La LOPD en el Sector Cooperativo.

La LOPD en el Sector Cooperativo.

Agencia Española de Protección de Datos

El gran avance tecnológico de las últimas décadas ha hecho evolucionar de manera radical los sistemas de gestión de la información con respecto al tratamiento y difusión de los datos. En esta sociedad globalizada, se ha conseguido una inimaginable capacidad de almacenamiento, acceso y funcionalidad en tiempo real de los datos. Las herramientas informáticas se han convertido en un instrumento  imprescindible para la gestión de cualquier entidad pública y privada.

Las cooperativas no se han quedado atrás y han evolucionado, informatizando y modernizando sus sistemas de gestión a lo largo del tiempo. Es por ello que a la vez que éstos evolucionan deben necesariamente evolucionar las medidas de seguridad a aplicar. Todas las cooperativas deberán dedicar los recursos necesarios a proteger adecuadamente su información frente a las amenazas que puedan poner en peligro la continuidad de su negocio, no solo ante el intrusismo o robo de datos, sino ante el riesgo de pérdida de los mismos, (imaginamos las consecuencias de una pérdida total de datos de clientes, proveedores y socios sin posibilidad de recuperación).

Fruto de esta evolución también se han generado enormes bolsas de información de datos de carácter personal con información privada de personas físicas, donde incluso pueden almacenarse y tratar datos especialmente delicados, como los de religión y de salud, (por ejemplo en datos de empleados).  Por tanto, es necesario preservarlos.

En lo que respecta al sector cooperativo, nos encontramos con una problemática especial que no es común en otros sectores, que es la estrecha relación que existe entre cooperativa y sus socios. De los socios se almacenan una gran cantidad de datos de carácter personal, que van desde los propios datos fiscales y económicos, a datos familiares, de situación personal, patrimonio….etc. Las cooperativas, por regla general dan un servicio integral a sus socios, prestando servicios de seguros, confección de la PAC,  sección de crédito…, etc. Es una relación basada en una estrecha confianza, donde las cooperativas se han convertido en los gestores de los socios.

No se trata del mismo tipo de datos como los de proveedores o clientes externos, puesto que algunos datos de socios obligan a llevar un mayor cuidado y confidencialidad en su tratamiento.

Por tanto, nos encontramos que las cooperativas se exponen a una mayor vulnerabilidad, y es necesario que tomen las medidas necesarias para guardar la confidencialidad y seguridad de los datos. Las claves son, que todos sus empleados conozcan sus obligaciones legales, y que el sistema informático lo tengan actualizado y debidamente protegido.

Desgraciadamente, estos requisitos todavía no se cumplen en todo el sector, ya que todavía hay desconocimiento de la norma de Protección de Datos, y en algunos casos nos encontramos con sistemas informáticos obsoletos en cuanto a los nuevos requisitos exigidos en materia de seguridad.

Se desarrolló la normativa de Protección de Datos de Carácter Personal para regular el contenido y el uso de estas bases de datos, para preservar su integridad y garantizar una protección jurídica para evitar el abuso y mal uso de los datos. Las cooperativas como cualquier otra empresa, tienen que cumplir con los requisitos legales, incluida la normativa de Protección de Datos.

Deberán registrar sus ficheros en la Agencia Española de Protección de Datos y diseñar  e implantar su procedimiento de medidas de seguridad. En próximos artículos iremos profundizando los distintos aspectos que exige esta normativa, así como otros relativos de la seguridad del sistema de gestión de la información.

Objetivo de la Ley de Protección de Datos de Carácter Personal (LOPD): 

“…Garantizar y proteger, en lo que concierne al tratamiento de los datos personales,  las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar”

Por tanto, nos debe proteger a todos como personas físicas titulares de los datos, y es de obligado cumplimiento tanto para entidades públicas como privadas.  Solo están exentas las bases de datos propiedad de una persona particular, como las agendas privadas de contactos telefónicos o de direcciones.

Nos regulan entre otros:

¿Qué pasos hay que dar para saber si se cumple con lo exigido en la LOPD?

Desde la fecha de entrada en vigor del Real Decreto 1720/2007, es obligada la implantación de las medidas de seguridad de los ficheros automatizados y no automatizados, así como el cumplimiento total de la normativa y sin excepciones.

Las cooperativas adaptadas ya en vigencia de la LORTAD, pero que no han realizado ninguna revisión de la documentación, ni de la evolución de su sistema de información desde entonces, aunque cumplan con los requisitos de su Procedimiento de Seguridad, no cumplen con la Ley.

  • Por tanto, para aquellas cooperativas que declararon sus ficheros con anterioridad al año 2007 y que no han realizado ninguna revisión, deberían realizar una Auditoría, (ya sea interna o externa), para comprobar que toda su documentación y medidas de seguridad cumplen con la normativa actual.
  • Para aquellas que se han puesto al día tras la entrada en vigor del Real Decreto 1720/2007, y tienen datos de nivel de medio o alto de seguridad, están obligados por ley a realizar una Auditoría al menos cada dos años. Y si se han realizado cambios en el sistema de información que afecte de alguna manera a la seguridad de los datos, aunque hayan tenido una Auditoría reciente, están obligados a realizar otra posterior a dichos cambios.
  • Por otra parte, todavía nos encontramos con cooperativas que nunca se han adaptado a la Ley de Protección de Datos, incurriendo en infracciones graves.

¿Qué razones existen para que se cumpla la normativa de Protección de Datos?

1.- Hay que cumplir con la Ley:  Es un derecho de todas las personas, regulado en nuestra Constitución y normas legales comunitarias y nacionales.

2.- La dureza de las sanciones: Supone en sí una buena razón para estar al día en la Protección de datos. Incumplir la Ley supone un enorme riesgo en costes económicos que no compensa,  (Título VII: Art 44 y 45 LOPD):

  • Infracción leve:  de 601  a 60.101 euros.
  • Infracción grave:  de 60.101  a 300.506 euros.
  • Infracción muy grave: de 300.506 a 601.012 euros.

Por ejemplo: Una infracción leve es no haber inscrito los Ficheros en la AgenciaEspañolade Protección de Datos. Una grave es no mantener las debidas medidas de seguridad, (no tener política de copias de seguridad de los datos, carecer de política adecuada de contraseñas para los ficheros automatizados, o del control del acceso físico …etc).

La Agencia Española de Protección de Datos, puede actuar tanto de oficio como por petición mediante denuncia.  Solo hay que consultar su web para tener información actualizada de los procedimientos sancionadores y las multas aplicadas.

3.- La información es el principal activo de muchas organizaciones, y precisa ser protegida adecuadamente. Invertir en seguridad es necesario.  Si protegemos todo el sistema de información, garantizamos la vigencia de nuestro negocio y protegemos nuestra información. Por tanto, cumplimos gran parte de los requisitos que la LOPD exige sin asignar mayores recursos:

  • Evitamos que la información pueda caer en manos de la competencia o accedan intrusos a la misma.
  • Protegemos los datos y disponemos de procedimientos de recuperación en caso de desastre.List Style
  • Disponemos de un control de acceso a la información por parte de los usuarios, de acuerdo a perfiles de responsabilidad y tipo de datos a los que acceden, facilitando su localización y su tratamiento.
  • Cumplimos con la Ley, evitando la amenaza de una dura sanción económica.