¿Tiene su empresa los datos bajo llave?
Va con usted, aunque no se lo parezca. Aunque tenga una pequeña empresa con apenas dos empleados, aunque sea un profesional liberal y tenga un solo ayudante, aunque dirija un minúsculo negocio desde el salón de su casa. Va con usted porque, sea grande o pequeña, cualquier empresa que tenga algún cliente, proveedor o trabajador tiene que cumplir la legislación de protección de datos.
'Creo que en estos momentos las pymes y los profesionales son nuestra asignatura pendiente. Muchos piensan que no va con ellos, que la ley no les afecta porque tienen pocos datos. Otros ni siquiera saben que lo que tienen en sus ordenadores son ficheros'. El diagnóstico, del director de la Agencia Española de Protección de Datos, José Luis Piñar, es compartido también por las Cámaras de Comercio, que hace dos años realizaron un sondeo cuyo resultado fue que el 85% de las pymes no cumplía con la legislación.
'Las pymes tardan en conocer las leyes unos 10 años. Pero se está haciendo un gran esfuerzo y el reto está en que asuman que cumplir la ley les dará una ventaja competitiva', explica Belén Veleiro, directora de la asesoría jurídica de las Cámaras. Otra razón para esforzarse son las posibles sanciones derivadas de una mala praxis en este terreno, aunque la Agencia recuerda a menudo que su labor es más preventiva que represiva.
¿Es tan difícil cumplir la ley? 'Ni es tan caro ni es tan difícil. Exige un cierto esfuerzo inicial, pero el mantenimiento es sencillo. Las auditorías son cada dos años y el registro es gratuito', afirma el director de la Agencia. El primer paso que deben dar las empresas es dar de alta los ficheros (relación de nóminas, listas de clientes, proveedores...) en el registro de la Agencia de Protección de Datos. La inscripción puede hacerse mediante el envío postal o electrónico de unos formularios que proporciona el organismo (www.agpd.es). Y es gratuita.
Además, la empresas deben solicitar siempre cualquier dato con el consentimiento informado de su titular, a ser posible por medio de cláusulas escritas que puedan servir de prueba en caso de conflicto. Para algunas informaciones especialmente sensibles (la orientación sexual, por ejemplo) el consentimiento deberá ser expreso. También hay que recordar que cualquier persona puede dirigirse a la compañía para conocer, rectificar o cancelar sus datos. Y que ésta debe responder con rapidez y eficacia.
Formar al personal
Todos los datos deben ser custodiados con la implantación de una medidas técnicas de seguridad que varían según la naturaleza de la información (medidas básicas, medias y altas) y que deben recogerse en un documento de seguridad.
Ese documento, que puede realizar la propia empresa o un asesor, se convertirá en la biblia de protección de datos de la compañía y deberá recoger aspectos como el ámbito de aplicación de las medidas, la estructura de los ficheros, los procedimientos de recuperación de datos o las obligaciones del personal. 'El personal que tenga acceso a los datos tiene que estar informado de sus obligaciones', advierte Belén Veleiro. Las Cámaras aconsejan formar a esos empleados y hacerles firmar una cláusula que acredite que conocen la ley.
Los tres niveles de seguridad MedioAlto
Básico.¦bull; Es aplicable a todas las empresas, ya que afecta a cualquier dato personal como nombre, dirección, edad, etc., que manejan todas las compañías.¦bull; Entre otras medidas, el tratamiento de estos datos exige contar con un documento de seguridad, definir y documentar las obligaciones de las personas con acceso a los datos, llevar un registro de incidencias y fijar procedimientos de control de usuarios.
Medio
¦bull; Se aplican a los ficheros que contengan datos sobre infracciones administrativas o penales, Hacienda Pública, servicios financieros, solvencia patrimonial y crédito.¦bull; Además de las medidas de nivel básico, se exige contar con un responsable de seguridad que coordine las medidas, realizar auditorías bianuales o instalar un control de acceso a los locales, entre otras.
Alto
¦bull; Afectan a ficheros con datos como ideología, religión, origen social, salud u orientación sexual.¦bull; Junto a las medidas de nivel básico y medio, el nivel alto exige el cifrado de los datos, el control de la fecha y hora de cada acceso a los ficheros o la elaboración de un informe mensual por parte del responsable de seguridad.
José Luis Piñar, Director de la Agencia de Protección de Datos: 'Hay estafas a pymes de falsas consultoras'
'No vamos a la caza y captura'. æpermil;ste es el mensaje que quiere transmitir a las empresas José Luis Piñar, director de la Agencia Española de Protección de Datos. Cuando llegó al organismo, recuerda, se inscribían 200 ficheros al día, ahora se inscriben 600. Piñar insiste en que la labor de la Agencia es más preventiva que sancionadora y que las multas que se imponen son consecuencia de denuncias graves y concretas, no de inspecciones. 'Las inspecciones que realiza la Agencia son más bien auditorías preventivas y a menudo nos las solicita el propio sector', explica. Una vez realizada la inspección, el organismo emite unas recomendaciones que son obligatorias y cuyo incumplimiento puede dar lugar a sanciones.Piñar reconoce que el desconocimiento que existe respecto a la política sancionadora de la Agencia ha facilitado la aparición de falsas consultoras que están llevando a cabo estafas a pymes y profesionales. 'Hemos detectado falsas empresas que amenazan a las pymes con denunciarlas si no contratan sus servicios o que advierten de una posible inspección o de una multa inminente', señala Piñar, quien ya ha transmitido los hechos a la fiscalía.