Protección de datos: las responsabilidades de las empresas al gestionar información personal

Cada vez que un usuario navega por Internet comparte sus datos. A veces, sin plena consciencia de ello. Desde el momento en el que acepta las cookies de la página web de una empresa, por ejemplo, esta informando a esta organización sobre sus hábitos de navegación. Cuando se registra en una página, está cediendo datos de su esfera personal como su teléfono o su correo electrónico sin que muchas veces sea fácil conocer el uso que la empresa puede hacer de ellos.

Esta información, explica Luis A. García, codirector del Máster en Protección de Datos y Seguridad de la Universidad Nebrija, en Madrid, resulta esencial para que las empresas desarrollen su actividad. La manejan y la almacenan para ofrecer sus bienes y servicios. “Un centro educativo necesita que los alumnos proporcionen ciertos datos personales para impartirles el curso”, explica este experto. Al igual que un pequeño comercio necesita los números de teléfono de sus clientes para despachar sus pedidos a través de WhatsApp o para enviarles una newsletter con ofertas. Además, las empresas y los trabajadores autónomos pueden aprovechar esta información para realizar estudios y mejorar su funcionamiento, incluso para lanzar campañas de publicidad. Un uso legítimo, indica García, siempre que se informe con transparencia al usuario acerca de qué datos se van a usar, cuál va a ser propósito de uso y, sobre todo, otorgue su consentimiento.

Pero las compañías y los autónomos deben tener claro que todos estos datos no les pertenecen, sino que son propiedad de las personas que los ceden ya sean usuarios, clientes, empleados o proveedores, señala Ramón Miralles, profesor de OBS Business School, especialista en Derecho de las Tecnologías de la Información y la Comunicación (TIC). Por eso, la principal obligación de las organizaciones y los trabajadores por cuenta propia será protegerlos, porque una mala custodia puede provocar la filtración de información comprometida. Y para evitarlo, deben conocer la ley y disponer de los medios físicos y digitales que garanticen esa protección.

La gestión y la custodia de los datos personales se rige por la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD GDD), en vigor desde 2018. Esta ley se enmarca en el Reglamento General de Protección de Datos (RGPD) de la Unión Europea (UE). Francisco Torres, delegado de protección de datos de las sociedades del Grupo Banco Sabadell, que participará en el webinar Protección de datos de tus clientes: ¿está preparada tu empresa para cumplir con la normativa?, organizado a través de HUB Empresa de Banco Sabadell, indica que esta ley sitúa al titular de los datos en el centro de decisión y exige que las empresas y los autónomos ejerzan la responsabilidad para garantizar la privacidad. Jaume Feliu, ingeniero y director ejecutivo de la consultora PymeLegal y delegado de protección de datos, que también participará en el webinar, explica que su incumplimiento conlleva sanciones de hasta el 4% de la facturación del año anterior o 20 millones de euros, en el caso de las más graves.

¿Qué tipo de datos han de proteger las empresas?

A partir del impacto que la filtración de datos tendría en el derecho a la intimidad del usuario, la ley española distingue entre datos básicos y datos especiales.

● Los datos básicos son los más elementales: el nombre, el sexo, el número de documento nacional de identidad (DNI) o la lengua materna, entre otros. También aquellos que hacen referencia a circunstancias sociales y de estilo de vida, como el estado civil, el nivel educativo, así como a las características de la vivienda en la que reside, su salario o las subvenciones que recibe. Esta clasificación comprende además información de carácter multimedia, como la firma o las imágenes captadas con una cámara de videovigilancia.

● Los datos especiales abarcan toda aquella documentación que en caso de filtrarse o de un uso indebido puede afectar a los derechos fundamentales y las libertades de los titulares. Comprenden los relativos al origen étnico y racial, a las convicciones religiosas, a la genética, a la biometría (como el reconocimiento facial o el análisis de retina), así como los referentes a la orientación sexual y la salud, tanto física como mental. “Es el caso de un centro sanitario privado que necesita información sobre el estado de salud de sus pacientes para poder atenderlos. Si se revelara esta información, el daño a la reputación del usuario sería mayor que si se filtrara su dirección de correo electrónico”, destaca Carmen Aguilera, responsable del departamento jurídico del grupo Atico34, consultora especializada en protección de datos.

¿Cómo debe proteger una empresa los datos de las personas con las que se relaciona?

La ley exige a las empresas y a los autónomos que mantengan medidas de seguridad para garantizar la protección de los datos, tanto en formato físico como en digital. Pero no obliga a tomar acciones concretas, ya que no todas las compañías, apunta Aguilera, tienen la misma capacidad económica ni manejan el mismo volumen de información. La Agencia Española de Protección de Datos (AEPD), el organismo público encargado de velar por el cumplimiento de la ley, ofrece una serie de recomendaciones.

La información puede estar almacenada en soportes físicos o en digitales y cada uno requiere de sus propias medidas. Los datos conservados en soportes tradicionales, como el papel, deberán almacenarse de manera que se impida la entrada a personas no autorizadas. Aguilera señala los métodos habituales: armarios y cajones bajo llave en despachos con acceso restringido. “Conviene complementarlo con sistemas de alarma”, puntualiza.

En el caso de la información digitalizada, Aguilera señala que lo primordial es proteger mediante contraseñas la documentación almacenada en los equipos informáticos y en las cuentas de los usuarios. “La recomendación de los expertos es que sea alfanumérica y contenga, al menos, ocho dígitos. Además, habrá que cambiarla cada tres meses o seis meses”, destaca esta experta.

Las copias de seguridad garantizan que la información esté siempre disponible. Aguilera especifica que lo más adecuado es que al menos se conserve en dos soportes: una copia física, en discos duros, y otra en un servidor en la nube. Los discos duros, además, han de protegerse de la misma manera que los demás soportes físicos.

Dentro de la empresa, los datos pueden utilizarse sin que se desvele la identidad de sus propietarios. Es una técnica denominada disociación o seudonimización de datos, que consiste en usar información personal sin asignarle atributos que identifiquen a sus titulares. “Para desarrollar un programa de igualdad, solo se necesitan unos pocos datos, como el sexo de los empleados y su formación, por ejemplo. Así limitas el uso a lo más esencial”, describe Aguilera.

¿Con qué fines puede una empresa utilizar los datos?

Miralles señala que es legítimo que las empresas utilicen los datos personales de sus clientes para sus actividades de negocio. “Pero han de dejar claro con qué objeto van a hacerlo”, avisa. Cada vez que un usuario proporciona algún dato a través de la página web, por ejemplo, la empresa ha de indicarle el fin y pedirle su consentimiento. En el caso de una comunicación vía web, explica Aguilera, la empresa solicitará al usuario que haga clic en una casilla para otorgar su consentimiento. Junto a esta caja, la empresa debe mostrar un texto con un enlace que lleve al usuario al apartado de la página web que recoge la política de privacidad. “Se trata de la famosa frase de ‘He leído y acepto la política de privacidad”, explica esta experta.

La sección dedicada a la privacidad debe incluir una descripción de todos los procedimientos a través de los cuales la empresa obtiene los datos personales, además de los derechos de los usuarios al detalle y un inventario de los usos que se les va a dar. Por ejemplo, atención a las peticiones de información, gestión de los datos aportados por los candidatos a un puesto de trabajo o remisión de comunicaciones comerciales vía correo electrónico.

Las empresas también manejan datos internos de sus empleados. En este caso deben acordar con ellos un compromiso de confidencialidad y de cesión de datos. Con los proveedores que acceden a información personal, como los de cámaras de seguridad o las asesorías fiscales, también habrá que establecer contratos especiales para garantizar la privacidad de esta información comprometida.

¿Qué derechos tiene el usuario sobre los datos que cede a las empresas?

Las empresas y los trabajadores autónomos no solo deben garantizar la privacidad de la información sobre personas físicas. También esta ha de estar disponible en todo momento para el usuario que decida solicitarla y, sobre todo, garantizar su integridad. En este caso, explica Miralles, habrá que entregarle una copia al usuario, que podrá reclamar su rectificación en caso de que contenga errores.

Si el usuario reclama que se retiren sus datos, la empresa tiene que atender su petición, aunque no siempre podrá borrarlos todos, explica García. Aguilera añade que, por ley, tienen la obligación de guardar cierta información, como el registro de nóminas de un empleado o los recibos que constatan los pagos de un estudiante en un centro educativo. “En el futuro, las entidades públicas pueden solicitarle a la empresa esta documentación”. De acuerdo con la legislación, habrá que responderle en menos de un mes explicándole qué información ha sido borrada y cuál no se puede suprimir. Lo más habitual, señala Aguilera, es que los usuarios exijan que sus datos desaparezcan de las listas de comunicaciones comerciales, como la publicidad telefónica o por e-mail.

Las empresas con un gran volumen de datos —más de 50.000 registros— y aquellas de cualquier tamaño que manejen información comprometida, como los centros docentes, los sanitarios y las empresas de marketing, han de contar con un responsable de protección de datos. Este profesional debe contar con la cualificación de la AEPD, un título que obtiene a través de un examen o mediante la demostración de sus conocimientos en el sector, al ser poseedor, por ejemplo, del título universitario de Derecho o haber trabajado en el ámbito de la protección de datos, indica Aguilera.