes puntos de esta guía, como el consentimiento, la figura del DPO o el registro de actividades de tratamiento. También endureció el régimen sancionador que se venía aplicando hasta entonces.
El objetivo del RGPD es conceder a los ciudadanos un mayor control sobre sus datos personales y la gestión de su privacidad.
Cómo implementar el RGPD y la LOPD en informática
A continuación vamos a ver los pasos necesarios para implementar la normativa de protección de datos en tu negocio o empresa de servicios de informática.
Aquí vamos a dar la información clave que necesitas conocer para cumplir con la LOPD en informática, pero estás ante un proceso complejo, que requiere tener ciertos conocimientos sobre protección de datos (no, no sobre encriptación o protección de datos en informática en el sentido más técnico, sino en el legal) y que además consume tiempo y exige estar al día con las posibles modificaciones o actualizaciones de la normativa.
Por ello, aconsejamos contratar los servicios de una consultora experta en la materia.
Cómo implementar el RGPD y la LOPD en informática
Registro de actividades de tratamiento
Desde la entrada en vigor del RGPD es obligatorio elaborar un registro de actividades de tratamiento. Este documento recoge y clasifica el tipo y la cantidad de datos que manejas en tu negocio de informática, así como otros aspectos relacionados con el tratamiento de datos personales.
El registro de actividades de tratamiento puede realizarse por escrito o recogerse de manera electrónica, debe ser descriptivo y detallado, pero también conciso. Debe estar lo más actualizado posible, puesto que en caso de inspección de la AEPD, es uno de los documentos que te van a pedir para revisar.
De forma general, el registro de actividades de tratamiento debe incluir la siguiente información:
- Identificación y datos de contacto del responsable y, en su caso, del encargado del tratamiento y del delegado de protección de datos.
- Fines del tratamiento.
- Categorías de interesados y datos.
- Categorías de destinatarios existentes o previstos (incluidos otros países u organizaciones internacionales).
- Transferencias internacionales (si las hay).
- Medidas de seguridad.
- Plazos previstos para la supresión de datos.
No todas las empresas están obligadas a elaborar el registro de actividades de tratamiento, pero en caso de que empresa o negocio cumpla alguna de estas condiciones, deberás hacerlo, independientemente de su tamaño:
- Los datos que se tratan pueden entrañar un riesgo para los derechos y libertades de los interesados.
- Los datos tratados son relativos a condenas e infracciones penales.
- Se tratan datos de manera sistemática a gran escala.
- Se tratan datos de categorías especiales (art.9 del RGPD).
Análisis de riesgo y Evaluación de impacto
Cumplir con el RGPD y la LOPD en informática también debe llevarnos a realizar un análisis de los riesgos que se desprenden de las diferentes actividades de tratamiento de datos que llevemos a cabo en el día a día de nuestro negocio. Este análisis debe tener en cuenta, por ejemplo, dónde almacenamos los datos, por cuánto tiempo, la naturaleza de los datos o el número de interesados afectados.
Así, cuando iniciemos un nuevo tratamiento, como por ejemplo la puesta en marcha de una página web con formulario de contacto, deberemos hacer un análisis previo de los riesgos que conlleva para las personas que dejan sus datos en él.
En ciertos casos, debido al riesgo elevado para los derechos y libertades de los interesados, este análisis previo deberá tomar la forma de una Evaluación de Impacto en la Protección de Datos Personales (EIPD o PIA por sus siglas en inglés).
Tanto el análisis de riesgos y la evaluación de impacto nos servirán para implementar medidas de seguridad que minimicen o prevengan esos riesgos y amenazas.
Notificación de brechas de seguridad
Si se producen brechas de seguridad que pongan en riesgo los datos personales de los interesados y sus derechos y libertades, es obligatorio informar a la AEPD (Agencia Española de Protección de Datos) en un plazo máximo de 72 horas.
También se debe notificar de estos incidentes de seguridad a los interesados cuyos datos personales hayan podido verse expuestos.
Consentimiento
Es necesario y obligatorio recabar el consentimiento expreso de los interesados tanto para recabar sus datos personales como para tratarlos. Este consentimiento debe darse mediante una acción afirmativa (marcar una casilla de «acepto términos y condiciones» o firmar un documento de consentimiento).
Cláusulas e información
Hay que dar mayor información al cliente. Le debe quedar claro quién trata sus datos, cómo los trata y por qué los trata.
También habrá que incluir nuevas cláusulas de elección del proveedor que nos realiza un servicio, como la empresa informática o la gestoría que nos elabora las cuentas. Si nosotros cumplimos la normativa, ellos también deberán hacerlo.
DPO
Salvo que tu empresa o negocio de servicios de informática trate datos a gran escala, no vas a necesitar designar a un DPO (Delegado de Protección de Datos).
En caso de lo que sí debas designarlo, puede ser tanto un empleado interno como un profesional externo. En cualquier caso, debe contar con los conocimientos necesarios sobre protección de datos para desempeñar sus funciones (asesoramiento, comprobación del cumplimiento normativo, intermediario entre la empresa y la AEPD, entre otros).
Códigos de conducta y certificados
Es posible adherirse a códigos de conducta y certificados que promuevan desde el sector de la informática el cumplimiento de la normativa, evaluando de manera externa y objetiva nuestro nivel de cumplimiento normativo en materia de protección de datos.
Es una de las medidas que puedes adoptar para demostrar que cumples con las exigencias y obligaciones de la Ley Orgánica de Protección de Datos y de la seguridad informática.
Información a los propietarios de los datos
El consentimiento, aparte de expreso, debe ser también informado, es decir, se debe facilitar a los interesados información relevante al tratamiento de datos que se va a hacer:
- Responsable del tratamiento
- Finalidad del tratamiento
- Plazo de conservación de los datos
- Cesión a terceros
- Dónde y cómo ejercer sus derechos
Plazo de conservación de los datos
El RGPD exige, a través de su principio de Accountability (responsabilidad proactiva), informar a los interesados sobre los plazos de conservación de sus datos.
Sin embargo, ni el RGPD ni la LOPD-GDD concretan cuál es ese plazo de conservación, dejando en manos del responsable del tratamiento decidirlo. Para ello debe tener en cuenta que, con carácter general, los datos personales solo deben conservarse durante el tiempo mínimo necesario para cumplir con la finalidad para la que fueron recabados.
Así mismo, también debe considerar otras leyes que pueden exigir conservar determinada documentación durante períodos de tiempo establecidos (por ejemplo, las facturas se deben conservar durante 5 años).
Auditorías periódicas
Ni el RGPD ni la LOPD obligan explícitamente a hacer auditorías periódicas, sin embargo, podemos decir que sí que existe una obligación tácita, puesto que sí es obligatorio demostrar el cumplimiento normativo en materia de protección de datos de las entidades. Es decir, tu empresa o negocio de servicios de informática debe poder demostrar que cumple con la Ley y que cuentan con las herramientas y soluciones de seguridad adecuadas y efectivas para garantizar la protección de datos personales.
En ese sentido, la mejor forma de hacerlo, es someter tu empresa o negocio a auditorías periódicas de protección de datos, preferiblemente hechas por un servicio de auditoría externo. De esa forma se podrá evaluar el nivel de cumplimiento de tus medidas de seguridad, así como que cumples con la ley a la hora de recabar y tratar los datos personales de tus clientes, empleados o proveedores.
La mayoría de los informáticos nos preguntan…
¿Cuándo sé que trato datos de carácter personal?
Tratas con datos personales cuando esos datos permiten identificar a una persona física; por ejemplo un DNI, una dirección postal, una cuenta bancaria, etc.
Solo son datos personales aquellos cuyo titular es una persona física, la Ley de Protección de Datos no se aplica a personas jurídicas.
¿Qué es la seguridad de datos y por qué es tan importante en tu empresa?
Seguridad de datos hace referencia a las medidas dedicadas a la protección de la privacidad digital necesarias para evitar y contrarrestar cualquier acceso no autorizado a los datos almacenados en ordenadores, bases de datos, sitios web, etc. La seguridad de datos también protege los datos de una posible corrupción.
¿Tengo que cifrar los datos que trato?
Dependiendo del tipo de datos personales que trates, podrías tener que cifrarlos. La encriptación o cifrado de datos es un proceso mediante el cual volvemos ilegible una determinada información, que solo puede hacerse legible utilizando una contraseña o código.
Para evaluar la necesidad o no de cifrar los datos que manejes en tu negocio de informática, puedes recurrir al estándar internacional ISO 27000, sobre sistemas de gestión de seguridad de la información.
¿Los datos de las tarjetas de los clientes en un TPV se consideran datos personales?
Aunque al leer la tarjeta, el TPV solo envía al centro autorizador el número de tarjeta, comercio donde se efectúa la compra y la fecha y hora de realización, la AEPD ha determinado ya en varias ocasiones que las tarjetas son datos personales. Por este motivo, si en tu negocio admites el pago con tarjeta a través de TPV, debes crear el correspondiente registro de actividades de tratamiento para ello.
En cuanto a las medidas de seguridad; es muy probable que tu proveedor de TPV ya haya implantado todas las medidas técnicas necesarias para garantizar la seguridad de los datos en las comunicaciones. No obstante te recomendamos que solicites a tu proveedor un listado de las medidas de seguridad que aplica y así poder revisarlo tú o tus asesores expertos en protección de datos
Tú solo tendrás que encargarte de guardar los tickets en un lugar seguro, al que solo tú o tus empleados tengáis acceso.
¿Es obligatorio realizar un curso de protección de datos en informática?
No, la ley no contempla la obligatoriedad de realizar ningún tipo de formación en esta materia.
Recomendaciones para verificar que cumplo la LOPD en informática
A modo de resumen, aquí te dejamos una lista de recomendaciones para verificar que tu empresa o negocio de servicios de informática cumple con la LOPD:
- Tener actualizada y firmada toda la documentación
- Analizar previamente al tratamiento de los riesgos que puede conllevar el mismo
- Redactar el Registro de las Actividades de Tratamiento
- Informar a los interesados del tratamiento de sus datos y derechos
- Establecer un plazo de conservación para los datos personales recabados
¿Te ha quedado alguna duda?
Miles de informáticos ya han acudido a nuestros abogados llamando al 91 489 64 19 para olvidarse de este asunto y estar tranquilos sabiendo que cumplen toda la normativa de protección de datos.