Sanciones para los que no cumplan con la normativa
- “Mi empresa tiene implantada la ISO 27001, no pasa nada”. Primer error.
Tener implantado un Sistema de Gestión de Seguridad de la Información y/o tener una certificación en ISO 27001 no significa que cumples la LOPD.
- “Esta base de datos ha sido elaborada desde Internet gracias a los datos publicados en redes sociales”. Segundo error.
Internet no es una fuente accesible al público. La publicación de un sinfín de datos de carácter personal a través de redes sociales no implica que legalmente puedas utilizarlos, y menos con fines lucrativos.
Sin embargo, la LOPD no se aplica a aquellos perfiles de usuarios que tienen más de 500 amigos en sus redes sociales, pues se considera que al superar esa cifra tan elevada ya no tiene vida privada y no supone una “actividad doméstica o familiar”.
- “Sonría, le estamos grabando”. Tercer error.
La videovigilancia, según doctrina de la Audiencia Nacional, no cabe tratar de ampararla en fines distintos a la seguridad (salud, higiene, etc.)
Ha de ser proporcionada, debe existir una ponderación entre la razón de la naturaleza de la compañía y la forma en que se muestran las imágenes, si son o no son igualmente visibles sin la necesidad de un monitor.
No se puede grabar la vía pública, ni siquiera las aceras ni la calzada colindante. Tampoco se pueden captar imágenes de vestuarios, ni de duchas, taquillas o áreas de descanso.
Y por supuesto, tampoco es válido cualquier cartel informativo, pues han de cumplirse los requisitos establecidos tanto en el art. 5 LOPD como en la Instrucción 1/2006 sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras. Todos ellos consolidados en la Guía de videvigilancia publicada por la AEPD el pasado año 2014.
- “También necesito los datos relacionados con blablablá, por si acaso”. Cuarto error.
El principio de calidad de los datos es uno de los principios más vulnerados.
Según el artículo 4 de la LOPD y artículos 8 a 11 del Reglamento que la desarrolla, siempre debemos tener en cuenta la finalidad y la utilización no abusiva de los datos que serán objeto de tratamiento.
El tratamiento sólo podrá ser efectuado cuando los datos sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para los que se hayan obtenido.
- “El responsable de seguridad ha delegado su función al último empleado que se ha incorporado a nuestra empresa y los documentos en papel se encuentran en el armario del pasillo”. Quinto error.
La figura del responsable de seguridad, junto al responsable del fichero, encargado del tratamiento y cesionario, constituyen los sujetos obligados más importantes de la LOPD.
Razón por la que puede existir un “comité de LOPD” donde sean varios empleados los encargados de salvaguardar el tratamiento de los datos. Normalmente suelen ser aquellas personas que tienen conocimientos jurídicos, sensibilizadas con el asunto y conocedoras de los riesgos que conlleva no aplicar las medidas de seguridad reguladas en el TÍTULO VIII del Reglamento 1720/2007.
En cualquier caso, el responsable de seguridad ha de ser una persona que conste como tal, de manera formal y por escrito, en el Documento de Seguridad.