Protecci¨®n de datos: las responsabilidades de las empresas al gestionar informaci¨®n personal

Cada vez que un usuario navega por Internet comparte sus datos. A veces, sin plena consciencia de ello. Desde el momento en el que acepta las cookies de la p¨¢gina web de una empresa, por ejemplo, esta informando a esta organizaci¨®n sobre sus h¨¢bitos de navegaci¨®n. Cuando se registra en una p¨¢gina, est¨¢ cediendo datos de su esfera personal como su tel¨¦fono o su correo electr¨®nico sin que muchas veces sea f¨¢cil conocer el uso que la empresa puede hacer de ellos.

Esta informaci¨®n, explica Luis A. Garc¨ªa, codirector del M¨¢ster en Protecci¨®n de Datos y Seguridad de la Universidad Nebrija, en Madrid, resulta esencial para que las empresas desarrollen su actividad. La manejan y la almacenan para ofrecer sus bienes y servicios. ¡°Un centro educativo necesita que los alumnos proporcionen ciertos datos personales para impartirles el curso¡±, explica este experto. Al igual que un peque?o comercio necesita los n¨²meros de tel¨¦fono de sus clientes para despachar sus pedidos a trav¨¦s de WhatsApp o para enviarles una newsletter con ofertas. Adem¨¢s, las empresas y los trabajadores aut¨®nomos pueden aprovechar esta informaci¨®n para realizar estudios y mejorar su funcionamiento, incluso para lanzar campa?as de publicidad. Un uso leg¨ªtimo, indica Garc¨ªa, siempre que se informe con transparencia al usuario acerca de qu¨¦ datos se van a usar, cu¨¢l va a ser prop¨®sito de uso y, sobre todo, otorgue su consentimiento.

Pero las compa?¨ªas y los aut¨®nomos deben tener claro que todos estos datos no les pertenecen, sino que son propiedad de las personas que los ceden ya sean usuarios, clientes, empleados o proveedores, se?ala Ram¨®n Miralles, profesor de OBS Business School, especialista en Derecho de las Tecnolog¨ªas de la Informaci¨®n y la Comunicaci¨®n (TIC). Por eso, la principal obligaci¨®n de las organizaciones y los trabajadores por cuenta propia ser¨¢ protegerlos, porque una mala custodia puede provocar la filtraci¨®n de informaci¨®n comprometida. Y para evitarlo, deben conocer la ley y disponer de los medios f¨ªsicos y digitales que garanticen esa protecci¨®n.

La gesti¨®n y la custodia de los datos personales se rige por la Ley Org¨¢nica de Protecci¨®n de Datos Personales y Garant¨ªa de los Derechos Digitales (LOPD GDD), en vigor desde 2018. Esta ley se enmarca en el Reglamento General de Protecci¨®n de Datos (RGPD) de la Uni¨®n Europea (UE). Francisco Torres, delegado de protecci¨®n de datos de las sociedades del Grupo Banco Sabadell, que participar¨¢ en el webinar Protecci¨®n de datos de tus clientes: ?est¨¢ preparada tu empresa para cumplir con la normativa?, organizado a trav¨¦s de HUB Empresa de Banco Sabadell, indica que esta ley sit¨²a al titular de los datos en el centro de decisi¨®n y exige que las empresas y los aut¨®nomos ejerzan la responsabilidad para garantizar la privacidad. Jaume Feliu, ingeniero y director ejecutivo de la consultora PymeLegal y delegado de protecci¨®n de datos, que tambi¨¦n participar¨¢ en el webinar, explica que su incumplimiento conlleva sanciones de hasta el 4% de la facturaci¨®n del a?o anterior o 20 millones de euros, en el caso de las m¨¢s graves.

?Qu¨¦ tipo de datos han de proteger las empresas?

A partir del impacto que la filtraci¨®n de datos tendr¨ªa en el derecho a la intimidad del usuario, la ley espa?ola distingue entre datos b¨¢sicos y datos especiales.

¡ñ Los datos b¨¢sicos son los m¨¢s elementales: el nombre, el sexo, el n¨²mero de documento nacional de identidad (DNI) o la lengua materna, entre otros. Tambi¨¦n aquellos que hacen referencia a circunstancias sociales y de estilo de vida, como el estado civil, el nivel educativo, as¨ª como a las caracter¨ªsticas de la vivienda en la que reside, su salario o las subvenciones que recibe. Esta clasificaci¨®n comprende adem¨¢s informaci¨®n de car¨¢cter multimedia, como la firma o las im¨¢genes captadas con una c¨¢mara de videovigilancia.

¡ñ Los datos especiales abarcan toda aquella documentaci¨®n que en caso de filtrarse o de un uso indebido puede afectar a los derechos fundamentales y las libertades de los titulares. Comprenden los relativos al origen ¨¦tnico y racial, a las convicciones religiosas, a la gen¨¦tica, a la biometr¨ªa (como el reconocimiento facial o el an¨¢lisis de retina), as¨ª como los referentes a la orientaci¨®n sexual y la salud, tanto f¨ªsica como mental. ¡°Es el caso de un centro sanitario privado que necesita informaci¨®n sobre el estado de salud de sus pacientes para poder atenderlos. Si se revelara esta informaci¨®n, el da?o a la reputaci¨®n del usuario ser¨ªa mayor que si se filtrara su direcci¨®n de correo electr¨®nico¡±, destaca Carmen Aguilera, responsable del departamento jur¨ªdico del grupo Atico34, consultora especializada en protecci¨®n de datos.

?C¨®mo debe proteger una empresa los datos de las personas con las que se relaciona?

La ley exige a las empresas y a los aut¨®nomos que mantengan medidas de seguridad para garantizar la protecci¨®n de los datos, tanto en formato f¨ªsico como en digital. Pero no obliga a tomar acciones concretas, ya que no todas las compa?¨ªas, apunta Aguilera, tienen la misma capacidad econ¨®mica ni manejan el mismo volumen de informaci¨®n. La Agencia Espa?ola de Protecci¨®n de Datos (AEPD), el organismo p¨²blico encargado de velar por el cumplimiento de la ley, ofrece una serie de recomendaciones.

La informaci¨®n puede estar almacenada en soportes f¨ªsicos o en digitales y cada uno requiere de sus propias medidas. Los datos conservados en soportes tradicionales, como el papel, deber¨¢n almacenarse de manera que se impida la entrada a personas no autorizadas. Aguilera se?ala los m¨¦todos habituales: armarios y cajones bajo llave en despachos con acceso restringido. ¡°Conviene complementarlo con sistemas de alarma¡±, puntualiza.

En el caso de la informaci¨®n digitalizada, Aguilera se?ala que lo primordial es proteger mediante contrase?as la documentaci¨®n almacenada en los equipos inform¨¢ticos y en las cuentas de los usuarios. ¡°La recomendaci¨®n de los expertos es que sea alfanum¨¦rica y contenga, al menos, ocho d¨ªgitos. Adem¨¢s, habr¨¢ que cambiarla cada tres meses o seis meses¡±, destaca esta experta.

Las copias de seguridad garantizan que la informaci¨®n est¨¦ siempre disponible. Aguilera especifica que lo m¨¢s adecuado es que al menos se conserve en dos soportes: una copia f¨ªsica, en discos duros, y otra en un servidor en la nube. Los discos duros, adem¨¢s, han de protegerse de la misma manera que los dem¨¢s soportes f¨ªsicos.

Dentro de la empresa, los datos pueden utilizarse sin que se desvele la identidad de sus propietarios. Es una t¨¦cnica denominada disociaci¨®n o seudonimizaci¨®n de datos, que consiste en usar informaci¨®n personal sin asignarle atributos que identifiquen a sus titulares. ¡°Para desarrollar un programa de igualdad, solo se necesitan unos pocos datos, como el sexo de los empleados y su formaci¨®n, por ejemplo. As¨ª limitas el uso a lo m¨¢s esencial¡±, describe Aguilera.

?Con qu¨¦ fines puede una empresa utilizar los datos?

Miralles se?ala que es leg¨ªtimo que las empresas utilicen los datos personales de sus clientes para sus actividades de negocio. ¡°Pero han de dejar claro con qu¨¦ objeto van a hacerlo¡±, avisa. Cada vez que un usuario proporciona alg¨²n dato a trav¨¦s de la p¨¢gina web, por ejemplo, la empresa ha de indicarle el fin y pedirle su consentimiento. En el caso de una comunicaci¨®n v¨ªa web, explica Aguilera, la empresa solicitar¨¢ al usuario que haga clic en una casilla para otorgar su consentimiento. Junto a esta caja, la empresa debe mostrar un texto con un enlace que lleve al usuario al apartado de la p¨¢gina web que recoge la pol¨ªtica de privacidad. ¡°Se trata de la famosa frase de ¡®He le¨ªdo y acepto la pol¨ªtica de privacidad¡±, explica esta experta.

La secci¨®n dedicada a la privacidad debe incluir una descripci¨®n de todos los procedimientos a trav¨¦s de los cuales la empresa obtiene los datos personales, adem¨¢s de los derechos de los usuarios al detalle y un inventario de los usos que se les va a dar. Por ejemplo, atenci¨®n a las peticiones de informaci¨®n, gesti¨®n de los datos aportados por los candidatos a un puesto de trabajo o remisi¨®n de comunicaciones comerciales v¨ªa correo electr¨®nico.

Las empresas tambi¨¦n manejan datos internos de sus empleados. En este caso deben acordar con ellos un compromiso de confidencialidad y de cesi¨®n de datos. Con los proveedores que acceden a informaci¨®n personal, como los de c¨¢maras de seguridad o las asesor¨ªas fiscales, tambi¨¦n habr¨¢ que establecer contratos especiales para garantizar la privacidad de esta informaci¨®n comprometida.

?Qu¨¦ derechos tiene el usuario sobre los datos que cede a las empresas?

Las empresas y los trabajadores aut¨®nomos no solo deben garantizar la privacidad de la informaci¨®n sobre personas f¨ªsicas. Tambi¨¦n esta ha de estar disponible en todo momento para el usuario que decida solicitarla y, sobre todo, garantizar su integridad. En este caso, explica Miralles, habr¨¢ que entregarle una copia al usuario, que podr¨¢ reclamar su rectificaci¨®n en caso de que contenga errores.

Si el usuario reclama que se retiren sus datos, la empresa tiene que atender su petici¨®n, aunque no siempre podr¨¢ borrarlos todos, explica Garc¨ªa. Aguilera a?ade que, por ley, tienen la obligaci¨®n de guardar cierta informaci¨®n, como el registro de n¨®minas de un empleado o los recibos que constatan los pagos de un estudiante en un centro educativo. ¡°En el futuro, las entidades p¨²blicas pueden solicitarle a la empresa esta documentaci¨®n¡±. De acuerdo con la legislaci¨®n, habr¨¢ que responderle en menos de un mes explic¨¢ndole qu¨¦ informaci¨®n ha sido borrada y cu¨¢l no se puede suprimir. Lo m¨¢s habitual, se?ala Aguilera, es que los usuarios exijan que sus datos desaparezcan de las listas de comunicaciones comerciales, como la publicidad telef¨®nica o por e-mail.

Las empresas con un gran volumen de datos ¡ªm¨¢s de 50.000 registros¡ª y aquellas de cualquier tama?o que manejen informaci¨®n comprometida, como los centros docentes, los sanitarios y las empresas de marketing, han de contar con un responsable de protecci¨®n de datos. Este profesional debe contar con la cualificaci¨®n de la AEPD, un t¨ªtulo que obtiene a trav¨¦s de un examen o mediante la demostraci¨®n de sus conocimientos en el sector, al ser poseedor, por ejemplo, del t¨ªtulo universitario de Derecho o haber trabajado en el ¨¢mbito de la protecci¨®n de datos, indica Aguilera.