¡Pide presupuesto en 2 min! ✓
ProfesionalesSectores

Protección de datos en informática

8 Mins read

Con independencia de a qué tipo de servicios de informática se dedique tu negocio, tienes la obligación de cumplir con la normativa de protección de datos vigente, porque vas a tratar con datos de clientes, proveedores, empleados, etc. En esta entrada te explicamos cómo debe adaptarse la Ley de Protección de Datos en informática.

Normativa sobre protección de datos

Si necesitas consultar la normativa actual de protección de datos, deberás visitar las siguientes leyes y reglamentos.

  • RGPD (Reglamento General de Protección de Datos, Europa)
  • LOPDGDD (Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, España)

Finalidad del RGPD

El principal fin de la normativa europea es aportar un marco único comunitario para la protección de datos. Trajo consigo una disminución de los trámites burocráticos, por lo que si solo realizas tratamientos de datos que entrañan poco riesgo como nombre, apellidos, teléfono… será más sencillo y ágil cumplir con la normativa.

Sin embargo, eso no significa que no debas adquirir un mayor compromiso con la privacidad y la gestión de los datos.

Ley de Protección de Datos en informática

La Ley de Protección de Datos tiene como finalidad garantizar la protección y buen tratamiento de datos de carácter personal. Esta queda bajo el paraguas del RGPD, a si que sí lo cumples no tienes de que preocuparte.

No obstante, en el siguiente apartado te proponemos una serie de sencillos pasos para que, como autónomo, puedas adaptar tu negocio a la LOPD.

Cómo implementar la normativa de protección de datos en informática

Entendemos que emprender y montar tu propio negocio de informática es muy duro y, que a veces, las normas pueden ser difíciles de entender o nos quitan tiempo para atender correctamente a los clientes.

Por eso, desde Grupo Ático34 recomendamos que se cuente con asesoramiento de una consultora experta en materia de privacidad para que te pueda guiar y ayudar a cumplir la normativa en protección de datos en tu tienda de informática.

Pero si crees que puedes con ello, ¡adelante!

Sin embargo queremos ayudarte todo lo posible, por lo que aquí podrás encontrar unos sencillos pasos para que puedas implantar en tu negocio esta normativa.

Registro de actividades de tratamiento

Desde la entrada en vigor del RGPD es obligatorio elaborar un registro de actividades de tratamiento. Este documento recoge y clasifica el tipo y la cantidad de datos que manejas en tu negocio de informática, así como otros aspectos relacionados con el tratamiento de datos personales.

El registro de actividades de tratamiento puede realizarse por escrito o recogerse de manera electrónica, debe ser descriptivo y detallado, pero también conciso. Debe estar lo más actualizado posible, puesto que en caso de inspección de la AEPD, es uno de los documentos que te van a pedir para revisar.

De forma general, el registro de actividades de tratamiento debe incluir la siguiente información:

  • Identificación y datos de contacto del responsable y delegado de protección de datos.
  • Fines del tratamiento.
  • Categorías de interesados y datos.
  • Categorías de destinatarios existentes o previstos (incluidos otros países u organizaciones internacionales).
  • Transferencias internacionales (si las hay).
  • Medidas de seguridad.
  • Plazos previstos para la supresión de datos.

Ten en cuenta que con independencia del tamaño de tu empresa o negocio de servicios informáticas, si quieres cumplir con la normativa de protección de datos en informática, debes realizar este registro de actividades de tratamiento.

E-book

Guía LOPDGDD

ebook guia lopdgdd

Análisis de riesgo y Evaluación de impacto

Cumplir con la protección de datos en informática también debe llevarnos a realizar un análisis de los riesgos que se desprenden de las diferentes actividades de tratamiento de datos que llevemos a cabo en el día a día de nuestro negocio. Este análisis debe tener en cuenta, por ejemplo, dónde almacenamos los datos, por cuánto tiempo, la naturaleza de los datos o el número de interesados afectados.

Así, cuando iniciemos un nuevo tratamiento, como por ejemplo la puesta en marcha de una página web con formulario de contacto, deberemos hacer un análisis previo de los riesgos que conlleva para las personas que dejan sus datos en él.

En ciertos casos, debido al riesgo, este análisis previo deberá tomar la forma de una Evaluación de Impacto en la Protección de Datos Personales (PIA).

Tanto el análisis de riesgos y la evaluación de impacto nos servirán para implementar medidas de seguridad que minimicen o prevengan esos riesgos y amenazas.

Notificación de brechas de seguridad

Estaremos obligados a notificar una brecha o violación de seguridad si la misma afecta a datos personales y cuando la misma constituya un riesgo para los derechos y las libertades de las personas físicas.

Consentimiento

Procurar el consentimiento inequívoco, y no tácito, del cliente para el uso de sus datos.

Es decir, el cliente deberá realizar un acción afirmativa que nos permita tratar los datos, como por ejemplo poniendo un tick en una casilla o firmando un documento.

Cláusulas e información

Hay que dar mayor información al cliente. Le debe quedar claro quién trata sus datos, cómo los trata y por qué los trata.

También habrá que incluir nuevas cláusulas de elección del proveedor que nos realiza un servicio, como la empresa informática o la gestoría que nos elabora las cuentas. Si nosotros cumplimos la normativa, ellos también deberán hacerlo.

DPO

Para ciertos tratamientos, que entrañen graves riesgos para los derechos y libertades de las personas, como los psicólogos, los detectives privados, los colegios, etc., será obligatoria  la existencia de un Delegado de Protección de Datos. No es nuestro caso.

Códigos de conducta y certificados

Ahora podremos sumarnos a códigos de conducta y certificados que promuevan desde nuestro sector de actividad y cumpliendo las directrices de los mismos, podremos demostrar que cumplimos la normativa.

Esto es muy importante, ya que muchas empresas te solicitarán que estés al día con la normativa para trabajar contigo.

Información a los propietario de los datos

Es necesario informar a los afectados por el tratamiento de, al menos:

  • El nombre del responsable.
  • La legitimación para la recogida de los datos, es decir, el por qué podemos tratar sus datos.
  • Para que se usan.
  • Cómo ejercitar los derechos.

Plazo de conservación de los datos

Una de las novedades que introdujo el RGPD, mediante su principio de Accountabilty (responsabilidad proactiva), es la necesidad de informar del plazo de conservación de los datos.

Por desgracia no existe un plazo mínimo de conservación único, sino que dependiendo de la documentación que se trate será un periodo determinado u otro.

Auditorías periódicas

En materia de protección de datos, también en informática, hay que estar siempre al día, por lo que habrá que establecer unos procedimientos por los que, ya sea nosotros o un experto externo, se analice periódicamente que cumplimos con la ley y si no es así para ponerle remedio lo más rápidamente posible.

Estas auditorías no podrá realizarlas el DPO, ya que quedaría en el entredicho su independencia, pero sí que debe supervisarlas y asegurarse que las conclusiones o informes correspondientes llegan al encargado de proponer e implementar acciones de mejora.

¡Cuidado! Estos informes son muy importantes, ya que las autoridades nos los podrán pedir y nos servirán como demostración de cumplimiento de la ley.

La mayoría de los informáticos nos preguntan…

¿Es obligatorio cumplir esta ley?

, cualquier servicio informático (aunque estemos dado de alta como autónomos) que dentro de la actividad profesional traten datos de terceras personas deben adaptarse a la LOPD.

¿Cuándo se que trato datos de carácter personal?

Por ejemplo, siempre que se traten datos que permitan identificar a una tercera persona física, como un cliente o empleado.

Hay que destacar que la legislación actual no incluye a las empresas o sociedad en la protección de datos, es decir a las persona jurídicas.

¿Y si no tengo empleados?

Se debe evaluar si trata datos de clientes o proveedores, de qué tipo son y el tratamiento que se realizará.

Si no existen tratamientos de datos porsonales no tiene que cumplir con la normativa.

Pero si los clientes de tu negocio de informática son personas particulares será muy probable que tenga que cumplir con la LOPD y el RGPD.

¿Tengo que cifrar los datos que trato?

Dependiendo del tipo de datos que trates, podrías que tener que cifrarlos. La encriptación o cifrado es un proceso mediante el cual volvemos ilegible una determinada información. Solo se tendrá acceso a la la información si se utiliza una contraseña o código.

Para evaluar la necesidad o no de cifrar los datos que manejes en tu negocio de informática, puedes recurrir al estándar internacional ISO 27000, sobre sistemas de gestión de seguridad de la información.

Te explicamos con detalle todo lo relacionado con el cifrado y la protección de datos en el siguiente enlace.

Para el cobro de mis productos uso una TPV. ¿Los datos de las tarjetas de nuestros cliente se consideran datos personales?

La AEPD ha determinado en numerosas ocasiones que .

El cliente para abonar las compras que realice en mi negocio puede aportar su tarjeta, procediéndose a la lectura de la banda magnética a través de los TPV y capturándose la información necesaria para proceder a la autorización de la operación y para la impresión del ticket de compra.

El TPV determina el tipo de Tarjeta y establece comunicación con su correspondiente centro autorizador. Entre los datos que se envían a dicho centro para la aprobación de la operación, siguiendo protocolos estándar, se encuentran: número de tarjeta, comercial donde se efectúa la compra, su importe y fecha y hora de realización, no enviándose otros datos de carácter personal como el nombre y apellidos del cliente.

No obstante la AEPD considera dato personal a los datos de las tarjetas, por lo que lo deberemos considerar un tratamiento más con su correspondiente fichero.

¿Y qué medidas de seguridad tengo que aplicar en estos casos?

No te preocupes, es muy probable que tu proveedor de TPV ya haya implantado todas las medidas técnicas necesarias para garantizar la seguridad de los datos en las comunicaciones. No obstante te recomendamos que solicites a tu proveedor un listado de las medidas de seguridad que aplica y así poder revisarlo tu o tus asesores expertos en protección de datos

Tu solo tendrás que encargarte de guardar los tickets en un lugar seguro y que solo o tus empleados tengáis acceso

¿Es obligatorio realizar un curso de protección de datos en informática?

No, la ley no contempla la obligatoriedad de realizar ningún tipo de formación en esta materia.

¿Hacienda te obliga a realizar un curso de contabilidad? Pues la Agencia Española de Protección de Datos tampoco te obliga a realizar ningún tipo de curso.

Herramientas de ayuda

La AEPD elaboró un software online, Facilita RGPD, pensado para que determinadas pymes puedan cumplir el nuevo reglamento más fácilmente.

Pero ¡cuidado!, porque la propia Agencia advierte que utilizar ese programa no garantiza el pleno cumplimiento de la normativa.

Recomendaciones (mínimas) para verificar que cumplo la normativa de protección de datos en informática

  1. Tener actualizada y firmada toda la documentación
  2. Analizar previamente al tratamiento de los riesgos que puede conllevar el mismo
  3. Redactar el Registro de las Actividades de Tratamiento
  4. Informar a los interesados del tratamiento de sus datos y derechos

¿Te ha quedado alguna duda?

Miles de informáticos ya han acudido a nuestros abogados llamando al 91 489 64 19 para olvidarse de este asunto y estar tranquilos sabiendo que cumplen toda la normativa de protección de datos.

Related posts
Sectores

Protección de datos de las Iglesias y entidades religiosas

7 Mins read
Con las importantes novedades introducidas en materia de Protección de datos por el RGPD y la posterior LOPDGDD, recibimos numerosas consultas sobre…
SanidadSectores

¿Quién y por qué puede ver mi historial médico?

5 Mins read
Los datos relacionados con la salud están considerados como información de carácter personal y sensible y, por tanto, están altamente protegidos por…
SanidadSectores

Pulseras E-Health y la Protección de Datos

8 Mins read
La pulsera inteligente o pulseras healthcare ha pasado desde hace algunos años, a formar parte de nuestro día a día, integrándose con naturalidad…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.