Por Albert Salvador LaFuente
Cuando decidimos implantar la LOPD (Ley Orgánica de Protección de Datos de Carácter Personal) en nuestras organizaciones, cometemos una serie de errores que no nos podemos permitir.
Muchas veces estos errores son debidos a la falta de información y conocimiento por parte del personal de la organización, y en otras ocasiones se deben al mal asesoramiento recibido.
Los principales errores que nos encontramos en las entidades que “creen” que tienen implantada la LOPD son los siguientes:
- Muchos empresarios piensan que si uno de sus trabajadores hace un curso de protección de datos, ya sea a través de la Fundación Tripartita o bien a través de empresas privadas de formación, ya cumplen con la normativa en materia de protección de datos de carácter personal. Esto es un grave error, ya que realizar una formación no implica poner en marcha los mecanismos de adecuación de la empresa a la LOPD.
- Avisos legales inexistentes. Los avisos legales son necesarios para informar a los clientes del tratamiento que la organización va a realizar sobre sus datos.
- No pedir el consentimiento expreso. Actualmente, para poder tratar los datos de carácter personal del afectado, cuando se trata de datos de nivel medio y alto de seguridad, es obligatorio el consentimiento expreso e informado. Con la nueva legislación, este consentimiento expreso se convertirá en todos los casos imprescindible, debiendo de ser fruto de una acción clara y proactiva por parte del afectado, con lo que no será suficiente el hecho de considerar que si una persona no manifiesta lo contrario, está dando su consentimiento. De hecho, será el responsable del tratamiento el encargado de demostrar que ese consentimiento expreso existe considerándose ilícitos los tratamientos en los que no exista.
- Cesión de datos. A veces las empresas ceden los datos a otras por diversos motivos, incluido los onerosos (venta de datos). .Esta cesión de datos solamente puede producirse en el caso de que el responsable haya informado previamente al afectado y, además haya recogido consentimiento para ello. Además, esta práctica suele ser la empleada para cometer delitos como el phising.
- Prestación de servicios externos. Cuando en nuestra empresa externalizamos servicios que no llevamos a cabo internamente, y además esos servicios implican un tratamiento de datos personales, debemos asegurarnos, como responsables del tratamiento, de que dichas empresas externas nos garantizan que realizarán los servicios que les encomendamos siguiendo estrictamente nuestras indicaciones, y que se comprometen a garantizar las medidas de seguridad y privacidad que exige la ley en materia de protección de datos de carácter personal, mientras realizan el tratamiento. Esto suele materializarse mediante la especificaciones en el contrato de servicios, hecho que en muchos casos no se produce.
- Falta de transparencia en la finalidad del tratamiento de los datos de carácter personal. Cuando damos nuestros datos a una organización para que nos presten un determinado servicio, en muchas ocasiones, no nos informan del uso que van a realizar con esos datos ni de la finalidad de dicha recogida.
- Mecanismos de seguridad insuficientes. Para poder cumplir correctamente con la LOPD, nuestra organización debería de tener unos estándares de seguridad a la hora de realizar el tratamiento de los datos. En la mayoría de los casos, esta seguridad no se cumple, bien por falta de protocolo o bien por desinterés por parte de los trabajadores.
- Falta de formación. La formación a nuestros trabajadores en materia de protección de datos, es imprescindible si pretendemos que cumplan los estándares de seguridad de nuestra organización con respecto al tratamiento de datos. Dicha formación debe de ser acorde con el protocolo de la empresa, no sirve para nada formar al trabajador sólo en base a la normativa vigente actual, si luego no sabe como realizar la recogida de datos en su puesto de trabajo.
- Como habéis podido observar, adaptar correctamente vuestras organizaciones a la LOPD, requiere tener un protocolo de actuación a la hora de realizar tratamientos de datos de carácter personal.
Estar correctamente asesorados es imprescindible para poder cumplir correctamente con la normativa vigente en materia de protección de datos.
Este artículo fue publicado en su Blog Fraude Interno, el cual es un Blog creado con el objetivo de compartir conocimientos e inquietudes relacionados con el fraude interno, tanto con profesionales de la auditoria interna como con cualquier empresario o directivo que no disponga de un departamento de auditoria interna en su organización. Para mayor información debes visitar: https://fraudeinterno.wordpress.com/.
¿Te ha gustado la información? ¡Compártela con otro auditor interno!
No hay comentarios:
Publicar un comentario