Gestión de la LOPD y el RGPD: Un Pilar Fundamental en la Era Digital

En la era digital actual, la información se ha convertido en un activo invaluable, y la gestión adecuada de los datos personales es esencial. Cada interacción con datos personales en un negocio, desde la información de contacto de un cliente hasta los datos de los empleados, implica una gran responsabilidad. Aunque la mayoría de los empresarios y autónomos son conscientes de la existencia de una ley de protección de datos (la LOPD o, más actualmente, el RGPD europeo), a menudo se piensa que basta con un aviso legal genérico en la web o que solo aplica a grandes empresas. Sin embargo, la gestión inadecuada de datos personales es una de las principales fuentes de riesgo legal y operativo para las empresas.

Cumplir con esta normativa no es solo una formalidad legal; es una necesidad estratégica para generar confianza con clientes, proveedores y empleados. La gestión de protección de datos en las empresas es fundamental no solo para evitar incurrir en una infracción de la normativa vigente y las correspondientes denuncias y sanciones por un mal uso de datos personales, sino también para ganar y mantener la confianza de clientes, empleados y socios.

La Evolución de la Protección de Datos: LOPD 3/2018 y RGPD

La Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPD 3/2018), que adapta la legislación española al Reglamento General de Protección de Datos (RGPD) de la Unión Europea, introduce cambios significativos respecto a la antigua Ley Orgánica 15/1999 de Protección de Datos (LOPD). Las diferencias son muchas y la tónica general es un mayor nivel de exigencia en cuanto a la protección de los datos. Lo más destacable es:

• Desaparece la exigencia del registro de ficheros en la A.E.P.D. y, por tanto, se aplicará el principio de “accountability”, es decir, las entidades han de cumplir y además, ser capaces de demostrar que cumplen, pues ya no existe un registro público donde se demuestre el registro de ficheros, dado que en la LOPD 3/2018 ya no se habla de ficheros sino de actividades de tratamiento.
• En la LOPD 3/2018, ya no existe un documento de seguridad como tal, pues anteriormente se redactaba y quedaba de forma indefinida sin modificaciones, en la mayoría de los casos. Ahora se exige un proceso de protección de datos más vivo y actualizado conforme a la realidad de la empresa, reflejando los cambios que se vayan produciendo a tiempo real.
• Los contratos con los encargados de tratamiento y las cláusulas legales cambian prácticamente en un 100%, aumentando el grado de información de forma considerable.

El Principio de Responsabilidad Proactiva y el Enfoque de Riesgo

Un pilar fundamental de la protección de datos moderna es la responsabilidad proactiva. Este principio se describe como una obligación legal, que supone que el responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el reglamento. El enfoque de riesgo, por su parte, pone la atención en las vulnerabilidades, prioridades a nivel de seguridad y el conocimiento de las posibles amenazas, constituyendo el nuevo foco de acción para las empresas que se esfuerzan por lograr la adaptación a la LOPD.

Otra novedad del nuevo reglamento es el artículo referente a la Protección de datos desde el diseño y por defecto, también como una obligación legal. Esto implica que la protección de datos debe estar incorporada en el ADN de los sistemas de gestión empresarial desde su concepción. Herramientas como la seudonimización, mediante el cifrado de datos, permiten que los usuarios sin permiso para tratar datos personales los vean seudonimizados sin necesidad de configuración adicional.

El Consentimiento Informado

La LOPD 3/2018 indica que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Con la LOPD 3/2018, el consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos, es decir, el llamado “consentimiento tácito” aceptado por la Ley Orgánica 15/1999 de Protección de Datos (LOPD), no se admite en la nueva LOPD 3/2018.

La LOPD 3/2018 prevé que el consentimiento haya de ser explícito en algunos casos, como puede ser para autorizar el tratamiento de datos especialmente protegidos. Se trata de un requisito más estricto, ya que el consentimiento no podrá entenderse como concedido implícitamente mediante algún tipo de acción positiva. Así, será preciso que la declaración o acción se refieran explícitamente al consentimiento y al tratamiento en cuestión. El consentimiento tiene que ser verificable y quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento.

Un dato especialmente protegido es aquel relacionado con el aspecto más íntimo de las personas, al que se le debe prestar una especial atención debido a su sensibilidad. Esta clase de datos reciben una protección legal más fuerte a través de toda una serie de medidas expresas. La responsabilidad final no recae sobre la persona física, sino sobre el responsable del tratamiento, es decir, sobre la empresa.

Nuevos Derechos para los Ciudadanos

La LOPD 3/2018 introduce nuevos elementos, como el derecho al olvido y el derecho a la portabilidad, que mejoran la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros.

El Derecho al Olvido

El derecho al olvido se presenta como la consecuencia del derecho que tienen los ciudadanos a solicitar, y obtener de los responsables del tratamiento, que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita. Asimismo, según la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, que reconoció por primera vez el derecho al olvido recogido ahora en el Reglamento Europeo, supone que el interesado puede solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos.

El Derecho a la Portabilidad

Por su parte, el derecho a la portabilidad implica que el interesado que haya proporcionado sus datos a un responsable de tratamiento, que los esté tratando de modo automatizado, podrá solicitar recuperar esos datos en un formato que le permita su traslado a otro responsable de tratamiento.

Niveles de Seguridad y su Implementación

Los niveles de seguridad LOPD marcan las exigencias mínimas que deben aplicar las empresas al tratar datos personales. Su correcta implantación es clave para cumplir con la normativa. Los niveles de seguridad LOPD son un conjunto de medidas técnicas y organizativas clasificadas en tres grados -básico, medio y alto- que deben adoptarse en función del tipo de datos personales tratados. El Reglamento establece tres niveles, cada uno con medidas específicas acumulativas. Se aplica a todos los ficheros o tratamientos de datos personales.

Cuando en un mismo sistema coexisten ficheros de distintos niveles, estos pueden segregarse para aplicar medidas diferenciadas. Todas las medidas adoptadas deben documentarse y justificarse en un documento de seguridad. Los niveles de seguridad LOPD permiten aplicar las medidas necesarias para proteger los datos personales en función de su sensibilidad. Aunque el RGPD actualiza el enfoque hacia la evaluación de riesgos, esta clasificación sigue siendo útil.

En la gestión diaria de empresas y asesorías, el cumplimiento de la LOPD no debe dejarse al azar. Por ejemplo, TeamSystem Contasol es una solución contable que permite cumplir con los requisitos de protección de datos de forma eficaz.

Tabla de Niveles de Seguridad LOPD

Gestión de la Protección de Datos: Interna vs. Externa

¿Quién Gestiona la Protección de Datos?

Dado el tiempo y dedicación que puede exigir la gestión de la protección de datos, lo habitual es que las empresas u organizaciones tengan a una persona responsable y dedicada a las tareas relativas a la gestión de la protección de datos en la entidad o, en su defecto, un servicio de gestión de protección de datos contratado a una consultoría especializada.

Consecuencias de una Mala Gestión

Son numerosos los casos en los que, de forma no intencionada, se produce una vulneración por una mala actuación por parte del personal. Pero no solo se trata de las sanciones, también de la imagen de la empresa y la confianza de empleados y, especialmente, de los clientes. Adaptarse y gestionar la protección de datos es algo que no quieres hacer mal, porque las consecuencias pueden ser graves. La normativa de protección de datos es bastante estricta en algunos aspectos y la AEPD cada vez impone más sanciones.

Aunque adaptarse uno mismo a la LOPD es posible, se requiere tiempo y conocimientos específicos para mantener un nivel de cumplimiento óptimo. Por ello, la mejor opción es un servicio externo, que no solo se ocupará de realizar la adaptación a la LOPD, sino que, llevará una completa gestión de la protección de datos de tu empresa o negocio, con asesoramiento continuo y personalizado, así como el mantenimiento del cumplimiento de la normativa. Además, también podrás contratar el servicio de Delegado de Protección de Datos.

Servicios Clave en la Gestión Externa de la Protección de Datos

Una empresa de gestión de la protección de datos de confianza puede ofrecer una adaptación RGPD y LOPD-GDD personalizada, sencilla y asequible, con profesionales contrastados a tu servicio. Algunos de los servicios clave incluyen:

• Elaboración de la documentación necesaria para cumplir con el deber de informar: Siempre que se lleve a cabo un tratamiento de datos personales, se debe informar a los interesados (clientes, empleados, usuarios, etc.) sobre varios aspectos relativos a dicho tratamiento; como para qué se van a usar sus datos (finalidad), cuánto tiempo se conservarán los datos, si se van a ceder o comunicar a terceros, qué legitimidad se tiene para tratarlos y sobre los derechos que asisten a los interesados.
• Elaboración de la documentación para acreditar el cumplimiento de la normativa: El primer paso y, quizás, el más importante. Aunque el concepto exacto evolucionó con el RGPD (pasando del documento de seguridad a un enfoque de responsabilidad proactiva que incluye el Registro de Actividades de Tratamiento), la esencia es la misma: documentar cómo se tratan los datos.
• Asesoramiento y asistencia en caso de brecha de seguridad: Un pilar fundamental de la protección de datos moderna es la capacidad de respuesta ante incidentes. Por muy bien preparadas que estén las empresas, las brechas de seguridad pueden ocurrir.
• Asesoramiento y asistencia en la gestión de derechos de los interesados: Tu solución de gestión empresarial debe incluir una nueva gestión de Derechos ejercidos por los interesados, para el registro de los derechos que se han ejercido.
• Elaboración de contratos de encargo de tratamiento.
• Auditorías de protección de datos periódicas: Para comprobar el nivel de cumplimiento de la normativa y solucionar problemas que hayan podido detectarse.
• Mantenimiento y actualización de la gestión LOPD y RGPD: Tanto la gestión de la LOPD en empresas como la LOPD para autónomos implica no solo adaptarse a la normativa, sino llevar a cabo un mantenimiento LOPD de la misma; es posible que el negocio crezca y se trate con mayores volúmenes de datos, o que se inicie una nueva actividad comercial que requiera nuevos tratamientos de datos personales o que se produzcan cambios legislativos o lleguen nuevas leyes. La protección de datos no es un proyecto puntual, sino un proceso continuo. Las amenazas evolucionan, la tecnología cambia y tu negocio también lo hace.
• Capacitación del personal: Capacitar al personal sobre la protección de datos y cómo sus acciones diarias impactan en la seguridad de la información. El cumplimiento no se limita a la documentación interna. Es vital asegurar que todas las personas que acceden a datos personales bajo tu responsabilidad (empleados, colaboradores, proveedores) se comprometan a mantener la confidencialidad.

Gestión del Equipo de Información

En un ERP pueden existir más de 20.000 campos con datos personales. Estar preparado para la adaptación a la LOPD empieza por identificar cuáles son esos campos. También debería incluirlo cuando existan categorías especiales de datos personales, según la definición de dato personal en el nuevo reglamento. Para ello, tu sistema debe incluir las herramientas necesarias para cumplir con los principios de responsabilidad proactiva y enfoque de riesgo. Además, sería interesante que estas mismas herramientas te indicaran cómo hacer cada uno de los ajustes necesarios para garantizar que se han tomado las medidas técnicas apropiadas en la configuración del ERP, tal y como indica la normativa.

Como parte del principio general de responsabilidad activa, el responsable y el encargado del tratamiento deben llevar un Registro de actividades. Además, debe incluir herramientas para hacer el seguimiento, verificación y análisis de los tratamientos de datos personales. De esta forma, permitirá consultar todos los accesos y modificaciones de datos personales. El reglamento especifica que han de demostrarse estas medidas aplicadas (protección de datos desde el diseño y por defecto). Herramientas como ésta proporcionan las evidencias automáticamente, detallando toda la actividad referente a datos personales realizada por un usuario entre dos fechas, todos los tratamientos de los usuarios en un periodo de tiempo o la actividad realizada sobre un objeto del ERP.

Funciones y Obligaciones del Personal en la Gestión de Sistemas

El personal de administración y operación de sistemas debe recibir la formación necesaria para realizar las labores de gestión en los sistemas implicados, disponer de las normas y procedimientos para la realización de las mismas y ser consciente del compromiso con la confidencialidad e integridad de los datos del cliente.

1. Identificación y autenticación: Mantener una relación actualizada de usuarios con acceso autorizado a la administración y operación de los sistemas de información, existiendo un procedimiento de asignación, distribución y almacenamiento de contraseñas de acceso que garantiza su confidencialidad e integridad, implantando mecanismos para la identificación de forma inequívoca y personalizada de estos usuarios. Asimismo, se indicará el acceso autorizado para cada uno de los usuarios, además de la lista de personal con autorización para conceder, alterar o anular el acceso autorizado sobre datos y recursos relativos al servicio.
2. Control de acceso: Los empleados deben tener acceso autorizado únicamente a los recursos necesarios para el desempeño de sus funciones de administración y operación.
3. Gestión de soportes: Se debe realizar la gestión e inventario de los soportes entregados por el Cliente o resultantes de la realización de copias de respaldo. Asimismo, deben implementarse medidas para la destrucción y desecho de soportes. La salida de estos soportes fuera de los locales debe realizarse siempre y cuando exista autorización previa del cliente.
4. Copias de respaldo y recuperación: Realizar copias de seguridad de la información del Cliente según el modelo de servicio de Backup contratado.
5. Registro de accesos: El control de acceso físico debe disponer de un registro que permita determinar el usuario que accedió en un determinado momento a las dependencias.