Dudas frecuentes LOPD
Dudas Frecuentes
Durante la realización de las auditorias es frecuente hallarse frente a consultas recurrentes como las que vamos a vera continuación.
¿Tengo que entregar a la AGPD información sobre mis clientes?
En absoluto, la obligación es la de comunicar qué tipo de ficheros disponemos en la empresa, la finalidad para la que han sido recogidos y los campos de los que dispone.
En ningún caso se trasfiere la información que conforma el fichero (Solo constituirá una responsabilidad sin par para la propia agencia resulta imposible almacenarlos).
En mi empresa no existen datos de clientes ya que la facturación y Gestión de clientes se ha externalizado a través de un gestoria, y por tanto el fichero Será responsabilidad de esta.
Es en esta consulta donde surge la figura del encargado del tratamiento, en virtud del cual se realiza la prestación del servicio a la empresa, (que es el verdadero responsable del fichero) tiene por tanto acceso a determinada información. El fichero por tanto pertenece a la empresa.
Por tanto la gestoria únicamente dispone de autorización temporal para tratar datos hasta la finalización del contrato que vincula a ambas entidades, momento en el que deberá proceder al reintegro y posterior destrucción de los datos según las instrucciones dadas por el titular del fichero.
Como es lógico la empresa titular del fichero puede cambiar de gestoria cambiando por tanto el sujeto encargado del tratamiento.
En esta figura requiere la firma de contrato con cada encargado en el que debe de especificarse los límites dentro de los cuales puede utilizar dichos datos.
Otra de las dudas que surgen es la responsabilidad del fichero y la del encargado del tratamiento.
En principio al actuar por cuenta del responsable del fichero al encargado n ole serán imputables las actuaciones que realice siempre que se limite a ejecutar el encargo con arreglo a las instrucciones recibidas por el responsable del tratamiento.
¿Puedo conservar los datos de mis clientes una vez finalizada la relación comercial?
Si, en tanto se cumpla con el deber de comunicar al cliente los fines para los que se vana utilizar dichos datos “llevar a cabo la facturación la Gestión comercial, prospección y cumplimiento de obligaciones fiscales”, cabe recordar de la obligación de mantener los datos contables por los periodos legales que correspondan.
Además de estos fines, deben de comunicarse los derechos que se le asisten (acceso, rectificación, cancelación, y oposición) y el modo de ejecutarlos (Ej. Correo ordinario dirigido al domicilio de la empresa).
“Tengo datos de mis empleados, pero solamente los utilizo para confeccionar las nominas. Además todos estos datos están en soporte papel”
Los datos para gestionar nominas del personal constituyen un fichero de datos de carácter personal y como tal deben de cumplir las obligaciones establecidas en la Ley.
El hecho de no estar informatizados evita la necesidad de cumplir las medidas de seguridad pero como se ha visto no impide la aplicación de la LOPD.
Ya que los ficheros de carácter personal pueden generar un alto riesgo para las empresas que no cumplan con la normativa.
Además de la Gestión de nominas las organizaciones suelen disponer de ficheros de candidatos por medio de curriculum tanto de campañas de selección especifica como de candidaturas espontáneas.
A pesar de existir diversos modos de cumplir con el deber de informar, la mayoría de las empresas omiten esta obligación que puede acarrear importantes sanciones.
Además de cumplir con la obligación legal ¿que otras ventajas puede aportarme la adecuación a la normativa?
Además de dar cumplimiento a una obligación legal y evitar posibles sanciones la adaptación del sistema de información de una empresa brinda en las relaciones comerciales una imagen de trasparencia y legalidad, principalmente de cara a nuestros clientes.
Aun aquellos que no han oído nunca hablar de la protección de datos personales, agradecen la comunicación de la finalidad para la cual son recabados sus datos, o que solicite su consentimiento para ser cedidos en caso de que ello fuera necesario.
Además aquellas empresas que cumplen con la legislación, suelen prestar especial interés en que tanto sus proveedores o colaboradores con los que contraten cumplan con los requisitos legales, ya que su propia imagen o responsabilidad puede resultar comprometida en caso de que una entidad colaboradora incurra en infracción respecto de los datos que trata en virtud de la prestación de un servicio a la primera.
En esta misma línea cabe crear un código tipo el cual denota esmero e interés adicional al momento de tratar los datos personales de sus respectivos titulares.
“Una vez adaptado el sistema de información del sistema ¿cómo evitar que cualquiera de los empleados cree una nueva base de datos o comunique datos sin ningún control? además si un empleado comete una infracción ¿quien carga con la responsabilidad?”
Aunque algunas infracciones pueden ser cometidas de manera voluntaria (para perjudicar a la empresa) en su mayoría son producto de acciones involuntarias consecuencia de una mala información o inexistente formación.
Por tanto los sistemas carecerán de valor si no son cumplidos por aquellos que los traten en última instancia.
Por lo que la formación del personal es uno de los pilares fundamentales de cada persona que de manera directa o indirecta trata esa información.
Por lo que se debe de comunicar las funciones especificas de cada miembro de la empresa con relación a los ficheros así como las consecuencias que acarrea su incumplimiento.
Existen una serie de alternativas para formar a los empleados respecto de los datos formaciones jefes de sector de grupo individuales ETC.
Debemos de tener en cuenta que a pesar de que la empresa puede sancionar al empleado que haya realizado la infracción (incluso con el despido en caso de falta grave) la AGPD sanciona directamente al responsable del fichero (la propia empresa) responsable ante el órgano de control.
Independientemente de las responsabilidades laborales respecto a los puesto de trabajo, pueden originarse otras responsabilidades imputables a directivos ya que estos sujetos pueden incurrir tanto en delitos derivados de la responsabilidad civil contractual como en ilícitos penales entre los que se encuentran los delitos contra la intimidad.