LOPD SIN PAPELES

19 junio, 2015

Muchas consultoras, principalmente low cost por el ahorro que supone,  ofrecen a sus clientes LOPD SIN PAPELES, es decir, en formato digital, bien con dispositivos de almacenamiento (CD, pen drive, etc., email, etc.) o accesible mediante página web del consultor.

Estos ofrecimientos generan muchas dudas sobre cual es el formato adecuado para el documento de seguridad y resto de documentación elaborada, con la finalidad de dar cumplimiento a la normativa de Protección de Datos.

Ofrecemos argumentos técnico-jurídicos para determinar nuestra opinión al respecto:

El artículo 88 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, (LOPD) establece que el responsable del fichero o tratamiento deberá elaborar “un documento de seguridad que recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información”.

En principio, la normativa de protección de datos (LOPD) no establece de manera expresa la obligatoriedad de que el citado documento de seguridad conste en formato papel, en formato digital, o en ambos formatos. Si bien, hemos de hacer constar que, entre las medidas organizativas recogidas en la normativa de seguridad vigente, existe la obligatoriedad de implementar determinados registros, controles y autorizaciones que requieren de la firma de determinadas personas (responsable de seguridad, usuarios, etc.).

Asimismo, junto con la obligación de elaborar el documento de seguridad, la normativa de protección de datos establece otra serie de obligaciones para el responsable del fichero o tratamiento, entre las cuales cabe citar las siguientes:

• Notificar los ficheros ante el Registro General de Protección de Datos para que se proceda a su inscripción.
• Asegurarse de que los datos sean adecuados y veraces, obtenidos lícita y legítimamente y tratados de modo proporcional a la finalidad para la que fueron recabados.
• Garantizar el cumplimiento de los deberes de secreto y seguridad.
• Informar a los titulares de los datos personales en la recogida de éstos.
• Obtener el consentimiento para el tratamiento de los datos personales.
• Facilitar y garantizar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.
• Asegurar que en sus relaciones con terceros que le presten servicios, que comporten el acceso a datos personales, se cumpla lo dispuesto en la LOPD.

Las citadas obligaciones también requieren la existencia de determinados documentos cuyo valor probatorio viene determinado por la firma de ciertas personas. Así por ejemplo, cabe citar la necesidad de disponer de las cláusulas de obtención del consentimiento informado, contratos de tratamiento de datos por cuenta de terceros, compromisos de confidencialidad, etc., debidamente firmados por las personas correspondientes en cada supuesto concreto.

En su consecuencia, y ante un eventual requerimiento por parte de la Subdirección General de Inspección de Datos, es importante disponer de los documentos probatorios originales en formato papel que permitan acreditar el cumplimiento de todas y cada una de las obligaciones establecidas en la normativa de protección de datos, tanto en relación con las medidas de seguridad (registros, controles, autorizaciones, etc.) como en relación con el resto de principios de la protección de datos (información, consentimiento, deber de secreto, acceso a datos por cuenta de terceros, etc.).

Igualmente, disponer de la documentación en formato digital puede resultar muy útil a la hora de interactuar con determinados documentos. A continuación, se facilitan algunos ejemplos de esta interacción:

• Cumplimentar digitalmente determinados anexos y registros.
• Facilitar cláusulas legales impresas a colectivos numerosos de personas (por ej. cláusulas informativas para los trabajadores de la empresa).
• Incorporar cláusulas legales en formatos prediseñados por el cliente (por ej. incorporar el texto legal correspondiente en su formato de factura).

Por todo lo hasta aquí señalado, llegamos a la consclusión de que la LOPD SIN PAPELES es insuficiente, siendo lo adecuado disponer tanto en formato papel como en formato digital, toda la documentación elaborada para cumplir con la normativa de protección de datos. Ello con la finalidad de asegurar un óptimo cumplimiento de la misma y disponer de todos los documentos probatorios que permitan su acreditación ante posibles denuncias, requerimientos, etc. que puedan ser tramitados por la Agencia Española de Protección de Datos.

Gabinete Jurídico de Audidat

Evite sanciones LOPD. Pongase en manos de expertos

Artículo publicado el