Puntos clave para implantar la LOPD en una Cooperativa

Puntos clave para implantar la LOPD en una Cooperativa

Hace unas semanas tratamos la importancia que tiene el cumplimiento de la Ley de Protección de Datos (LOPD) por parte de las cooperativas, por la tranquilidad que proporciona el cumplir con la normativa para evitar exponerse  a riesgos de sanción, y por aprovechar esta obligatoriedad legal para ir más allá de la norma, invirtiendo en seguridad.

LOPD Niveles de Seguridad

En particular, a todos aquellos que no conocen la Ley de Protección de Datos, les será útil leer en profundidad la Ley Orgánica 15/1999, del 13 de diciembre, de Protección de Datos de Carácter Personal y Real Decreto 1720/2007, de 21 de diciembre sobre medidas de Seguridad.  Teniendo en cuenta ambas normas, ya habremos recorrido la mayor parte del camino para implantar la LOPD en una cooperativa.

Aquí mostramos varios de los conceptos principales que hay que tener en cuenta, para comenzar a trabajar sobre la LOPD:

¿Qué entendemos por dato de carácter personal.?

Se trata de cualquier información concerniente a personas físicas identificadas o  identificables.

Por tanto, un dato personal no solo será nuestro nombre, apellidos y dirección,  correo electrónico, número de teléfono, cuenta bancaria, firma, fotografía, …etc, sino también cualquier otro tipo de  información que permita identificar a una persona de manera indirecta.

¿Qué entendemos por Responsable del Fichero?

El Responsable de estos datos ante la Ley es la persona jurídica que almacena para su tratamiento datos de carácter personal, por tanto, en lo que respecta a las cooperativas, éstas serán los Responsables del fichero.

¿Qué entendemos por Afectado o Interesado?

Todas aquellas personas físicas cuyos datos personales almacenan y tratan  las cooperativas, (trabajadores, proveedores, clientes, transportistas, …etc).

¿Qué entendemos por Fichero?

Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación almacenamiento, organización y acceso.

Por ejemplo, entenderemos como nuestro fichero de socios, los datos de carácter personal de los socios que se almacenan en diversos soportes, como en una aplicación informática de gestión y contabilidad, en cualquier documento de Office o de texto, y por supuesto en los datos impresos en papel, en agendas de empresa…etc.

¿Qué entendemos por niveles de Seguridad?

No todos los datos personales son iguales, hay distintos niveles de protección en función del tipo de datos que se traten. La norma los clasifica en: Nivel básico, medio y alto. Por tanto, cada fichero tendrá asociado un nivel de protección para salvaguardar medidas adecuadas de seguridad.

¿Cómo clasificar nuestros ficheros?

  • Según la finalidad de almacenamiento y tratamiento de los datos:  Cuando una cooperativa determina que dispone entre otros, del fichero de Socios y fichero de Empleados, lo hace porque el tipo de datos que guarda de cada tipo es distinto, ya que la finalidad de uso de esos datos no es la misma para los dos casos.  De sus trabajadores guardará los datos para gestionar el pago de sus nóminas y la gestión de Riesgos laborales, (entre otros), mientras que los datos de Socios son para la finalidad de prestarles un servicio y de poder llevar la gestión contable, administrativa y de facturación de la cooperativa. 
  • Según el nivel de Seguridad que hay que aplicar a cada fichero para salvaguardarlo.

¿Cómo determinar su nivel de Seguridad?

El Real Decreto 1720/2007, del 21 de diciembre, nos informa de ello en su Título VIII, Capítulo I, artículo 80:

  • Nivel Básico:  Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de nivel básico.
  • Nivel Medio:  Infracciones administrativas y penales, relativos a la prestación de servicios de información sobre solvencia patrimonial y crédito, aquellos de los que sean responsables las Administraciones Públicas en el ámbito de sus competencias, o datos que permitan obtener una evaluación personal de los individuos. Por ejemplo, en este caso, un Curriculum Vitae para una futura selección de personal.
  • Nivel Alto:  Datos especialmente protegidos. Como los de salud, raza, religión, violencia de género, afiliación sindical, datos para fines policiales …etc. (Por ejemplo, la documentación de investigación de un parte de accidente laboral).

¿Qué puntos básicos  son necesarios para cumplir con la Ley de Protección de datos?.

  • Identificar los distintos ficheros que trata la cooperativa y notificar a la Agencia Española de Protección de Datos su existencia para obtener su Registro. (Antes de comenzar a almacenar y tratar los datos).
  • Informar a los titulares de los datos personales : Del almacenamiento y tratamiento de sus datos, de la finalidad para la cual se recaban,  y de los derechos ARCO que les asisten, (acceso, rectificación, cancelación y oposición).
  • Solicitar el consentimiento de tratamiento de datos a sus titulares cuando corresponda.
  • Disponer de un Documento de Seguridad acorde con el Real Decreto 1720/2007, donde se recogerán todas las medidas técnicas y organizativas destinadas a garantizar la confidencialidad, integridad y disponibilidad de los datos.
  • Aplicar las medidas necesarias de acuerdo al nivel de seguridad de los datos.
  • Auditar periódicamente el sistema. Es de obligado cumplimiento para ficheros clasificados de nivel medio y alto de seguridad, aunque es recomendable en todos los casos si entendemos que la protección es necesaria  sobre todo el sistema de información de la cooperativa,  y que podemos en algún momento tratar datos de mayor nivel de seguridad que lo que inicialmente se tuvo previsto.