La importancia del mantenimiento en reglamento LOPD

Según pasa el tiempo y se desarrolla en España el cumplimiento de la Ley Orgánica de Protección de Datos (LOPD) va quedando más patente la importancia de la continuidad del mantenimiento en cualquier servicio que pretenda ayudar a una empresa en este área normativa.

Cuando la ley se publicó en el BOE a finales de 1999 resulta lógico que en principio el primer paso de las adaptaciones a la nueva legalidad hicieran especial énfasis en los aspectos documentales: había que dar de alta ficheros, incluir cláusulas en los documentos de toma de datos, preparar un documento de seguridad, firmar contratos de tratamiento de datos con terceros, etc… Se trataba de un papeleo nuevo en cualquier empresa y por tanto resultaba imprescindible proceder a su confección rigurosa e introducir en los procesos de la compañía la costumbre de mantener actualizados aquellos documentos que recogían situaciones cambiantes, como los listados de personal con acceso a datos, de copias de seguridad, de salidas de soportes informáticos, etc…

Sin embargo, en el andar del desarrollo de la LOPD, a través de los informes jurídicos y procedimientos sancionadores de la Agencia Española de Protección de datos (AEPD) se ha ido viendo como los aspectos relacionados con el cumplimiento diario de la ley adquirían mayor importancia que la burocracia inicial.

Basta repasar los tipos de sanciones que ha impuesto en estos años la AEPD para comprobar que la inmensa mayoría se basan en las denuncias de ciudadanos que obviamente no reclaman la mayor o menor actualización de determinado documento, aspecto que en ningún caso pueden conocer, sino la vulneración concreta de alguno de sus derechos. Tener un Documento de Seguridad impecable no va a evitar una sanción si una empresa recibe una denuncia por enviar spam (aunque es probable que sirva para minorar el importe de la multa).

Entiéndase que en ningún caso estamos diciendo que no se deba prestar atención a la actualización documental, al contrario, el Documento de Seguridad debería ser el eje en el que basar toda la actividad de gestión de la información, pero lo que si queremos resaltar es que si lo escrito no se lleva a cabo, su utilidad será muy reducida.

Además hay que considerar el terreno tan variable en el que nos movemos: la LOPD es por su propia esencia una ley en constante proceso de cambio y revisión al tener que regular una materia como el uso de nuevas tecnologías que a su vez evoluciona sin cesar. Como hemos comentado en este blog, ya está en marcha una nueva regulación que va a suponer un vuelco en la situación legal respecto al reglamento LOPD.

Estos son algunos de los casos en los que el cumplimiento de la LOPD implica una actuación concreta más allá del papeleo inicial:

• Variación del personal con acceso a datos de la empresa (alta o baja de personal).
• Variación de cualquier dato fiscal o de contacto de la empresa (C.I.F, dirección, teléfono, razón social, email de contacto, etc.).
• Variación en los soportes informáticos (alta o baja de un equipo informático con acceso a datos) o en las ubicaciones físicas de la empresa (cambio de dirección de las existentes o apertura de nuevas oficinas).
• Creación de algún nuevo fichero con datos personales (por ejemplo: videovigilancia).
• Modificación en el tipo de datos que se recogen sobre ficheros ya existentes (cuando se añaden fechas de nacimiento u otros datos de los que anteriormente no se disponía).
• Contratación de empresa externa de servicios con acceso a las bases de datos. (asesorías, servicio informático, hosting web, etc).
• Contratación de empresa externa que aunque no tenga acceso a datos, presta su labor en las instalaciones de la empresa (vigilantes de seguridad, servicio externo de limpieza, etc).
• Ante cualquier incidencia informática que pueda haber afectado a los datos.
• Ante la solicitud de una persona física con respecto a sus derechos de acceso, rectificación, cancelación y oposición.
• Ante cualquier inspección o denuncia, o en general cualquier comunicación recibida de la Agencia Española de Protección de Datos (AEPD).

Exactamente lo mismo ocurre en el terreno en el que ByeFile trabaja: destrucción documental no es comprarse una destructora de papel y un par de contenedores y dejarlos al alcance de los empleados en las oficinas: hay que garantizar que tanto destructoras como contenedores cumplen las exigencias legales, que el material será recogido y transportado con todas las garantías de confidencialidad y que la destrucción final será efectiva y certificada.

Confíe siempre en profesionales y no ponga en riesgo la viabilidad de su empresa o negocio.