Cada 28 de enero, desde el año 2007, se celebra el día de la protección de datos. Dicha fecha es también una oportunidad para revisar si se cuenta con un programa de cumplimiento que sirva para proteger, entre otros, a clientes y/o usuarios, así como empleados, en su derecho fundamental a la protección de datos personales.
Es necesario tener en consideración que los derechos fundamentales, entre ellos el relativo a la protección de datos personales, es también una obligación de las micro, pequeñas y medianas empresas (MIPyMES).
Es así que este 28 de enero es un buen momento para poner en práctica algunos consejos prácticos en la materia:
1. Gestionar el riesgo que pueda implicar todo tratamiento de datos personales: Como cualquier otra acción, tratar datos personales implica un riesgo que hay que identificar, conocer y gestionar. Hay que saber qué datos personales se tratan y qué riesgo puede suponer, en su caso, para la persona a la que se refieren.
2. Elaborar una cláusula de protección de datos: En atención a los mecanismos, formularios u otros instrumentos utilizados para obtener datos personales de los interesados, de manera que se les proporcione, de forma clara, sencilla y transparente, toda la información necesaria. Al respecto, es importante recordar el uso de cookies.
3. Notificar la inscripción, modificación o supresión de ficheros a la Agencia Española de Protección de Datos (AEPD): Si bien esta obligación desaparecerá en 2018, hay que cumplir con las obligaciones exigibles actualmente conforme a lo previsto en la LOPD y su Reglamento de desarrollo.
4. Obtener el consentimiento necesario para el tratamiento de datos personales: Debiendo adoptar medidas para gestionarlo adecuadamente y poder probar su obtención.
5. Adoptar e implementar medidas de seguridad: Se trata de una obligación que requiere acciones diarias, revisando que se tienen las medidas necesarias y, en su caso, mejorándolas en atención a los riesgos constantes. Es importante asegurar también que quienes traten los datos personales cumplan con la obligación de confidencialidad.
6. Implementar un procedimiento de atención al ejercicio de los derechos de acceso, rectificación, cancelación y oposición (ARCO): Siendo recomendable contar con un procedimiento para la atención eficiente a los mismos.
7. Política de privacidad y otras obligaciones legales:: En caso de sitios, páginas web o blogs, puede ser necesario cumplir también con la normativa sobre comercio electrónico y servicios de la sociedad de la información, siendo un lugar adecuado para incluir una política de privacidad.
8. Videovigilancia:: En caso de que se tengan videocámaras en instalaciones físicas, hay que asegurase de cómo se usan y del cumplimiento de la normativa sobre protección de datos personales.
9. Formación y concienciación a quienes traten datos personales: Se debe proporcionar formación continua y actualizada a quienes participen en el tratamiento de los datos personales en la organización.
10. Buscar encargados del tratamiento responsables:: Ya que la protección de datos personales hay que garantizarla siempre, si se contratan servicios de terceros que impliquen el acceso y tratamiento de los datos personales, como, por ejemplo, servicios de nube, elaboración de facturas y/o nóminas, es importante que el encargado del tratamiento garantice también el cumplimiento en materia de protección de datos y que el tratamiento se haga sobre la base de un contrato, cláusulas contractuales u otro instrumento jurídico entre ambas partes.
Contar con un programa de cumplimiento integral y adecuado es, también, una oportunidad para generar confianza, lo que se consigue siendo responsable para así poder asegurar el derecho fundamental a la protección de datos personales.
Miguel Recio Gayo es abogado y Master en Protección de Datos, Transparencia y Acceso a la Información. Ha coordinado y es autor en el libro titulado Reglamento General de Protección de Datos. Hacia un nuevo modelo europeo de privacidad, en el que han participado más de una treintena de autores bajo la dirección del Dr. José Luis Piñar Mañas.