Inicio con éste una serie de post cuya única pretensión es aportar mi granito de arena a la divulgación y sensibilización en las pymes y micropymes con respecto a la protección de datos de carácter personal y, en la medida en que sea capaz, para aclarar y simplificar su adecuación a las exigencias de la normativa vigente en esta materia y su efectivo cumplimiento por parte de las mismas.
Empezaré con una breve descripción para, en los siguientes post y basado en mi experiencia en proyectos similares, continuar con las fases a abordar en la adecuación de pymes y micropymes a la LOPD.
.JPG)
La Ley orgánica de protección de datos de carácter personal 15/1999 (en adelante LOPD), de 13 de diciembre, afecta y obliga por igual a todas las personas, tanto físicas como jurídicas, que tratan datos de carácter personal, con alguna excepción (ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas, etc.), y, por tanto, es aplicable en igual medida a: grandes empresas, pymes, micropymes, comunidades de vecinos, autónomos, etc.
Cuando afirmo que obliga por igual, quiero decir que el nivel de exigencia de la Ley y del Reglamento que la desarrolla, aprobado mediante el Real Decreto 1720/2007, de 21 de diciembre, y que constituyen el núcleo de la normativa vigente en esta materia, es el mismo para todos (con mínimas excepciones, como el registro de accesos exigido para los ficheros automatizados de nivel alto y sólo en circunstancias muy concretas, y que en la práctica hacen, como digo, que no haya distinciones en cuanto a las obligaciones a cumplir).
Pese a ello, aunque lo entiendo como algo absolutamente normal, es muy desigual el grado de cumplimiento que se da entre las grandes empresas y las pymes/micropymes.
Hay muchas cosas que hacer en materia de protección de datos, incluso en las grandes organizaciones, pero, sin duda, el “gran agujero” respecto al cumplimiento de la normativa legal y reglamentaria vigente en esta materia se encuentra en las pymes y micropymes, que no hay que olvidar componen cuantitativamente una abrumadora mayoría del tejido empresarial, y, por tanto, constituyen una parte fundamental en lo que se refiere a garantizar la protección de los datos de carácter personal de los ciudadanos.
Las razones por las que esto se produce son en mi opinión evidentes y entre ellas cabe destacar:
1º) Un desconocimiento de la normativa (incluso de su propia existencia) y derivado de ello de la forma en la que les afecta (incluso de que les afecta) y de su aplicación.
2º) Una falta de sensibilización hacia el derecho fundamental de las personas en lo que se refiere a la protección de sus datos. Incluso cuando se hace algo en esta materia por parte de las pymes y micropymes, en muchas ocasiones se trata de “cumplir” mínimamente el expediente con el único objetivo de evitar sanciones, limitándose a implantar sólo los aspectos jurídicos y dejando a un lado los organizativos y técnicos, que en la práctica son los que hacen posible garantizar la protección de los datos.
3º) Escasez de recursos (económicos, técnicos y humanos) para realizar la adecuación. Agravado, además, porque esto exige un esfuerzo continuo en el tiempo, ya que no se trata únicamente de implantar una serie de medidas iniciales, sino que exige una dedicación constante de recursos para su control y seguimiento, de cara a la verificación de su efectivo cumplimiento y a lograr una mejora continua.
Finalizada esta breve introducción, tal y como he indicado al principio, en posteriores post intentaré contribuir modestamente a divulgar de forma comprensible, en la medida que sea capaz, aspectos generales de la normativa en materia de protección de datos y de su adopción y cumplimiento por parte de pymes y micropymes.
.JPG){kind=link}
.JPG){kind=link}
Empezaré con una breve descripción para, en los siguientes post y basado en mi experiencia en proyectos similares, continuar con las fases a abordar en la adecuación de pymes y micropymes a la LOPD.
La Ley orgánica de protección de datos de carácter personal 15/1999 (en adelante LOPD), de 13 de diciembre, afecta y obliga por igual a todas las personas, tanto físicas como jurídicas, que tratan datos de carácter personal, con alguna excepción (ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas, etc.), y, por tanto, es aplicable en igual medida a: grandes empresas, pymes, micropymes, comunidades de vecinos, autónomos, etc.
Cuando afirmo que obliga por igual, quiero decir que el nivel de exigencia de la Ley y del Reglamento que la desarrolla, aprobado mediante el Real Decreto 1720/2007, de 21 de diciembre, y que constituyen el núcleo de la normativa vigente en esta materia, es el mismo para todos (con mínimas excepciones, como el registro de accesos exigido para los ficheros automatizados de nivel alto y sólo en circunstancias muy concretas, y que en la práctica hacen, como digo, que no haya distinciones en cuanto a las obligaciones a cumplir).
Pese a ello, aunque lo entiendo como algo absolutamente normal, es muy desigual el grado de cumplimiento que se da entre las grandes empresas y las pymes/micropymes.
Hay muchas cosas que hacer en materia de protección de datos, incluso en las grandes organizaciones, pero, sin duda, el “gran agujero” respecto al cumplimiento de la normativa legal y reglamentaria vigente en esta materia se encuentra en las pymes y micropymes, que no hay que olvidar componen cuantitativamente una abrumadora mayoría del tejido empresarial, y, por tanto, constituyen una parte fundamental en lo que se refiere a garantizar la protección de los datos de carácter personal de los ciudadanos.
Las razones por las que esto se produce son en mi opinión evidentes y entre ellas cabe destacar:
1º) Un desconocimiento de la normativa (incluso de su propia existencia) y derivado de ello de la forma en la que les afecta (incluso de que les afecta) y de su aplicación.
2º) Una falta de sensibilización hacia el derecho fundamental de las personas en lo que se refiere a la protección de sus datos. Incluso cuando se hace algo en esta materia por parte de las pymes y micropymes, en muchas ocasiones se trata de “cumplir” mínimamente el expediente con el único objetivo de evitar sanciones, limitándose a implantar sólo los aspectos jurídicos y dejando a un lado los organizativos y técnicos, que en la práctica son los que hacen posible garantizar la protección de los datos.
3º) Escasez de recursos (económicos, técnicos y humanos) para realizar la adecuación. Agravado, además, porque esto exige un esfuerzo continuo en el tiempo, ya que no se trata únicamente de implantar una serie de medidas iniciales, sino que exige una dedicación constante de recursos para su control y seguimiento, de cara a la verificación de su efectivo cumplimiento y a lograr una mejora continua.
Finalizada esta breve introducción, tal y como he indicado al principio, en posteriores post intentaré contribuir modestamente a divulgar de forma comprensible, en la medida que sea capaz, aspectos generales de la normativa en materia de protección de datos y de su adopción y cumplimiento por parte de pymes y micropymes.
Sin duda, gran artículo y gran aporte de todos los capitulos de este tema, gracias y enhorabuena.
ResponderEliminarMuchas gracias anónimo. Como siempre digo, encantado de que pueda servir a alguien. Si es así me doy por más que satisfecho :-)
ResponderEliminar