La LOPD para micro-emprendedores (parte 1)

Cuando desarrollas un pequeño proyecto web y lo pones online, hay un montón de leyes que te afectan, desde la LSSI hasta la legislación correspondiente en materia de comercio si estás vendiendo algo. En la mayoría de los casos, los micro-emprendedores suelen ignorar estas leyes hasta el día que les llega una carta con una suculenta cifra en concepto de multa por no haber cumplido alguna de las muchas y enrevesadas leyes que existen.

Entre las más duras está la LOPD (Ley Orgánica de Protección de Datos de Carácter Personal) que protege al consumidor frente a las empresas que tratan con sus datos personales. Las dos leyes principales que regulan la protección de datos son esta ley orgánica y este real decreto. He de decir que esta ley es buenísima para el consumidor, con un nivel de protección excelente y no es en absoluto complicada para el profesional de la informática cumplirla: solo hay que tener un poco de sentido común y seguir algunos de los procedimientos que se solicitan. La ley te afecta si ejerces tu trabajo desde el estado español para usuarios que residen allí.

Descargo legal: no soy abogado ni especialista en la materia, por lo que la información que ofrezco a continuación se basa única y exclusivamente en mi experiencia y mi búsqueda de información a través de la red, por lo que si continúas leyendo y aplicas algo de lo que aquí se dice, lo haces bajo tu entera y absoluta responsabilidad, descargándome a mi de ninguna responsabilidad por las acciones u omisiones que tu mismo realices en base a la información aquí presentada.

Fichero, responsable y encargado

Para empezar, hace falta aclarar tres conceptos básicos que crean mucha confusión. El primer concepto es el de fichero. La ley habla de fichero de datos. Un fichero de datos no es como la mayoría imaginamos a priori referido a un archivo como podría ser una imagen o un documento de texto. No, los ficheros para la LOPD son conjuntos de datos, así que, da igual si esos datos se dividen en una o 20 tablas en nuestra base de datos o incluso en varias bases de datos, es el conjunto de los datos el que forma el fichero y solo está afectado por la LOPD si almacena datos personales. Entrar ahora en una discusión acerca de qué son datos personales sería muy largo y fuera completamente de lugar: si sospechas mínimamente que los datos que estás recogiendo podrían identificar a una persona, considéralos datos personales.

Los otros dos conceptos de los que hablaba son el responsable del fichero y el encargado del tratamiento:

• El responsable del fichero es aquel (persona física o jurídica) que decide recoger los datos y la finalidad que tendrán. Por ejemplo, si tienes una web en la que pides un registro para usarla, tu eres el responsable (tu decidiste que había que registrarse y que esos datos sean usados para entrar en la web y quizás para enviar un boletín periódico). Si por ejemplo, has creado una aplicación para que tus usuarios creen tiendas online desde dónde vender sus productos, el responsable del fichero será cada uno de tus usuarios (ellos recopilan la información de sus propios clientes, deciden para que la van a usar, etc).
• El encargado del tratamiento es la persona que tiene acceso a la base de datos y ha creado los mecanismos automatizados o semi-automatizados para manejar el fichero. Este vas a ser casi siempre tu, es decir, la persona o empresa que crea el programa.

Ambas figuras tienen una serie de responsabilidades diferentes. Las obligaciones que debe cumplir el responsable del fichero pueden resumirse en:

1. Antes de crear el fichero el responsable deberá notificarlo a la Agencia Española de Protección de Datos (bueno, si ya lo has creado no pasa nada, pero date prisa en hacerlo). Es un trámite muy sencillo que te puede librar de una buena multa. Otro día si hay interés os cuento como se hace, pero vamos, seguid el enlace y os lo explica paso a paso.
2. Pedir consentimiento antes de recoger los datos: en nuestro caso particular es la típica checkbox que se solicita al usuario que marque si se ha leído y está de acuerdo con las condiciones de uso del sitio y su política de privacidad. Atención: no puede estar marcada por defecto y los documentos que enlacemos pueden llegar a tener el mismo valor que un contrato legal, así que ojo en qué ponemos y que no ponemos.
3. Informar a los usuario acerca de que vas a recoger sus datos y vas a guardarlos. Sería algo así: «Usted autoriza y acepta que NOMBRE_WEB podrá introducir sus datos personales y demás detalles, en un directorio fichero informático, cuyo responsable y titular es TU_NOMBRE, para uso interno y con la finalidad de facilitar a NOMBRE_WEB la prestación del Servicio. En caso de no estar de acuerdo con su inclusión en dicho fichero o no responder a todas las preguntas planteadas, NOMBRE_WEB cancelará inmediatamente su alta como usuario registrado. La persona física o entidad jurídica que consta en el citado fichero tiene la posibilidad de ejercitar sus derechos de acceso, rectificación, cancelación y oposición, en relación con sus datos personales, dirigiendo un escrito a NOMBRE_WEB,  a la dirección: TU_DIRECCION«. Obviamente, dónde dice NOMBRE_WEB puede ser también tu nombre si eres autónomo o el de tu empresa si la tienes.
4. Adoptar las medidas necesarias para evitar una fuga de datos. Es decir, el responsable deberá hacer todo lo posible según los cánones de la técnica actual para evitar que alguien ajeno a la organización obtenga acceso y pueda manipular o robar los datos. Básicamente esto significa: utiliza buenas contraseñas, cámbialas  frecuentemente, instruye a todo aquel que tenga que acceder a los datos… Sentido común 😉
5. Recoger el consentimiento del interesado en caso de cesión de datos. Hay algunas excepciones a esta norma, pero en general, mejor cuidarse en salud y solicitar siempre el consentimiento antes de ceder los datos a un tercero.
6. Obviamente (y no por lo obvio se cumple siempre) el responsable debe identificar claramente una dirección de correo postal dónde el usuario final podrá ejercer sus derechos sobre sus datos.
7. Crear, cumplir y hacer cumplir el documento de seguridad (más adelante trataremos acerca de este documento).

Las obligaciones del encargado del mantenimiento en resumidas cuentas son:

1. Lo mismo que el punto 4 del responsable: haz que tus sistemas sean seguros, que nadie pueda acceder a ellos fácilmente, encrípta las contraseñas de la base de datos, etc. Y no te olvides las partes no digitales de tu negocio: no guardes copias de seguridad sin encriptar y en lugar seguro, no tires papeles o material informático a la basura con datos personales, etc.

Obviamente, en ambos casos (responsable y encargado) están sujetos al secreto profesional y nunca, nunca deben revelar datos o hacer otro tipo de historias que puedan dañar a los usuarios o clientes.

Otra cosa importante respecto a la relación responsable-encargado es que si no es la misma persona o empresa la que hace los dos roles, dicha relación deberá estar formalizada por escrito en un contrato (quien dice por escrito, dice mediante un contrato online). Básicamente lo que dice la ley es «oye, ¿el encargado del mantenimiento tiene acceso a los datos y puede hacer cosas con ellos? pues vamos a obligarle a que cumpla una serie de requisitos por contrato». Básicamente, se soluciona añadiendo algo así en el contrato con el responsable: «NOMBRE_WEB, como encargado del tratamiento del fichero únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento y no los aplicará o utilizará con fin distinto al que figura en estas condiciones, ni los comunicará, ni siquiera para su conservación, a otras personas«. Además, claro, de identificar en el contrato cuales son las medidas de seguridad que el encargado va a implementar para evitar el acceso no autorizado de terceros.

Continuamos otro día con más detalles para cumplir con la LOPD.