Pon los datos a buen recaudo Cómo adaptar una base de datos de carácter personal a la ley de protección de datos (LOPD)

Qué tienen en común nóminas, pacientes, libro de recetario de las farmacias y comunidades de propietarios. Todos guardan una pequeño tesoro, los datos personales, protegido por la LOPD, cuyo registro en la Agencia de Protección de Datos es de obligado cumplimiento para empresas y autónomos. Pero ¿cómo adaptarse a esta ley? ¿Y cómo gestionar esa base de datos?   

Lo primero que debes saber es que la LOPD protege un derecho fundamental, razón por la que los afectados deben ser informados “de forma expresa, precisa e inequívoca” del uso de esos datos, indicándole la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición.

¿Cómo? Si utilizas cuestionarios u otros impresos, deberás incluir de forma legible esta advertencia. Tus clientes, pacientes y proveedores tienen un plazo máximo de 10 días para rectificar, cancelar u oponerse al tratamiento de esos datos. Existen algunas excepciones en las que puedes denegar esos derechos. Por ejemplo, para proteger los derechos y libertades de terceros “o por la necesidad de las investigaciones que se estén realizando”. 

Una vez tienes el consentimiento expreso, puedes tratar esos datos en un fichero que deberás notificar e inscribir en la Agencia Española de Protección de Datos. Lo puedes hacer telemáticamente a través de su web (www.agpd.es). E incluye datos del responsable del fichero; unidad ante la que ejercitar los derechos de oposición, acceso, rectificación y cancelación; identificación y finalidad y usos previstos del fichero, origen y procedencia de los datos, tipos de datos, estructura y organización del fichero y, en su caso, los destinatarios de cesiones.

Implicar a todos

No obstante, como recuerda Félix Haro, coordinador de protección de datos de Sage, “no sólo hay que adaptar la base de datos a la LOPD, sino todo el funcionamiento de la empresa”. Para la gestión de la base de datos, este experto aconseja “cualquier programa  CRM que aplique las disposiciones de la LOPD”.     

Tres niveles de medidas de seguridad

Según los datos de que se trate existen tres niveles de medidas de seguridad. Básico, para todos los ficheros de carácter general. Medio, para los relativos a la comisión de infracciones administrativas o penales y “aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos”. Nivel alto, los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual; los recabados para fines policiales y los derivados de actos de violencia de género. También se incluiría, según el Servicio Jurídico de la AGPD, “el fichero que contenga datos del perfil psicológico de los afectados y que hagan referencia a la existencia de anomalías o especialidades de la personalidad del sujeto”, al considerarse datos relacionados con la salud.

Las medidas se recogen en el reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre. Son estas:

– Nivel básico. Medidas de identificación y autentificación que impidan el acceso de personas no autorizadas a la documentación, registro de incidencias, control de acceso, gestión de soportes y documentos y establecer un procedimiento para la recuperación de datos.

– Nivel medio. Además de las medidas básicas, designar un responsable de la seguridad y realizar una auditoría interna o externa, al menos cada dos años, que verifique el cumplimiento de la custodia de esos datos.

– Nivel alto. Las medidas de los niveles básico y medio, a las que se suman la obligatoriedad de que los  armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados estén en áreas cerradas con llave; destrucción de copias; medidas que impidan la manipulación de esa documentación en caso de traslado y, por último, encriptar la transmisión de datos de carácter personal a través de redes públicas e inalámbricas.

Fuente: Emprendedores (27/06/2013)