lunes, 30 de agosto de 2010

Guía implantación LOPD en Pymes (VII)

En este post trataré sobre los procedimientos que considero más relevantes implantar en la adecuación de pymes y micropymes a la LOPD.


Tal y como se indicó en el post anterior, el Documento de Seguridad constituye la entrada para las actividades a realizar en esta fase y, por tanto, todos los aspectos organizativos a implantar deberán estar convenientemente desarrollados en dicho documento.

Básicamente, esta segunda actividad consistirá en la implantación de los correspondientes procedimientos, incluyendo la creación de los registros y listas pertinentes (registro de incidencias, registro de entrada/salida de soportes, etc.). La implantación de las medidas y normas de seguridad asociadas se abordará en la tercera y última actividad de esta fase.

Los procedimientos más importantes que deberán ser necesariamente implantados son los siguientes:

1º) Acceso, rectificación, cancelación y oposición: este procedimiento tendrá como objetivo garantizar el ejercicio, ante la propia organización y por parte de los ciudadanos (incluidos los empleados), de los derechos que la Ley les reconoce a estos últimos y deberá observar lo indicado en el Título III de RDLOPD, en cuanto a: condiciones generales para su ejercicio, forma de ejercitarlos, plazos, respuesta, etc. Además, es importante crear el registro de acceso, rectificación, cancelación y oposición para recoger los derechos ejercidos por parte de los afectados.

2º) Control de acceso a recursos: este procedimiento tendrá como objetivo tanto garantizar que los usuarios tengan acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones, como el control de dichos accesos autorizados.

Se trata por tanto de seguir los pasos establecidos en la organización, por parte de las personas autorizadas para ello, para autorizar, modificar o revocar los permisos asignados a los usuarios para el acceso a los recursos y, además y como resultado de ello, mantener permanentemente actualizada la relación de usuarios y perfiles de usuarios que exige el RDLOPD.

La palabra recurso debe entenderse en un sentido amplio y, como tal, referida tanto a recursos asociados a ficheros o tratamientos de información automatizados (cuyo control requerirá las actualizaciones correspondientes sobre códigos de usuario, contraseñas, permisos de acceso a aplicaciones o a funcionalidades de las mismas, etc.), como a elementos o dispositivos de almacenamiento de documentos, etc., y, si se dispone de datos a partir de nivel medio, a los lugares donde se hallen instalados los equipos físicos que den soporte a los sistemas de información (que requerirán de la puesta a disposición o retirada al usuario de los medios establecidos para el acceso a los mismos - llaves o dispositivos equivalentes, etc. - , en función de si se trata de una concesión o revocación de autorización de acceso, respectivamente).

3º) Notificación, gestión y respuesta ante incidencias: el objetivo de este procedimiento consistirá en mantener actualizado el registro de las incidencias que afecten o puedan afectar a los datos de carácter personal, de conformidad con lo establecido en el RDLOPD, y como herramienta imprescindible para subsanar y prevenir las anomalías que afecten o puedan afectar a su seguridad.

El detalle del contenido mínimo de dicho Registro se recoge en los artículos 90 (nivel básico) y 100 (nivel medio) del RDLOPD, siendo también de aplicación a las incidencias que se produzcan en los ficheros no automatizados.

Se iniciará con la detección y notificación de la incidencia por parte de un usuario, se continuará con el registro, análisis y resolución de la misma, y finalizará con la comunicación de su resolución y el cierre de la misma.

Una incidencia es cualquier anomalía que afecte o pueda afectar a la seguridad de los datos de carácter personal, entendida ésta bajo sus tres vertientes de confidencialidad, integridad y disponibilidad de los datos, y deberán incluirse entre las mismas cualquier incumplimiento de la normativa desarrollada en el Documento de Seguridad.

4º) Gestión de soportes y documentos: el objetivo de este procedimiento será doble: por un parte, asegurar la salida fuera de la organización de soportes y documentos con DCP de una forma controlada, mediante la autorización previa, por parte de las personas autorizadas para ello, de aquellas salidas no autorizadas expresamente en el Documento de Seguridad; y, por otra parte, mantener actualizado el registro que reglamentariamente se exige en el caso entradas y salidas de soportes y documentos con DCP a partir de nivel medio.

El detalle de las exigencias respecto a la entrada y salida de soportes y documentos se encuentra recogido en los artículos 92 (nivel básico) y 97 (en lo que respecta al registro de entradas y salidas, caso de ser exigibles las medidas de nivel medio) del RDLOPD.

Se iniciará con la necesidad de envío fuera de la organización de soportes y documentos con datos de carácter personal cuya salida precise de autorización, o con la recepción o salida de soportes y documentos con datos de nivel medio o alto, y finalizará, en aquellos casos que proceda, con la correspondiente autorización o denegación de salida y/o con la actualización del registro de entrada y salida de soportes y documentos.

5º) Solicitud de pruebas con datos reales: el objetivo de este procedimiento será garantizar que las pruebas con datos reales que sea necesario realizar antes de la implantación o modificación de los sistemas de información se lleven a cabo garantizando el nivel de seguridad correspondiente al tratamiento y previa copia de seguridad de los datos de carácter personal afectados, además de llevar el registro de las mismas que se exige en el RDLOPD. Ver apartado 4 del artículo 94 del RDLOPD.

6º) Realización de copias de respaldo de los ficheros o tratamientos automatizados: el objetivo de este procedimiento será recoger la forma de actuación para la realización de las copias de respaldo, incluyendo su identificación e inventariado y su almacenamiento.

Deberá aplicarse tanto a las copias de seguridad planificadas como a aquellas que se generen como consecuencia de necesidades esporádicas (por ejemplo: pruebas con datos reales).

7º) Recuperación de datos de los ficheros o tratamientos automatizados: el objetivo de este procedimiento será recoger la forma de actuación para la realización de los procesos de recuperación de datos que sea necesario ejecutar como consecuencia de producirse incidencias que conlleven este tipo de actuaciones. Ver apartados 2 y 3 del artículo 94 (nivel básico), artículo 100 (nivel medio) y artículo 102 (nivel alto) del RDLOPD.

Se iniciará con el análisis de la recuperación de datos a efectuar y finalizará con la efectiva recuperación de los mismos garantizando su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.


Además de los procedimientos citados, otros procedimientos que recomiendo implantar son los siguientes:

1º) Mantenimiento y reparación del parque informático: el objetivo de este procedimiento será, tanto asegurar la salida fuera de la organización de una forma controlada de los equipos con datos de carácter personal que sea necesario mantener o reparar en instalaciones ajenas, mediante la autorización previa por parte de la persona autorizada para ello, como asegurar que antes de su salida se realiza una copia de seguridad de dichos datos y se realiza el transporte adoptando las medidas necesarias para la protección de la información.

Se iniciará con la comunicación a la persona o personas designadas de la necesidad de mantenimiento o de reparación de un una avería hardware de un equipo con datos de carácter personal y finalizará con la realización de las tareas de mantenimiento que proceda o la reparación del mismo y, si se precisa la realización de dichas tareas en locales ajenos a la empresa, el registro de la entrada del equipo.

2º) Actualización del Documento de Seguridad: en el apartado 7 del artículo 88 del RDLOPD se exige la permanente actualización del Documento de Seguridad. Por tanto, este procedimiento se iniciará con la necesidad de actualizar el Documento de Seguridad, continuará con las actualizaciones pertinentes y, si se precisa, se llevarán a cabo las sesiones de formación que corresponda, y finalizará con la difusión de los cambios realizados entre el personal afectado.


Hasta aquí este post sobre la implantación de los procedimientos que recomiendo implantar en pymes y micropymes. Como se ha indicado al principio, todos ellos deberán estar convenientemente detallados en el Documento de Seguridad (elaborado en la fase 2) y, por tanto, esta actividad consistirá en la puesta en marcha de dichos procedimientos (puesta a disposición de los usuarios de formularios de solicitud, registros, etc. que correspondan) y en la exigencia de su utilización y verificación del correcto uso de los mismos.

Hay que tener en cuenta que la implantación de estos procedimientos implicará la implantación de ciertas normas de seguridad asociadas, tales como: permisos sobre recursos, etiquetado de soportes y documentos, transporte de soportes y documentos, etc., y que deberán también estar convenientemente reflejadas como tales en el Documento de Seguridad.


Para finalizar esta serie de posts, en el siguiente y último trataré sobre la implantación de las principales medidas de seguridad, tanto de índole físico como lógico, y de otros aspectos asociados de la normativa de seguridad.

26 comentarios:

  1. Hola Mikel, la verdad que se agradece encontrar una guía tan útil y clara como la que acabas de exponer. Me gustaría que me echases una mano, ya que estoy inplantando la LOPD en mi empresa y tengo varias dudas.
    1) Todos mis clientes y proveedores son autónomos ó empresas (sociedades) y mi única relación con ellos es de caracter comercial. ¿tengo la obligación de aplicar la LOPD a sus datos?
    2) ¿Tengo que entregar a mis empleados algún formulario para que me firmen acerca de sus datos, si yo únicamente los uso para las nóminas?
    3) Si los datos que tengo de mis empleados sólo los uso para el contrato, nómina,..¿Valdría aplicar un nivel de seguridad básico?
    Espero que me puedas ayudar. Gracias.
    Manuel

    ResponderEliminar
  2. Buenas tardes Manuel:
    Paso brevemente a contestar a tus preguntas (encantado de ayudarte en la medida de mis posibilidades):
    1) Sí, tienes la obligación de aplicar la LOPD a sus datos, con independencia de que sólo mantengas con ellos una relación estrictamente comercial.
    2) Sí, tienes que informarles de todo aquello que establece la LOPD en su artículo 5 (Deber de informar). Esto en cualquier caso. Si la relación se ciñe exclusivamente al mantenimiento, control y desarrollo de la relación laboral (como parece ser el caso), no tendrás necesidad de recabar su consentimiento para el tratamiento o cesiones de los datos (autoridades tributarias, organismos de las seguridad social, bancos o cajas para el pago de salarios, etc.). Pero bien entendido que sí tienes la obligación de informar (para eso suelo recomendar hacer un anexo al contrato de trabajo, donde se les informe de todo esto y, además, se les recuerde el deber de secreto de los datos que pudieran conocer en el trabajo).
    3) Sí, incluso aunque tengas, por ejemplo, el grado de minusvalía de alguno de ellos (que es un dato de salud).
    Un saludo, espero haberte ayudado en algo y, si te surge alguna duda más o quieres ampliar estas respuestas, no dudes en preguntar.
    Un saludo,

    ResponderEliminar
  3. Buenas tardes Manuel: Respecto a la primera pregunta se me ha olvidado comentar que respecto a las empresas o sociedades(personas jurídicas) sólo tendrás que aplicar la LOPD a las personas de contacto de las mismas (personas físicas). El ámbito de aplicación de la LOPD es únicamente el de los datos correspondientes a personas físicas identificadas o identificables.

    ResponderEliminar
  4. Gracias por tu pronta respuesta. Las dudas 2 y 3 ya las tengo claras, pero en cuanto a la 1 no mucho, te comento el por qué. En el libro sobre la LOPD que estoy usando pone lo siguiente:
    " No se encuentran dentro del ámbito de aplicación de la LOPD, y por tanto no deben notificarse, los tratamientos referidos a personas jurídicas, ni a los ficheros que se limiten únicamente a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales. Tampoco deberán notificarse los ficheros con datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros". Yo interpreto que los datos de personas jurídicas (incluídos sus empleados) están exentos, y los autónomos también cuando es por fines comerciales. Pero no se,.........
    En cuanto a los datos que manejo son los de la empresa, Nombre de la empresa, CIF ó NIF, dirección postal, número de cuenta corriente, teléfono, fax,.... En el caso de aplicar a estos datos la LOPD, ¿Tengo que hacer alguna notificación a todos mis clientes y proveedores?
    Muchas gracias y perdona las molestias.
    Manuel

    ResponderEliminar
  5. Buenas Manuel:
    Efectivamente, ésta es una pregunta muy habitual y vas muy bien encaminado. No obstante, en ocasiones (creo que también muy habitualmente) se dispone de datos de contactos que no entran dentro de la relación que mencionas (direcciones particulares, teléfonos móviles o direcciones de correo electrónico también particulares, fecha de cumpleaños, etc., y otros muchos - referidos al caso de autónomos (cuentas bancarias, facturación, bienes y servicios suministrados o que se le suministran, etc.), que son personas físicas y, por tanto, entran plenamente en el ámbito de aplicación de la Ley -) que hacen aconsejable, cuando no obligatorio, que se declaren estos datos (como un fichero diferenciado, "CONTACTOS", y/o formando parte integrante de los ficheros de "CLIENTES" y/o "PROVEEDORES").
    Por tanto, por si acaso, yo te recomendaría declarar estos datos. Además, Hay que tener en cuenta que serían ficheros de nivel básico y, por tanto, las medidas de seguridad a implantar sobre ellos no serían muy complejas.
    Un saludo,

    ResponderEliminar
  6. Así da gusto, muchas gracias Mikel. Por último, ¿Es obligatorio informar ó notificar a todos mis clientes y proveedores, uno por uno, tanto empresas como autónomos? Como sea así, menudo lío que me espera, porque tendría que mandar 300 y pico cartas.
    Un saludo y gracias por todo
    Manuel

    ResponderEliminar
  7. No. No obstante, si recabas datos de clientes y/o proveedores (personas físicas) mediante formularios u otros impresos, página web o mediante correo electrónico,... deberás poner la leyenda correspondiente para informarles de lo que indica el mencionado artículo 5 (Deber de informar).
    Un saludo,
    Mikel

    ResponderEliminar
  8. Muchas gracias por tu ayuda, ha sido un placer. Por cierto, ¿dónde puedo encontrar un modelo de documento de seguridad de nivel básico y modelos de textos para adjuntar a los documentos?
    Un saludo
    Manuel

    ResponderEliminar
  9. Buenas Manuel:
    Los modelos de Documentos de Seguridad, y otra documentación relacionada, los puedes encontrar en la página web de la Agencia Española de Protección de Datos y en la página web de la Agencia de Protección de Datos de la Comunidad de Madrid (además, es posible, que los encuentres en las páginas web de otras autoridades de control de ámbito autonómico, y en muchas otras webs sobre este tema).
    En cuanto a modelos de textos a adjuntar también es posible encontrarlos en muchas páginas web.
    Yo, si quieres, te puedo pasar algunos.
    Un saludo,

    ResponderEliminar
  10. Buenas tardes Mikel:
    Estoy intentando implantar la LOPD en la empresa en la que trabajo y su blog me está siendo de gran ayuda pero tengo una duda importante:
    Los ficheros deben establecer mecanismos que permitan la identificación de forma inequívoca y personalizada, mi pregunta es, ¿esto se cubriría solamente con el nombre de usuario y la contraseña al iniciar sesión? Si con esto solamente no se cubren las necesidades de la AEPD, ¿añadiendo ademas una contraseña a cada una de las carpetas bastaría?
    Si no es así, ¿hay alguna forma de implantar a cada una de las carpetas un nombre de usuario con contraseña?
    Muchas gracias de antemano.
    Laura Rodríguez.

    ResponderEliminar
  11. Buenas tardes Laura:

    En primer lugar, decirte que me alegro de que te estén sirviendo de ayuda las entradas en este blog para implantar la LOPD en tu empresa. Ese era y es el objetivo y, por tanto, si así es, en tu caso y otros, me doy por satisfecho y muchas gracias por plantear tu consulta.

    Como aspecto previo a lo que me planteas, recordar (aunque seguro que ya lo sabes) que la identificación y autenticación se tratan en los artículos 93 (medidas de nivel básico para ficheros o tratamientos automatizados) y 98 (medidas de nivel medio para ficheros o tratamientos automatizados) del Reglamento de Desarrollo de la LOPD.

    Dicho lo cuál, paso a comentarte mi opinión sobre las dudas que planteas:

    1º) Pregunta: “Los ficheros deben establecer mecanismos que permitan la identificación de forma inequívoca y personalizada, mi pregunta es, ¿esto se cubriría solamente con el nombre de usuario y la contraseña al iniciar sesión?”.

    Respuesta: antes que nada decir, como ya sabes, que “de forma inequívoca y personalizada” significa que cada usuario deberá identificarse y autenticarse de esa forma, es decir, no siendo válidas, por ejemplo, cuentas de uso común por parte de múltiples usuarios (Por ejemplo, no sería válido que con el código de usuario “administración” se acceda a los sistemas por parte de múltiples usuarios pertenecientes al Departamento de Administración de una empresa).

    Dicho esto, la respuesta a la pregunta que planteas es, en mi opinión, que no bastaría sólo con esto (esto también), es decir, con la identificación y autenticación al inicio de la sesión (habitualmente a través de usuario y contraseña), aunque necesitaría un poco más de información.

    ¿Por qué digo esto?. Por ejemplo, supongamos que utilizáis diversas aplicaciones para ciertos temas (gestión de personal, nóminas, y otras aplicaciones que traten datos de carácter personal). En mi opinión, la identificación y autenticación debería también realizarse en cada una de las aplicaciones concretas que utilicéis.

    2º) Pregunta: “Si no es así, ¿hay alguna forma de implantar a cada una de las carpetas un nombre de usuario con contraseña?”.

    Respuesta: Sí, aunque hay que tener muy presente lo que he comentado de las aplicaciones que podéis estar utilizando. Por ejemplo, y es una práctica absolutamente recomendable, a las carpetas existentes en un servidor sólo podrán acceder las personas (debidamente identificadas y autenticadas al inicio de la sesión) autorizadas por los administradores del sistema y con los permisos asignados.

    No sé si te he respondido convenientemente a tus preguntas, pero, en cualquier caso, no dudes en plantear las dudas que te puedan surgir, que intentaré ayudarte en la medida de mis posibilidades.

    Un saludo,

    ResponderEliminar
  12. Buenas tardes Mikel:
    Somos 4 trabajadores en la empresa y solo dos compartimos ordenador, por lo que en los ordenadores individuales no creo que exista problema, ¿verdad? La solución que he pensado, para el ordenador compartido, es que cada uno posea una cuenta de usuario y contraseña distinta, y que en cada una de las sesiones se posean solo los datos a los que estamos autorizados a tener acceso.
    También me había planteado el añadir además, una contraseña a cada uno de los ficheros que contengan datos de carácter personal, por si al compartir ordenador existiera algún problema.
    De esta forma creo que si cumpliríamos la ley.¿Estas de acuerdo?
    Un saludo.
    Laura

    ResponderEliminar
  13. Buenos días Laura:
    Sí, pero recuerda el tema que te comenté de si, además, usáis aplicaciones. En ese caso, te recomiendo también poner los códigos de usuario y contraseñas correspondientes en las propias aplicaciones y establecer los correspondientes permisos para el acceso de los usuarios con objeto de que sólo puedan acceder a la información a la que estén autorizados.

    Además, recodar otras dos cosas:

    1º) Deberás establecer un período de tiempo, que no puede ser superior a un año, para forzar el cambio de la contraseña por parte del usuario.

    2º) Si disponéis de datos de nivel medio y/o alto, debes especificar el número de intentos de los que dispone el usuario para identificarse y autenticarse correctamente antes del bloqueo de la cuenta de usuario.

    Un saludo,

    ResponderEliminar
  14. Perdona Laura, que se me ha olvidado decirte que lo que te he comentado deberías aplicarlo a todos los ordenadores de que dispongáis (también a los ordenadores no compartidos).

    Un saludo,

    ResponderEliminar
  15. Hola Mikel, en primer lugar, gracias por dar a todos información que muchas empresas cobran por hacerlo. Yo solo quiero preguntarte una cosa relativa a la LGPD; Soy un autónomo con 1 empleado en una pequeña peluquería de caballeros donde ese empleado además es mi hermano. En el resto de datos sólo tengo los de las facturas de las compras que hago (prensa, centros comerciales, asociación peluqueros, etc). No tengo cursos realizados de este tema y no tengo ni idea de como empezar ni si tengo que hacer también ese plan de LGPD. ¿Qué debo hacer? ¿Un curso es necesario? ¿Basta con seguir estos pasos que tu ofreces y otros de otras páginas?. Bueno, que muchas gracias de antemano por tu respuesta y ayuda y por ofrecer este tipo de ayuda, a mi personalmente me parece una manera más de recaudar dinero de los pequeñísimos empresarios como yo, igual que el plan de riesgos laborales. Un saludo

    ResponderEliminar
  16. Buenos días:

    En primer lugar me alegro de que las entradas de guía para la adecuación a la LOPD (Ley Orgánica de Protección de Datos de carácter personal) de pymes y micropymes puedan ser de utilidad. Ese era y es el objetivo, difundir un poco el tema de la protección de datos de carácter personal entre las mismas y, en la medida que sea capaz de explicarme, facilitar que puedan realizar su propia adaptación.

    Dicho esto comentar que habrá casos más complicados, en función de la importancia en el negocio del tratamiento de datos de carácter personal, las finalidades para las que se emplean y el volumen de datos manejado por la pyme o micropyme concreta, pero en tu caso, por lo que me comentas y la idea que me puedo hacer de tu negocio, la adecuación a la LOPD es muy sencilla (casi nada o muy poco tendrás que hacer para cumplirla).

    Paso a contestar a tus preguntas (al final te hago un resumen de lo que yo haría):

    1º) Me dices: “Soy un autónomo con 1 empleado en una pequeña peluquería de caballeros donde ese empleado además es mi hermano…”.

    Comentarte que la LOPD te afecta como autónomo, ya que es de aplicación a los tratamientos de datos de carácter personal que se realicen tanto por parte de personas físicas (tu caso como autónomo) como jurídicas.

    Como tienes 1 empleado, aunque sea tu hermano, dispones de datos de carácter personal de una persona física, lo que queda dentro del ámbito de aplicación de la Ley (sus datos básicos, sus datos económicos de nómina, su cuenta bancaria para el pago del salario, etc.).

    2º) Me comentas también: “En el resto de datos sólo tengo los de las facturas de las compras que hago (prensa, centros comerciales, asociación peluqueros, etc)”.

    Antes que nada recordarte que la LOPD afecta única y exclusivamente a datos de carácter personal, es decir, a los datos que puedas disponer sobre personas físicas. Por tanto, las facturas que tú recibas de personas jurídicas y, en general, todos los datos de los que dispongas sobre las mismas - asociación peluqueros, tiendas o de otras posibles empresas) quedan fueran del ámbito de aplicación de la LOPD y, por tanto, nada tendrás que hacer sobre ellos para su adaptación a la LOPD.

    Cosa distinta, es que tengas, además, algún proveedor que, como tú, sea autónomo. En ese caso los datos de los que dispongas sobre él (identificativos, facturas, etc.) sí que entran en el ámbito de aplicación de la LOPD.

    Además, hay que considerar que si dispones de datos de personas físicas (empleados) pertenecientes a las personas jurídicas proveedoras tuyas de las que hablábamos antes (asociación de peluqueros,...), los datos de estas personas físicas (datos de contacto) sí estarían sometidos al ámbito de aplicación de la LOPD, pero sólo si dispones de más datos de los que te indico a continuación: nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales. Es decir, si dispones sólo de datos de estos los datos de estos contactos también quedarían fuera del ámbito de aplicación de la LOPD.

    Continúo en el siguiente comentario.

    ResponderEliminar
  17. Viene del comentario anterior.

    3º) Me dices: “No tengo cursos realizados de este tema y no tengo ni idea de como empezar ni si tengo que hacer también ese plan de LGPD. ¿Qué debo hacer? ¿Un curso es necesario? ¿Basta con seguir estos pasos que tu ofreces y otros de otras páginas?”.

    Debido a la problemática tu negocio con respecto a la protección de datos (muy pequeña), no te recomiendo que hagas ningún curso.

    Lo que sí te recomiendo es que te informes de si tu ayuntamiento da algunas pequeñas charlas para facilitar la adecuación de los comercios del municipio a la LOPD. Te lo digo porque en él que yo vivo sí que existe esta iniciativa por parte del ayuntamiento, en la que de forma totalmente gratuita se informa a los comerciantes del municipio de en qué les afecta la Ley y de los pasos a dar para cumplirla. Por tanto ésta sería mi primera recomendación, tanto para recibir información de cómo aplica la Ley en tu caso concreto, como de que te informen de los pasos a dar (en tu caso muy sencillos).

    En tu caso concreto, insisto que por la muy pequeña problemática que intuyo tienes en esta materia, los posts de este modesto blog y de otros te vendrá muy grande.

    En el siguiente y último comentario te diría lo que yo haría para adecuar tu negocio a la LOPD, pero creo que lo primero que debes hacer es informarte de si en tu municipio existen ese tipo de iniciativas que te comentaba.

    Continúo en el siguiente comentario.

    ResponderEliminar
  18. Viene del comentario anterior.

    Contestadas ya las preguntas que me hacías (si no me he explicado bien, no dudes en poner otro comentario e intento aclararte lo que me digas) paso a decirte los dos primeros pasos que deberías dar para adecuar tu negocio a la LOPD:

    1º) Identificar los ficheros o conjuntos de datos de carácter personal (te recuerdo que única y exclusivamente referidos a personas físicas, no a asociaciones, empresas, etc.) que manejas y cuáles son las finalidades para los que los empleas. Ejemplos:

    a) Personal y nóminas (por lo ya comentado de tu hermano y por si en algún caso te decidieras a contratar a alguna otra persona).

    b) Clientes: No me has preguntado sobre este tema y entiendo que es porque no dispones de datos de los mismos. No obstante, en algún sitio apuntarás cuando estos te llaman para solicitar hora para que les atendáis. Supongo que apuntaréis nombre y apellidos y, como mucho, nº de teléfono.

    Te lo digo porque la LOPD afecta también a los datos de carácter personal en soporte papel, y podría ser que anotes los datos de los clientes que te llaman en una agenda o en el ordenador (caso de que dispongáis de alguno).

    En cualquier caso, aunque seguro que son muy pocos datos, te recomiendo que pienses sobre si disponéis de algunos datos de clientes y de cómo los tratáis (soporte papel u ordenador).

    c) Proveedores: Tal y como te he dicho en los comentarios anteriores, sólo en el caso de tratarse de personas físicas, es decir, autónomos.

    d) Contactos: Sólo de personas físicas, por ejemplo de empleados de la asociación o de empresas proveedores, pero sólo en el caso de que dispongas de más datos de los que te indicaba en los comentarios anteriores. Si sólo dispones de datos de la lista de tipos de datos que te comentaba, recuerda que estarían excluidos del ámbito de aplicación de la LOPD.

    e) Curriculums: No sé si recibes curriculums de gente que te los entrega en mano o de otra forma (correo electrónico), etc. para solicitar que les contrates, y, en caso de que así sea, no sé qué haces con ellos los guardas (en este caso sí sería un fichero) o los tiras. Si los guardas estaríamos ante un fichero, si los tiras te recomiendo destruirlos bien antes.

    f) Videovigilancia: Entiendo que no, pero por si acaso, muchos pequeños negocios están instalando cámaras de videovigilancia (bares, tiendas, etc.). En el caso de que así sea habría que tenerlo en cuenta.

    2º) Declarar los ficheros identificados ante la Agencia Española de Protección de Datos. Como este es un tema un poco largo (nada complejo y te adelanto que es totalmente gratuito) para ayudar a un poco a las personas que como tú no sepan como hacerlo, en breve voy a colgar un post para explicarlo en detalle.

    Bueno, estos son los dos primeros pasos a dar. Si estás interesado en que comente los siguientes, después de que incluya el post sobre la declaración de ficheros, no dudes en decírmelo y te los voy intentando explicar con ejemplos.

    Un saludo y muchas gracias por tu comentario, y no te preocupes porque en tu caso, como en el de muchos otros, cumplir la Ley no es ni caro (si lo haces tú, las horas que tú dediques), ni complejo.

    ResponderEliminar
  19. Publicados los dos primeros post con el ejemplo de declaración de un fichero a la Agencia Española de Protección de Datos (AEPD). En breve publicaré los dos últimos (muy sencillos) para cumplimentar la hoja de solicitud de inscripción y el envío de la declaración a la AEPD, respectivamente.

    ResponderEliminar
  20. Publicado el tercer post del ejemplo de declaración de un fichero a la AEPD. Muy en breve, el último para explicar la forma de envío de todo ello, también muy sencillo :-)

    ResponderEliminar
  21. Publicado el cuarto y último post del ejemplo de declaración de un fichero a la AEPD, en el que se explica la forma de envío.

    ResponderEliminar
  22. Mikel, veo que eres el amo, jejeje. Te agradezco mucho tu respuesta, que suponía negativa dada que aparezco como anónimo, pero es que no tengo esas cuentas que pide al publicar un post, y sólo así pude publicar mi pregunta.
    Me pongo manos a la obra y leeré tus posteriores post para ver como y donde hay que llevar el impreso de implantación. He leido un libro de un vecino (bueno, he empezado) de un curso que hizo el año pasado (Implantación de la LOPD en las empresas, de una de esas empresas que pone en uno de tus anteriores post que hacen "gratis" pagando antes y desgrabándolo después) y la verdad, es un torro del que no se ni por donde empezar.
    Dicho esto; Sí, de mi empleado y hermano tengo la dirección, nº cuenta bancaria y nombre y apellidos (aunque conozco el resto de datos, jejeje). De autónomos la verdad no lo se, porque guardo las facturas y no las vuelvo a ver hasta el resumen anual, así que las miraré, supongo que el de la prensa si será autónomo, del resto además, creo (aunque lo miro) no hay datos personales, sólo de las empresas, no tengo representante, voy diréctamente al economato de la Asociación de Peluqueros de Alicante, donde la factura dice. . . asociación. . .calle .. .etc, sin datos de persona y luego está telefónica, aguas, iberdrola, etc, etc que son empresas y entiendo que ni caso de esas.
    Bueno, me pongo manos a la obra porque en Alicante se escucha decir que están sancionando a quien no tenga el plan implantado y hay empresas que cobran hasta 400/500€ por hacer esto, no importando el tamaño ni los ingresos de las empresas (que supongo, imaginarás como están dada esta crisis).
    Espero escribirte poronto dando buenas noticias de mis avances, de los que, ten plena seguridad, será gracias a ti. Un fuerte abrazo y de nuevo. . . .GRACIAS

    ResponderEliminar
  23. Buenos días:

    No te preocupes, en este blog admitimos perfectamente comentarios anónimos y solemos contestar siempre.

    Mi única intención con la guía y ayuda LOPD es aportar mi granito de arena para divulgar la normativa entre pymes, micropymes y autónomos, y facilitar su adecuación a la LOPD.

    Por tanto, no hace que me des las gracias, ya que si os sirve de algo me doy por más que satisfecho. Además, si quieres, estaré encantado de que comentes en este blog los avances y dudas que te vayan surgiendo, para intentar ayudarte.

    Por otra parte, comentarte que veo que lo estás entiendo perfectamente :-) (a los datos de empresas ni caso, no entran dentro del ámbito de aplicación de la Ley).

    Y, finalmente, aunque te aconsejo adecuar tu negocio a la LOPD, comentarte que esas empresas que hacen "gratis", y otras también, tienen la mala práctica de utilizar como argumento comercial el que están sancionando muy duramente a quienes no tengan implantada la LOPD, es decir, utilizan un marketing muy agresivo metiendo miedo, pero en realidad es mentira.

    Si bien es cierto que las autoridades de protección de datos (en tu caso la AEPD) hace inspecciones sectoriales de oficio, lo cierto es que habitualmente sólo suelen inspeccionar si hay una denuncia previa. Ambas cosas en tu caso son más que improbables, ya que me temo que la AEPD tiene cosas mejores que hacer que inspeccionar de oficio a los pequeños comerciantes, y, además, es muy difícil que te denuncien (igual tú hermano sí, Ja, ja, ja...).

    Te lo digo para que no hagas ni caso a quién te diga esas tonterías de las sanciones, aunque como te digo sí te aconsejo adecuarte a la LOPD, ya que te aplica y porque en tu caso no es nada complejo y lo puedes hacer tú mismo siguiendo unas sencillas pautas.

    Un saludo,

    ResponderEliminar
  24. De nuevo mil gracias, me da algo de pereza ponerme a la faena, pero tengo que hacerlo. Si, pondré el resultado cuando lo tenga. Espero que nadie me denuncie, jejejee. Un abrazo

    ResponderEliminar
  25. Buenas tardes, hay una cosa que no me queda muy clara después de mirar mucho por internet y es si puede un autonomo implantar la lopd sin tener que pagar nada.
    Un saludo.

    ResponderEliminar
  26. Buenas tardes Anónimo:

    Por supuesto que un autónomo puede implantar la LOPD haciéndolo él mismo, es decir, sin pagar nada, aunque, desgraciadamente, no sin coste, a no ser de que se considere que las horas propias que se invertirán en ello (conocimiento de la normativa, declaración de los ficheros, elaboración del Documento de Seguridad, implantación de medidas de índole técnica y organizativa,...) no suponen ningún coste.

    Dicho esto, el esfuerzo que supondrá que un autónomo implante él mismo la LOPD dependerá de muchos factores, por ejemplo:

    1.- Sector de actividad al que se dedique (evidentemente, no implicará el mismo esfuerzo la adecuación a la LOPD de un peluquero que la de un médico, ya que es evidente que este último tratará datos de carácter personal mucho más sensibles que el primero y sobre cuyo tratamiento la normativa vidente impone requerimientos mucho más exigentes).
    2.- Dependerá también de los colectivos de personas de los que se tratan datos de carácter personal (por ejemplo, si además de datos de clientes, contrata empleados, etc.).
    3.- También influirá el grado de automatización de los ficheros. Por ejemplo, el peluquero tendrá poco más que un cuaderno para anotar las citas de los clientes, mientras que el médico seguro que dispone de ordenador para casi todas sus actividades (citas, informes,...).

    Son sólo tres pequeños ejemplos, de la multitud que se pueden poner, para que se entienda lo que quiero decir.

    Por tanto, es muy difícil, sin más información, poder siquiera darte un consejo sobre si hacerla tú o encargársela a alguien.

    Ya sé que esto último fastidia mucho (otro desembolso de dinero para el autónomo). Demasiada legislación que cumplir y muy farragosa para los autónomos, pero desgraciadamente esto está hecho así (por ejemplo, los trámites a cumplir para la contratación de personal - alta en Seguridad Social, Comunicación del contrato al SEPE, elaboración de nóminas, con todo lo que ello conlleva respecto al cumplimiento normativo de la legislación en materia de empleo, tributaria y de Seguridad Social, elaboración de los Seguros Sociales,...- son una absoluta locura para un autónomo y suelen quedar en manos de las asesorías correspondientes, aunque también es posible hacerlo uno mismo).

    Por tanto, yo sólo te recomendaría hacerlo tú mismo si tu problemática respecto a protección de datos no es compleja.

    Un saludo y si tienes cualquier consulta sobre cómo hacerlo tu mismo estaré encantado de intentar ayudarte. Por supuesto, sin que tengas que pagar nada :).

    ResponderEliminar