¿QUÉ ES LA LOPD? 5 CLAVES PARA ENTENDER LA LEY DE PROTECCIÓN DE DATOS
Parece mentira que aún existiendo muchísima información respecto a las obligaciones que impone la normativa en materia de protección de datos personales, todavía haya muchas empresas o profesionales que no saben qué es la LOPD o qué significa LOPD; no saben lo que tienen que hacer o no están correctamente asesorados.
Hace poco tiempo estaba revisando un contrato. En concreto, un proveedor ofrecía un servicio de envíos de correos electrónicos para campañas de email marketing. El modelo de contrato que proporcionó era perfecto desde el punto de vista técnico y comercial.
A simple vista, ofrecía una estupenda opción para el cliente. Su departamento técnico ya había dado el visto bueno respecto a la funcionalidad y características del servicio y el departamento comercial había aprobado la contraprestación anual.
Hasta ahí todo bien, si no hubiese sido por un pequeño detalle: disimuladamente, en un par de líneas perdidas entre cláusula y cláusula, el contrato establecía lo siguiente: “[Proveedor] no está obligado por la ley de protección de datos ya que no accede a las bases de datos, sólo gestiona los envíos de las campañas de email marketing del cliente”
Por su puesto, el proveedor fue descartado de inmediato. Era la primera opción por precio y soporte, pero no fue posible contratar los servicios, ya que el cliente, que a su vez está contratado por muchos clientes para la organización de sus campañas, simplemente no podía subcontratar los servicios de un tercero que no cumple con la LOPD.
Para que quede claro entonces: la falta de cumplimiento de la Ley Orgánica de Protección de Datos (LOPD) puede hacerte perder un cliente. Y sí, puede resultar injusto, porque tu servicio puede estar maravillosamente organizado, tener las mejores prestaciones y proporcionar la oferta más tentadora para los potenciales clientes. Pero claramente, si no se ha tomado en cuenta la ley de protección de datos, no está completo, falta la mitad.
Reconozcamos en todo caso que la materia no es fácil de abordar para aquéllos que no están familiarizados con el mundo legal, especialmente porque esto no se trata simplemente de conocer qué es la LOPD, sino que además son importantes los matices e interpretaciones que la Agencia Española de Protección de Datos (AGPD) y la jurisprudencia de los tribunales van aplicando.
Algunos de los errores más comunes que se cometen cuando hablamos de qué es la LOPD son los siguientes:
- La ley de protección de datos no se aplica a los datos que circulan en Internet. ¿Por qué tendríamos que aplicar la ley si ha sido el mismo dueño de los datos quien los ha subido?
- Sólo las empresas que gestionan una gran cantidad de bases de datos deben cumplir con la ley de protección de datos (LOPD).
- Mi cliente ya está dado de alta ante la Agencia Española de Protección de Datos, por lo que la base de datos que me proporciona para realizar una campaña de email marketing ya está protegida. Con esto ya es suficiente, por mi parte no necesito cumplir con ninguna norma.
- El correo electrónico no es un dato personal, después de todo, no se puede saber quién está detrás de determinada dirección.
- Si tengo una base de datos compuesta por un listado de empresas, no debo cumplir con la ley de protección de datos. Por ese motivo, estoy autorizado para impactar a esa base de datos con correos electrónicos publicitarios.
¿Te suena de algo?
A mi desde luego sí, ya que todas son afirmaciones reales con las que me he encontrado en la práctica profesional. Y desde ya te digo que todas son incorrectas.
Para poner remedio a los más que comprensibles vacíos que puedas tener en los principios y normas que deben tenerse en cuenta en esta materia, en esta entrada, vamos a comentar algunas claves que pueden serte muy útiles para el trabajo diario.
Pon atención a las 5 claves que te señalo a continuación para entender qué es la LOPD:
¿Qué es la LOPD? 5 claves para entender la Ley de Protección de Datos. Lo que vas a encontrar en este artículo.
1 PARA SABER QUÉ ES LA LOPD, EN PRIMER LUGAR: SABER SI TRATAS DATOS PERSONALES
Para responder a eso, debes tener claro lo que es un dato personal.
De acuerdo a la ley un dato personal es “cualquier información concerniente a personas físicas identificadas o identificables”.
En general cualquier información que podamos relacionar con una persona física es un dato personal. No importa si dicha información consta en formato papel (por ejemplo, formularios de participación en un concurso) o de forma automatizada (conjunto de currículos que nos hacen llegar a través de correo electrónico), o incluso de forma mixta (formularios papel + formularios online).
Así, por ejemplo, son datos personales:
- El nombre y apellidos de una persona
- El DNI
- El número de la seguridad social
- La imagen que capta una cámara de videovigilancia
- El correo electrónico
- Información concerniente a una persona, como por ejemplo su estado de salud o a cuánto asciende su nómina.
Normalmente, cuando profesionalmente tenemos acceso a datos personales, éstos están organizados. La LOPD llama “Fichero” precisamente a esa organización, a los datos personales que están sujetos a una ordenación sistemática. Por ejemplo, por abecedario, por categorías, por fecha de venta, por fecha de registro, etc.
De acuerdo a lo anterior, trata datos personales y está obligado a cumplir con la LOPD:
- Una agencia de publicidad o marketing que recibe bases de datos de sus clientes para ejecutar diferentes acciones publicitarias.
- Un blogger que tiene un cajetín de suscripción en el cual los interesados incorporan su correo electrónico.
- Una tienda online que capta los datos de sus clientes a través de su formulario de registro.
- Un diseñador, respecto de los dos estudiantes en práctica que acaba de incorporar a su estudio.
2 LA LOPD SÓLO SE APLICA A DATOS DE PERSONAS FÍSICAS
Cuando hablamos de “datos personales” únicamente nos estaremos refiriendo a datos de personas físicas, no de personas jurídicas. Por lo tanto y si por ejemplo tenemos una base de datos que contempla un listado la denominación social y el CIF de empresas del sector de la alimentación, esos datos no son relevantes para la ley, y su tratamiento no requiere la aplicación de la LOPD.
Los datos profesionales, que son datos identificativos y que se utilizan en un contexto profesional, tampoco están protegidos por la ley de protección de datos.
Por último, no están sujetos al cumplimiento de la ley de protección de datos aquellos datos que, siendo personales, manejamos en un entorno íntimo y familiar. Por ejemplo, un álbum de fotos o la agenda de datos de amigos y familiares no deben cumplir con las obligaciones que impone la ley.
3 NO SÓLO LAS EMPRESAS DEBEN CUMPLIR CON LA LOPD
Esta es una confusión clásica. Pensar que la LOPD sólo aplica a las empresas, o peor, que el tamaño de la empresa es un criterio para distinguir si aplicamos o no la LOPD, es erróneo.
Cualquier persona, y especialmente autónomos y profesionales freelance que tengan datos personales ordenados (ficheros), y que traten esos datos de cualquier forma (por ejemplo, operaciones de recogida a través de un formulario de suscripción; operaciones de grabación o consulta de los datos, etc.), deben cumplir con la LOPD.
Evidentemente, que la empresa sea grande o pequeña, o que un blogger tenga una tímida lista de suscriptores a su newsletter, no son elementos que la ley de protección de datos considere.
El único criterio válido pasa saber si aplicamos o no la LOPD es saber si recogemos o tenemos acceso a datos personales de personas físicas, salvas las excepciones que vimos en la clave anterior.
Al hilo de esto, y para que lo tengas muy presente: en muchas ocasiones me he encontrado con casos en los que un cliente no otorga demasiada importancia al tratamiento de los datos personales, bajo la falsa creencia de que nadie o casi nadie cumple con la LOPD. Esta idea debe ser desterrada completamente.
La Agencia de Protección de Datos no sólo recibe y cursa cientos de denuncia al año, sino que además tiene la potestad de iniciar procedimientos de oficio ante cualquier sospecha o duda en la aplicación de la ley de protección de datos.
4 LA LEY DE PROTECCIÓN DE DATOS Y LA LEY DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN NO SON LO MISMO
Muchas veces, cuando se habla de protección de datos personales, también se cita la Ley de Servicios de la Sociedad de la Información y Comercio electrónico (LSSI). Dicha ley es muy importante por varios motivos, pero ahora me voy a centrar sólo en uno de ellos para que entiendas la razón de por qué en no pocas ocasiones se confunden la aplicación de la LOPD y la LSSI.
La LSSI regula entre otras cosas, el envío de comunicaciones comerciales por medios electrónicos. Entre otros requisitos, exige el consentimiento expreso del destinatario para poder hacer envíos de este tipo de comunicaciones.
Un error muy frecuente es pensar que como la LOPD no se aplica a datos de empresa, entonces podemos enviar comunicaciones comerciales por medios electrónicos a correos de empresa sin requerir previamente el consentimiento expreso. Esto es un error. La LSSI NO DISTINGUE. Para la ley todos los destinatarios son iguales, y por lo tanto no importa si son empresas o personas físicas. SIEMPRE hay que contar previamente con el consentimiento expreso del destinatario para recibir comunicaciones comerciales por medios electrónicos.
¿Ves la diferencia?
5 NO DEBES CONFUNDIR TUS DATOS CON LOS DATOS PERSONALES DE TUS CLIENTES
Es necesario diferenciar entre los datos que te pertenecen respecto de las bases de datos de tus clientes.
En cuanto a los ficheros que te pertenecen en titularidad. Estos serían, por ejemplo, los datos personales de tus empleados; un listado de colaboradores freelance a los que recurres cada cierto tiempo o tu lista de suscriptores. Son de tu titularidad, porque tú los has recogido y les has dado una sistematización. Por eso la ley de protección de datos dice que, respecto a esos datos, eres un “Responsable del Fichero”.
En relación a los ficheros que pertenecen a tus clientes. Sería el caso en que, como empresa o profesional prestas servicios a un cliente, y éste por diferentes motivos te da acceso a sus bases de datos (por ejemplo, a la base de datos de sus propios clientes) o te pide que crees una base de datos para él (por ejemplo, a través de una acción de marketing como podría ser un concurso). En este caso la ley de protección de datos dice que eres un “Encargado del Tratamiento”.
En ambos casos es obligatorio aplicar la LOPD. Pero veremos que las obligaciones aumentan cuando eres además de responsable de tus propios datos, un encargado del tratamiento.
Espero que este artículo te sea de utilidad para comprender qué es la LOPD y cómo se aplica.
Te invito a leer el siguiente artículo, que creo puede ser de tu interés, sobre el Nuevo Reglamento de Protección de Datos que es de aplicación directa a partir del 25 de mayo de 2018.
¡No te pierdas las próximas entradas!
¿Tratas datos personales? ¿tienes dudas respecto a si lo que gestionas son o no datos para la LOPD? ¿tienes claro qué significa LOPD y cómo se aplica? ¿Está implantada la ley de protección de datos en la empresa en la que trabajas?
Para cualquier duda, puedes contactarme en contacto@elizabethtroncoso.com.
¿Qué es la LOPD? 5 claves para entender la Ley de Protección de Datos