Protección de Datos: 6 Claves para no Pagarlo Caro

Hace poco más de un mes, una conocida compañía de telefonía móvil española, Pepephone, envió por error un correo en abierto a casi 5.000 de sus usuarios, en el que podían verse los datos de los correos del resto. Un claro ejemplo de incumplimiento de la Ley Orgánica de Protección de Datos (LOPD). Como éste, existen otros casos similares, como por ejemplo: empresas que envían campañas de emailing sin el consentimiento previo de sus usuarios para que se les envíe publicidad por este canal.

Cada empresa es diferente y por lo tanto, el tratamiento de datos de carácter personal también lo es, por lo que las acciones a emprender van a depender, entre otras cosas, del origen de los datos, del tipo de datos, de las características del tratamiento y del tipo de instalaciones y soportes en los que se tengan esos datos.

En general, los pasos a seguir por las empresas para cumplir con esta ley podrían resumirse en estos siete:

1. Inscribirse: En la entidad que regula y controla todo lo referente a esta ley, la Agencia Española de Protección de Datos (AEPD), para notificar la existencia de unos ficheros en la empresa con datos de carácter privado de clientes y usuarios.
2. Redactar el documento de seguridad y calidad: Mediante el cual la empresa deberá garantizar un uso adecuado de los mismos, especificando la finalidad para la que fueron recogidos, que serán actualizados, que no se mantendrán de forma indefinida sin justificación y que se han recabado de forma lícita.
3. Informar en la recogida: Tanto los datos recogidos hasta la fecha como los que se recojan en adelante, deberán de tener el consentimiento explícito previo del usuario para su utilización con fines comerciales. Además, el usuario también deberá conocer la existencia de un fichero de tratamiento de datos de carácter personal, el posible uso por parte de terceros asociados a la empresa que recopila los datos y la posibilidad de acceso al mismo para rectificarlos o eliminarlos. Para ello existe un texto tipo que contiene toda esta información.
4. Consentimiento: Insistimos, este punto es importantísimo y de no cumplirlo nos enfrentamos a duras sanciones por parte de la AEPD si somos denunciados por parte de algún usuario molesto por nuestras comunicaciones sin permiso. Estas sanciones van desde los 400 hasta los 600.000€. Además, el asunto puede verse agravado si el consumidor está inscrito en la conocida Lista Robinson, ya que además de no cumplir con la ley, estaremos invadiendo su intimidad aún cuando el propio usuario ha indicado expresamente que no desea ser molestado.
5. El deber de secreto: Como es lógico, todas aquellas personas que tengan acceso al fichero de datos de la empresa están sujetos al deber de secreto profesional y custodia sobre dichos datos aún cuando hayan finalizado las relaciones con el titular del fichero. Así que todos los trabajadores de la empresa que accedan al mismo deberán adoptarlo. Y por supuesto, esto se hace extensible a terceros que trabajen con nosotros y también tengan acceso a los datos.
6. El consumidor manda: Por ello la empresa tiene el deber de cumplir con el ejercicio de los derechos ARCO, es decir, que el usuario pueda en cualquier momento Acceder, Rectificar, Cancelar u Oponerse. Así que habrá que generar los formularios correspondientes así como las cláusulas necesarias para informar de esto al usuario.

Esto sería lo básico que habría que cumplir de la LOPD para poder trabajar con una base de datos de clientes, y poder levar a cabo acciones de marketing como por ejemplo campañas de e-mail marketing.

Una extensión de esta ley sería el uso, cada vez más generalizado, de servicios en la nube como Dropbox, Drive o Mega. Si lo que almacenamos en ellos son los datos de nuestros proyectos, unos planos de trabajo, informes… no hay problema. Pero si existen archivos con información de nuestros clientes, pacientes o usuarios, el tema cambia. Desde el punto de vista legal, habría que poner en conocimiento de los usuarios que sus datos van a salir de la Comunidad Europea y, además, solicitar a la AEPD, la pertinente autorización para efectuar una “transferencia internacional de datos”. Ya que los servidores donde se alojan estos datos no tienen por estar en nuestro país, ni siquiera en la Unión Europea. Eso sin contar con una obligada copia de seguridad de dichos datos por lo que pudiese pasar.

Dicho esto, el caso Pepephone que os contábamos al inicio ya parece más grave ¿verdad?

¿Sabéis que hicieron para solventarlo? Actuaron rápidamente tras darse cuenta de lo sucedido e incluso antes de que cundiese la alarma entre sus usuarios afectados. En primer lugar, pidieron una disculpa pública a través de sus redes sociales. Y en segundo lugar, se denunciaron a sí mismos a la AEPD, lo que leéis, se denunciaron a sí mismos para dar ejemplo y, en cierto modo, calmar a sus usuarios.

Tras ello, llevaron a cabo un seguimiento de las reacciones de los usuarios en los distintos foros y redes donde les tenían ubicados, un total de 134 comentarios en 4 portales diferentes, y el resultado no pudo ser mejor: más del 60% de los usuarios aprobaron la decisión de Pepephone de autodenunciarse.

Seguramente la empresa recibió la denuncia de algún usuario que pese a su acción seguía molesto por lo sucedido, pero su reacción y solución posterior son, cuanto menos ingeniosas y muy adecuadas, y seguro que dejaron la imagen de la empresa en buen lugar a pesar de lo sucedido.