Emprender en Internet: LOPD, la declaración ante la Agencia

Siguiendo con los últimos artículos publicados sobre cumplimiento de obligaciones legales en negocios en Internet, postearé algunas notas sobre cumplimiento de la LOPD. Vaya por delante que comentaré aspectos generales, ya que la interpretación de la norma es compleja y muy casuística, con lo que debe entenderse como unos principios básicos.
  • Creo que para cualquier negocio en Internet es básico el cumplimiento de la normativa de protección de datos. Los datos personales acaban por ser el mayor de los activos del negocio en muchos casos, y de su buen uso puede acabar dependiendo el éxito o el fracaso. Por ejemplo, si informamos correctamente de la finalidad y tenemos el consentimiento necesario (insisto, hay casos y casos), podremos usar los datos para remitir publicidad (entendido en sentido amplio). Si no es así, lo único que nos puede pasar es que nos impongan una sanción que, habitualmente, no es de poca cuantía. Por otro lado, un tratamiento adecuado de los datos, mostrando el debido respeto por la privacidad, acaba siendo percibido por el consumidor. O mejor dicho, lo que antes percibe el consumidor es el tratamiento ilegítimo de los datos. Dicho esto, empecemos por la declaración del fichero.
  • Es fundamental empezar por declarar los ficheros ante la AGPD. Debe hacerse de forma previa al tratamiento de los datos. La Agencia facilita la declaración telemática de los mismos mediante el formulario NOTA y si se hace mediante el uso de firma digital, quedan registrados instantaneamente. Incluso podemos encontrar una serie de formularios tipo de las declaraciones mas habituales. No obstante, no recomendaría el uso de formularios tipo para negocios cuya base sea internet, porque el tratamiento de datos en este tipo de empresa suele necesitar de una declaración ad hoc, por su propia naturaleza. Es importante tener en cuenta que declarar los ficheros no significa declarar aquellos archivos informáticos o aplicaciones que tratan datos, equivocación bastante comun. Lo importante acaba siendo la finalidad con la que se tratan los datos. Por lo tanto, si declaramos un fichero de "clientes" estamos incluyendo todas las aplicaciones que tratan datos bajo esa denominación, y también el tratamiento de datos en papel (ficheros no automatizados).
  • Como decía, es realmente importante definir correctamente la finalidad para la que van a ser tratados los datos, puesto que condicionará el uso posterior que se pueda hacer de éstos. Es recomendable preveer el máximo de posibilidades de uso que se va a dar a esos datos, dentro de la propia finalidad, claro está.

  • Por otro lado, también deberá determinarse el nivel de seguridad de los datos que se van a tratar (bajo, medio o alto). Es importante en este momento analizar detenidamente qué datos se van a tratar y sobretodo, si son realmente necesarios, porque esa decisión acabará determinando todo el tratamiento posterior y las medidas a adoptar. Debe tenerse muy en cuenta el tipo de dato solicitado en los formularios (recuerdo el caso de alguna clínica dental que pone los pelos de punta) por la responsabilidad que ello puede conllevar y las medidas técnicas que nos obligaría a adoptar (datos de salud, idelogia, religión, vida sexual, creencias, afiliación sindical).

  • Otras cuestión que nos solicitará el formulario será determinar el encargado de tratamiento, si existe, que será aquel que trate datos por cuenta del responsable del fichero (el ejemplo más habitual suele ser la gestoría que suele lleva la contabilidad o las nóminas de otra empresa, y que por lo tanto es encargada de tratamiento). Es fundamental tener en cuenta que esta relación contractual debe plasmarse por escrito para evitar sanciones.

  • Debe también declararse el origen de los datos. Aunque normalmente el origen será el propio interesado, debemos tener en cuenta si van a usarse datos obtenidos de otras fuentes, como las denominadas accesibles al público (paginas amarillas, etc) por las obligaciones legales añadidas que eso supone.

  • También se da la opción de determinar las posibles cesiones de datos que pueden darse como consecuencia del tratamiento de los datos de ese fichero. Debe tenerse en cuenta si se tiene el consentimiento para esa cesión y, si no se tiene, si la cesión se encuentra amparada dentro de los supuestos legales.
  • Por último, debemos declarar si se efectuará alguna transferencia internacional de datos. Especialmente problemática suele ser este tipo de declaración en los ficheros relativos a servicios de hosting.

Una vez efectuada la declaración debe firmarse. Como decía antes, si se firma digitalmente, la inscripción es instantanea. Mi recomendación, contar siempre con algun tipo de asesoramiento a la hora de efectuar estas declaraciones. Probablemente, acabará ahorrando problemas.

No hay comentarios: