Con independencia de a qué tipo de servicios de informática se dedique tu empresa o negocio, tienes la obligación no solo de garantizar la protección de datos informáticos, sino de aplicar el RGPD y la LOPD en informática. En esta guía explicamos cómo aplicar la Ley de Protección de Datos en informática.
En este artículo hablamos de:
¿Cómo aplicar a LOPD y RGPD en informática?
Para aplicar la LOPD y el RGPD en informática se deben cumplir con una serie de obligaciones derivadas de los principios de protección de datos recogidos en el RGPD y que detallaremos en los siguientes puntos. Entre otras, documentar los tratamientos, realizar los correspondientes análisis de riesgos y aplicar medidas de seguridad, cumplir con el deber de informar, comprobar la licitud de los tratamientos o, si corresponde, designar un Delegado de Protección de Datos (DPO).
Estas acciones y medidas deben ponerse en práctica siempre que la empresa o negocio de informática trate con datos personales, como son los de sus clientes y proveedores (cuando son personas físicas) o los de sus empleados (si los tiene).
Cómo implementar el RGPD y la LOPD en informática
Registro de actividades de tratamiento
Desde la entrada en vigor de la actual ley de protección de datos personales es obligatorio en determinados casos elaborar un registro de actividades de tratamiento. Este documento recoge y clasifica el tipo y la cantidad de datos que manejas en tu negocio de informática, así como otros aspectos relacionados con el tratamiento de datos personales.
El registro de actividades de tratamiento puede realizarse por escrito o recogerse de manera electrónica, debe ser descriptivo y detallado, pero también conciso. Debe estar lo más actualizado posible, puesto que en caso de inspección de la AEPD, es uno de los documentos que te van a pedir para revisar.
De forma general, el registro de actividades de tratamiento debe incluir la siguiente información:
- Identificación y datos de contacto del responsable y, en su caso, del encargado del tratamiento y del delegado de protección de datos.
- Fines del tratamiento.
- Categorías de interesados y datos.
- Categorías de destinatarios existentes o previstos (incluidos otros países u organizaciones internacionales).
- Transferencias internacionales (si las hay).
- Medidas de seguridad.
- Plazos previstos para la supresión de datos.
No todas las empresas están obligadas a elaborar el registro de actividades de tratamiento, pero en caso de que empresa o negocio cumpla alguna de estas condiciones, deberás hacerlo, independientemente de su tamaño:
- Los datos que se tratan pueden entrañar un riesgo para los derechos y libertades de los interesados.
- Los datos tratados son relativos a condenas e infracciones penales.
- Se tratan datos de manera sistemática a gran escala.
- Se tratan datos de categorías especiales (art.9 del RGPD).
Análisis de riesgo y Evaluación de impacto
Cumplir con el RGPD y la LOPD en informática también debe llevarnos a realizar un análisis de los riesgos que se desprenden de las diferentes actividades de tratamiento de datos que llevemos a cabo en el día a día de nuestro negocio. Este análisis debe tener en cuenta, por ejemplo, dónde almacenamos los datos, por cuánto tiempo, la naturaleza de los datos o el número de interesados afectados.
Así, cuando iniciemos un nuevo tratamiento, como por ejemplo la puesta en marcha de una página web con formulario de contacto, deberemos hacer un análisis previo de los riesgos que conlleva para las personas que dejan sus datos en él.
En ciertos casos, debido al riesgo elevado para los derechos y libertades de los interesados, este análisis previo deberá tomar la forma de una Evaluación de Impacto en la Protección de Datos Personales (EIPD o PIA por sus siglas en inglés).
Tanto el análisis de riesgos y la evaluación de impacto nos servirán para implementar medidas de seguridad que minimicen o prevengan esos riesgos y amenazas. Algunas de las medidas de protección de datos y seguridad informática pueden ser el cifrado de datos, la seudonimización o la anonimización de datos, implementar políticas de control de acceso (tanto electrónicas como físicas), realizar copias de seguridad, implantar un IPS (sistema de prevención de intrusiones), etc.
Notificación de brechas de seguridad
Si se producen brechas de seguridad que pongan en riesgo los datos personales de los interesados y sus derechos y libertades, es obligatorio informar a la AEPD (Agencia Española de Protección de Datos) en un plazo máximo de 72 horas.
También se debe notificar de estos incidentes de seguridad a los interesados cuyos datos personales hayan podido verse expuestos.
Consentimiento
Cuando la licitud del tratamiento se base en el consentimiento explícito del interesado, será obligatorio recabarlo, tanto para recoger los datos como para realizar los tratamientos. Este consentimiento debe darse mediante una acción afirmativa (marcar una casilla de «acepto términos y condiciones» o firmar un documento de consentimiento).
Recabar el consentimiento no será necesario, cuando concurra alguna de las otras bases jurídicas recogidas en el artículo 6 del RGPD.
Y cuando se trate de datos sensibles (art. 9 del RGPD), el consentimiento deberá ser siempre expreso (si bien es poco probable que en un negocio de informática se trate esta categoría de datos especialmente protegidos).
Cláusulas e información
Hay que dar mayor información al cliente. Le debe quedar claro quién trata sus datos, cómo los trata y por qué los trata.
Así mismo, en caso de la cesión de datos a empresas que nos presente servicios (como puede ser la gestoría que nos lleva las nóminas o un servicio de email marketing), deberemos redactar un contrato de encargo de tratamiento, en cuyas cláusulas estableceremos sus obligaciones en materia de protección de datos.
Consulta nuestras tarifas de protección de datos para empresas de informática.
DPO
Salvo que tu empresa o negocio de servicios de informática trate datos a gran escala, no vas a necesitar designar a un DPO (Delegado de Protección de Datos).
En caso de lo que sí debas designarlo, puede ser tanto un empleado interno como un profesional externo. En cualquier caso, debe contar con los conocimientos necesarios sobre protección de datos para desempeñar sus funciones (asesoramiento, comprobación del cumplimiento normativo, intermediario entre la empresa y la AEPD, entre otros).
Códigos de conducta y certificados
Es posible adherirse a códigos de conducta y certificados que promuevan desde el sector de la informática el cumplimiento de la normativa, evaluando de manera externa y objetiva nuestro nivel de cumplimiento normativo en materia de protección de datos.
Es una de las medidas que puedes adoptar para demostrar que cumples con las exigencias y obligaciones de la Ley Orgánica de Protección de Datos y de la seguridad informática.
Información a los propietarios de los datos
Tanto si el tratamiento se basa en el consentimiento de los interesados como si lo hace en alguna otra base jurídica, siempre se debe informar a los interesados de todo lo relacionado con el tratamiento de sus datos, en concreto:
- Identidad del responsable del tratamiento (la empresa informática) y, en su caso, del encargado del tratamiento y del DPO.
- Finalidad del tratamiento.
- Datos que se van a tratar.
- Si se producirán cesiones a terceros.
- Si se producirán transferencias internacionales de datos.
- Plazo de conservación de los datos.
- Dónde y cómo ejercer sus derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición) y la posibilidad de reclamar ante la AEPD (Agencia Española de Protección de Datos).
Plazo de conservación de los datos
El RGPD exige, a través de su principio de Accountability (responsabilidad proactiva), informar a los interesados sobre los plazos de conservación de sus datos.
Sin embargo, ni el RGPD ni la LOPD-GDD concretan cuál es ese plazo de conservación, dejando en manos del responsable del tratamiento decidirlo. Para ello debe tener en cuenta que, con carácter general, los datos personales solo deben conservarse durante el tiempo mínimo necesario para cumplir con la finalidad para la que fueron recabados.
Así mismo, también debe considerar otras leyes que pueden exigir conservar determinada documentación durante períodos de tiempo establecidos (por ejemplo, las facturas se deben conservar durante 5 años).
Auditorías periódicas
Ni el RGPD ni la LOPD obligan explícitamente a hacer auditorías periódicas, sin embargo, podemos decir que sí que existe una obligación tácita, puesto que sí es obligatorio demostrar el cumplimiento normativo en materia de protección de datos de las entidades. Es decir, tu empresa o negocio de servicios de informática debe poder demostrar que cumple con la Ley y que cuentan con las herramientas y soluciones de seguridad adecuadas y efectivas para garantizar la protección de datos personales.
En ese sentido, la mejor forma de hacerlo, es someter tu empresa o negocio a auditorías periódicas de protección de datos, preferiblemente hechas por un servicio de auditoría externo. De esa forma se podrá evaluar el nivel de cumplimiento de tus medidas de seguridad, así como que cumples con la ley a la hora de recabar y tratar los datos personales de tus clientes, empleados o proveedores.
¿Trabajas como informático autónomo? Te ayudamos a cumplir la ley de protección de datos de forma rápida y sencilla.
Recomendaciones para verificar que cumplo la LOPD en informática
A modo de resumen, aquí te dejamos una lista de recomendaciones para verificar que tu empresa o negocio de servicios de informática cumple con la LOPD:
- Tener actualizada y firmada toda la documentación
- Analizar previamente al tratamiento de los riesgos que puede conllevar el mismo
- Redactar el Registro de las Actividades de Tratamiento
- Informar a los interesados del tratamiento de sus datos y derechos
- Establecer un plazo de conservación para los datos personales recabados
Cómo ves, la protección de datos en empresas o negocios de servicios informáticos puede llegar a ser compleja (especialmente si tienes un volumen elevado de clientes) y consumir tiempo, por ello, si tienes dudas relativas a la aplicación del RGPD y la LOPD, puedes contratar la protección de datos con un servicio externo especializado en la materia, como el que ofrecemos en Grupo Atico34. Nuestros abogados te ayudarán a resolver cualquier duda o problema relativo a la protección de datos y a cumplir con la normativa, para que tú puedas dedicarte con tranquilidad a gestionar tu negocio.