ANIMSA

A las organizaciones nos resulta muchas veces complicado implantar todos los requisitos de la LOPD, sin embargo existen algunos aspectos fundamentales que no debemos olvidar a la hora de su cumplimiento, como son:

1. Hay que identificar todas las actividades en las que se recogen datos de caracter personal y tener muy clara su finalidad para recabar solo los datos estrictamente necesarios. En la recogida se debe informar al titular y obtener su consentimiento para el tratamiento utilizando por ejemplo una cláusula al pie de los formularios.
2. Si los datos se transfieren a un tercero hay que conocer a quién se entregan y para qué. Se pueden presentar dos casos:

• Cesión de datos, cuando se comunica los datos a un tercero ajeno a la finalidad. Esta cesión no se puede dar si no se dispone del consentimiento expreso del afectado o se da uno de los supuestos recogidos en el art 11.2 de la LOPD. Por ejemplo, no se puede entregar el padrón a una empresa de comunicación para enviar felicitaciones de navidad a todos los ciudadanos.
• Encargado del tratamiento, cuando se accede a los datos por cuenta de terceros para la prestación del servicio con la misma finalidad de la recogida. Para que sea legítima ésta cuestión debe estar regulada a través de un contrato. Por ejemplo, el acceso a los datos de usuarios de un centro cívico por parte de la empresa adjudicataria de la gestión.

3. Hay que garantizar la seguridad de los datos, implantando medidas que eviten accesos no autorizados o modificaciones no consentidas. Hay que aumentar las precauciones en el tratamiento de los datos especialmente protegidos (ideología, afiliación sindical, religión y creencias, origen racial, salud y vida sexual). En estos casos se aplican medidas mucho más exigentes. Por ejemplo, si se envían datos a otra administración para una atención de bienestar social en un colectivo sensible, estos datos deben ir encriptados. Para ello hay que establecer una normativa dentro de la entidad y encargar a alguien el seguimiento de su cumplimiento.
4. El personal está obligado a mantener la confidencialidad de los datos dentro de la organización y se hace extensivo a cualquier persona que intervenga en cualquiera de las fases del tratamiento, aún después de finalizar sus relaciones con el titular o el responsable. El cumplimiento del deber de secreto ha de ser comunicado a todas las personas que trabajen con datos de carácter personal.

El nuevo reglamento (UE) 2016/679,aprobado el 14 de abril del 2016 y que será aplicable a partir del 25 de mayo de 2018, introduce cambios y da un plazo de 2 años, para que todas las empresas y Administraciones Públicas realicen las modificaciones y ajustes necesarios para garantizar su cumplimiento. De este tema hablaremos en posteriores artículos.