Todo sitio web o tienda online que recabe algún tipo de información referente a datos personales, es susceptible de estar obligada a cumplir con las exigencias de la Ley Orgánica de Protección de Datos.

¿Cuándo estoy obligado a cumplir con la LOPD?

La Ley en cuestión será aplicada en el momento en que:

  • Tenga datos de carácter personal en soporte físico.
  • Realice tratamiento de esos datos.
  • Son usados por terceros, como organismos del sector público y privado.

En ese caso será obligatorio el cumplimiento de la LOPD. En el momento en el que una empresa toma datos de carácter personal, se convierte en titular, convirtiéndose Responsable de los ficheros, con las obligaciones y responsabilidades que ello conlleva.

¿Para qué nos sirve aplicar la LOPD?

  • Es obligatorio. Para todas aquellas empresas, sin importar su tamaño, que traten datos de carácter personal.
  • Evitar sanciones impuestas por la propia LOPD. Las sanciones pueden oscilar, dependiendo de la gravedad de la infracción, entre los 900 y los 600.000 euros de multa.
  • Aumentar la seguridad de los sistemas de trabajo de la empresa. Periódicamente se realizarán auditorias, conociendo así sus niveles de seguridad y eficiencia, además de las incidencias que pudieran poner en peligro los datos guardados.
  • Mejorar la imagen de la empresa. Se aporta con ello una imagen de seguridad y profesionalidad percibida por terceros al respetar la Ley respecto de los datos que trata la empresa.

¿Qué debemos hacer para cumplir con la LOPD?

  1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:                                                                
    • De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
    • Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
    • De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
    • De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
    • De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante. 
  2. Recabar el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.
  3. Garantizar los derechos ARCO de los afectados (derechos de acceso, rectificación, cancelación y oposición).
  4. Organizar todos los datos de carácter personal que posea. Deberá asegurarse de su veracidad y adecuación, obtenidos de manera lícita y legítima. Además, esta obtención deberá realizarse cumpliendo con el principio de calidad (deben ser adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido).
  5. Notificar a la Agencia Española de Protección de Datos de la existencia de esos ficheros, utilizando el formulario de notificaciones telemáticas de la Agencia. 
  6. Informar de la cesión de datos a los afectados, indicando, asimismo, la finalidad del fichero, la naturaleza de los datos que han sido cedidos y el nombre y dirección del cesionario.
  7. Adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.
  8. Elaborar un documento de seguridad que recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información.
  9. Velar por el cumplimiento de LOPD en sus relaciones con terceros, siempre que haya tratamiento de datos personales. Este tratamiento deberá figurar regulado en un contrato.
  10. Designar uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el documento de seguridad.
  11. Adoptar las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.

Ponte en contacto con tu gestor web si tu empresa todavía no está inscrita en la Agencia Española de Protección de Datos.