La protección de datos personales es una actividad cada día más regulada y que impone fuertes desafíos a todos aquellos que realizan actividades para las que reciben información de personas físicas.
La Ley de Protección de Datos establece que todas las personas físicas o jurídicas que posean datos de carácter personal de personas físicas están obligadas a cumplir con la protección de los mismos. Incluso, los particulares que no ejerzan actividades económicas podrían verse obligados a cumplir estas obligaciones.
A diferencia de lo que se creía anteriormente sobre que esta era una obligación solo para las empresas en el área de la tecnología, en verdad la ley solo excluye de estas responsabilidades a los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.
Los tres niveles de clasificación de datos
Las empresas pueden manejar variedad de datos personales. Más, estos se clasifican en tres diferentes tipos de niveles según su sensibilidad, de los cuales, a su vez dependen los niveles de protección exigidos por la ley:
- Nivel alto: ideologías políticas, afiliaciones sindicales, creencias religiosas, origen racial, salud o vida sexual.
- Nivel medio: infracciones administrativas o penales, servicios financieros, solvencia patrimonial o crédito, ficheros de morosos e impagados, datos en la Hacienda Pública, gustos, aficiones, estilo de vida de un sujeto, etc.
- Nivel básico: nombre y apellidos, dirección, teléfono, DNI, número de la seguridad social, fotografías, firmas, correos electrónicos, datos bancarios, edad y fecha de nacimiento, sexo, nacionalidad, etc.
La importancia de la protección de datos personales en una empresa
En vista de que existen tantas leyes para la protección de datos personales que regulan a las empresas, es de suma importancia cumplirlas al pie de la letra. En primer lugar, esto garantizará que la empresa se encuentre dentro de las exigencias legales, en pro de no caer en problemas legales que puedan afectar relaciones comerciales futuras.
Además, el incumplimiento de estas leyes acarreará de forma inmediata procesos legales e incluso multas y sanciones que representarán un gasto sustancial y un proceso engorroso para el capital y el futuro de la empresa, que deberá invertir en personal especializado en el tema, servicios de asesoría y pago de sanciones al Estado. De hecho, los importes de las sanciones son los siguientes:
- Las infracciones leves serán sancionadas con multas de 900 a 40.000€,
- las graves serán sancionadas con multas de 40.001 a 300.000€,
- Y las muy graves, con multas de 300.001 a 600.000€.
Acciones a tomar para la protección y el resguardo de los datos en una empresa
- Valorar la información y clasificarla en confidencial, publica etc. Ya que no se puede proteger adecuadamente lo que no se sabe que es importante y el daño que nos provocaría su pérdida.
- Ajustar sus actividades relacionadas con datos personales a tres nuevos principios: responsabilidad o actitud proactiva y diligente, protección por defecto y desde el diseño y portabilidad.
- Designar responsables de la protección de datos. Deberá haber alguien dentro del equipo que se ocupe de esta tarea en particular. Estos deberán ser obligatoriamente designados en organismos públicos y también en empresas, cuando estas realicen el tratamiento de grandes cantidades de datos. Dicha figura es creada por el Reglamento General y se trata de personas con conocimiento, experiencia y formación previa en datos personales y que actúan de forma independiente a la autoridad de control.
- Identificar qué amenazas se puede materializar. Ya sea esta materialización, de forma directa sobre la información o de forma indirecta, a través de los sistemas informáticos que la tratan.
- En relación al punto anterior, uno de las amenazas más comunes son los ataques informáticos. En dicho caso, la empresa deberá notificar a la autoridad de control los fallos o ataques a sistemas informáticos que involucren pérdida, alteración o acceso no autorizado a datos personales, cuando el hecho pueda significar un riesgo para los derechos fundamentales y libertades de las personas físicas. Dicho evento debe reportarse dentro de las 72 horas, desde que se tuvo constancia de él.
- Valorar la probabilidad de que dichas amenazas se produzcan y que impacto tendría sobre la empresa, para así poder prepararse para el peor escenario. En este sentido, si la empresa cuenta con el presupuesto, DPOSA, expertos en protección de análisis de datos, recomienda contratar servicios de consultoría profesional que por un precio razonable, trabaje codo a codo con la empresa para la prevención y solución de cualquier escenario.
- Finalmente, pero no menos importante, en el caso de datos sobre menores de edad: a partir de la vigencia del Reglamento General, las empresas no podrán ofrecer servicios de la sociedad de la información a menores de 16 años, sin el consentimiento de sus padres o tutor.