LOPD es una Ley en la que se establecen una serie de obligaciones para todas aquellas personas y/o empresas que, a lo largo de su actividad, recopilen y traten datos de carácter personal de terceros (nombre, apellidos, teléfono, email, número de cuenta bancaria…) y los incluyan en ficheros automatizados (bases de datos).

1. Inscribir los ficheros que contengan datos de carácter

personal ante la Agencia Española de Protección de Datos, que es el organismo competente

en materia de protección de datos.

2. Redactar todo tipo de cláusulas de protección de datos en contratos y/o documentos legales que lo requieran,

como documentos de confidencialidad para empleados o contratos de prestación de

servicios, por ejemplo; así como incluir todos aquellos textos legales de protección de

datos en la web de tu empresa, siempre y cuando recabes información de los usuarios a través de ella, aunque sea un mísero correo

electrónico.

3. Adoptar medidas de seguridad respecto a los datos de

carácter personal que hayas recabado. Las medidas de

seguridad variarán en función de la importancia de los datos que hayas

recogido y tratado (nivel básico, nivel medio y nivel alto).

4. Redactar el documento de seguridad de tu empresa, en el que

deberás incluir las medidas de seguridad que has adoptado y

cómo las cumplirás

Pero no sólo debes adoptar todas y cada una de las medidas anteriores, sino que, también, y mucho más importante, tienes que permitir a las personas que te han dado sus datos de carácter personal (tus clientes, los usuarios de tu página web…) ejercer los derechos que la LOPD les concede, conocido como ARCO

Acceder a los datos

Rectificar los datos cuando éstos presenten errores

Cancelar los datos cuando se considere que éstos no se están tratando adecuadamente

Oponerse a que sus datos sean tratados

El primer tratamiento de datos personales puedeproducirse cuando el futuro trabajador sea un simplecandidato a un puesto. Para ello deben tenerse encuenta algunas cautelas:

Es conveniente, cuando los recursos lo permitan, disponer detipos de impresos modelo para la formalización del currículo y de unprocedimiento de formalización y entrega de los mismos por loscandidatos, ya que ello permite no sólo informar adecuadamentesino definir con precisión el tipo de datos a tratar, establecer lasmedidas de seguridad etc.

Si para la selección de personal se realiza algún tipo de anuncio oconvocatoria pública deberíaincluirse en ella la información del art. 5 LOPD.

Si el currículo se presenta directamente por el candidato sinhabérsele solicitado deben fijarse procedimientos de informaciónque supongan algún acuse o confirmación de conocer lascondiciones en las que se desarrollará el tratamiento.

Si se presentó en un mostrador u oficina de atención debería serinformado allí por cualquier medio que acredite el cumplimientode este deber como por ejemplo carteles, documentos de acuse derecibo y en general cualquier medio que garantice y permitaprobar el cumplimiento del deber de información.

No debe olvidarse que el Reglamento de desarrollo de la LeyOrgánica de protección de datos indica que el deber deinformación deberá llevarse a cabo a través de un medio quepermita acreditar su cumplimiento, debiendo conservarse mientraspersista el tratamiento de los datos del afectado.

En casos de grupos de empresas o de cualquier otra fórmula decolaboración empresarial debe tenerse en cuenta que la cesión delos datos contenidos en el currículum, o del propio documento debecontar con el consentimiento del candidato.

Estos sistemas se suelen configurar mediante la creación de buzones internos a través de los cuales los empleados de la compañía, generalmente mediante un procedimiento online, ponen de manifiesto la existencia de conductas contrarias a la Ley o a las normas internas de conducta de la empresa, llevadas a cabo por empleados o auditores de las empresas.

Ej.: Los empleados pueden denunciar mediante estos sistemas conductas a través de las cuales se “soborna” a los auditores para que maquillen las cuentas de una empresa o aquellas en que un directivo de la firma facilita información reservada a terceros.

Cuando para el desarrollo de la función empresarial decontrol se utilizan las tecnologías de la información, lasposibilidades de repercusión en los derechos deltrabajador se multiplican. La aplicación de este tipo detécnicas se manifiesta de muy diversos modos.

Pueden citarse entre otros, los controles biométricos comola huella digital, la videovigilancia, los controles sobre elordenador, -como las revisiones, el análisis o lamonitorización remota, la indexación de la navegaciónpor Internet, o la revisión y monitorización del correoelectrónico y/o del uso de ordenadores-, o los controlessobre la ubicación física del trabajador mediantegeolocalización.

El Estatuto de los Trabajadores faculta a las empresas para realizarcontroles en los supuestos de enfermedad o accidente de trabajo quemotivan faltas de asistencia. Este control se realizará mediantereconocimiento médico y la norma establece las posibilidades deactuación del trabajador ante la negativa a someterse al reconocimiento.

El tratamiento de datos de salud requerirá del consentimientoexpreso del trabajador o de la existencia de una previsión legalque exima del mismo. La LOPD contiene un régimen específicocuando se trata de la prestación de asistencia sanitaria que noresulta en absoluto aplicable a este caso.- Las posibilidades de acceso de la empresa a estos datos desalud y su utilización para fines distintos para los que fueronrecabados resulta imposible ya que, como antes se señaló laempresa únicamente puede conocer las condiciones de aptitud.- La incorporación de datos de salud a un fichero con la únicafinalidad de realizar controles del absentismo resultadesproporcionada.

Para poder incorporar sus datos de salud a una historia clínica se requerirá elconsentimiento expreso del trabajador.No existe obstáculo a que se persiga la doble finalidad de verificar el estado desalud del trabajador y controlar el absentismo. Pero, si existe un tratamientorelacionado con la salud deberá obtenerse el consentimiento expreso deltrabajador.-La información al trabajador debe ser muy precisa e indicar que se trata de uncontrol laboral.

-En el caso de que el prestador externo desarrolle servicios de vigilancia en lasalud debería articular procedimientos que garanticen el cumplimiento de losprincipios de protección de datos, y en particular el deber de información, elprincipio de finalidad y la garantía del consentimiento en cada uno de lostratamientos.

-Por último no debe olvidarse que para este tipo de servicios el prestadorexterno tiene la condición de encargado del tratamiento.

secreto y seguridadLa LOPD trata el deber de seguridad junto con el deber de secreto cuando regula los principios de protección de datos.

El secreto y la confidencialidad aseguran que los datos personales sólo sean conocidos por el afectado o interesado y por aquellos usuarios de la organización cuyo perfil les atribuye competencia para usar, consultar, modificar o incluir los datos en los sistemas de información.

Por otra parte, la seguridad garantiza además de la confidencialidad, la disponibilidad de los datos, y con ella su recuperación ante cualquier evento, y la integridad de los mismos protegiéndolos frente a cualquier manipulación no autorizada. La empresa debe disponer de políticas de cumplimiento de estos dos principios, ya que con ellas no sólo se garantiza un derecho fundamental sino que además se ofrece confianza y seguridad al público. Además, con la implementación de medidas de seguridad se protegen activos que son importantes para la empresa como los datos de sus clientes y proveedores.

Las obligaciones de secreto y seguridad en materia de protección de datosconstituyen deberes muy específicos vinculados al hecho del propiotratamiento y van más allá del secreto profesional en su concepcióntradicional. Su inadecuado cumplimiento pone en riesgo el derechofundamental a la protección de datos y causa habitualmente un graveperjuicio reputacional a la empresa.

Por todo ello es muy recomendable:

-Diseñar las funciones y responsabilidades de la plantilla de personalteniendo en cuenta su relación con el tratamiento de datos personales.

-Formar adecuadamente a los trabajadores teniendo en cuenta su distintogrado de responsabilidad y garantizando que conozcan sus deberes deseguridad y secreto. La formación debe contribuir a crear una cultura decompromiso con la protección de datos.

-Advertir y formar incluso a aquellos trabajadores que no teniendo unarelación directa con los sistemas de Las obligaciones de secreto y seguridaden materia de protección de datos constituyen deberes muy específicosvinculados al hecho del propio tratamiento y van más allá del secretoprofesional en su concepción tradicional. Su inadecuado cumplimientopone en riesgo el derecho fundamental a la protección de datos y causahabitualmente un grave perjuicio reputacional a la empresa.

Información y los tratamientos de datos personales puedan poner en peligroel secreto o la seguridad de los mismos.