La LOPD, el certificado y otros
Muy buenas a tod@s. Me he registrado y me dispongo a participar de la conversación, porque sencillamente, me ha gustado el rigor con la que se ha tratado, por ello he querido aportar algunas opiniones en virtud de la experiencia. Antes de comenzar quiero dejar claro que mi intención es aportar más allá de cualquier lógico interés comercial, ya que me dedico profesionalmente a implantar jurídicamente la LOPD.
Buenas. He ido al gestor a entregar los papeles del trimestre y me comenta que tengo que tener nosequé certificado de la LOPD (Protección de datos) y me está llamando un "pofesioná" del tema que dice cobrar 300 leuros por un asesoramiento y certificado... y que dura 3 años!!!
El tema es que tengo una tienda online y soy autónomo, me toman el pelo o hay que pasar por el tubo?
Gracias.
No existe ningún certificado LOPD. Existen:
La inscripción de ficheros ante la AEPD
El Documento de Seguridad
De todas formas, publicamos en su día una nota aquí al respecto:
Su LOPD - Sello de Cumplimiento
Ni muy caro ni muy barato; también las puedes realizar tú, en la red encontrarás toda la información.
Es correcto. Quizás falla la forma de pedir tres años por adelantado... cada uno con su forma de hacer negocios.
la LOPD exige unas medidas de nivel bajo para los datos que e tienen de proveedores y clientes
1) Tienes que declarar los ficheros de proveedores clientes a la agencia de protección de datos. Yo los tengo dados de alta
2) Tienes que crear un documento de seguridad definiendo como tienes implementado las medidas de seguridad de nivel bajo en tu empresa
3) ese documento lo tienes que darselo al inspector de la agencia por si viene algún día
4) Tienes que tener las medidas implementadas realmente. Porque el inspector las va a revisar en caso de denuncia.
Es bastante normal entre empresas denunciar a la competencia.
1) Tienes que declarar los ficheros que tengas, cierto es que clientes y proveedores son los comunes en un 99,99%. Las medidas de seguridad van conforme a la recogida y tratamiento de datos.
2) Tienes que crear un Documento de Seguridad conforme a la REALIDAD de la empresas y el nivel de seguridad de los ficheros. Documento éste que tendrás que mantenerlo actualizado ante cualquier variación que afecte a los datos personales a manejar.
3) De acuerdo.
4) No necesariamente en caso de una denuncia. Puede existir una inspección de oficio. Nada de decir que haces las copias o que tienes las facturas bajo llave y luego no sabes ni donde están las del pasado trimestre :-D
Esas denuncias además se hacen bajo anonimato, con lo cuál no sabrás si fue la competencia, un vecino o incluso un familiar que te tiene manía...
Suena raro. Que yo sepa, tal y como te han dicho, tu obligación es declarar los ficheros en la agencia y asegurar unas medidas de seguridad de nivel bajo (si almacenas datos administrativos entonces debes garantizar medidas de nivel medio, me parece)
Con dar ese fichero de alta y tener unas medidas de seguridad implementadas, vas que chutas.
Recuerda que en caso de pérdida de información o robo, el culpable, a priori, siempre eres tú al ser responsable del fichero. Por eso procura tener los datos bien protegidos.
No es raro, simplemente, falta de costumbre. Mi padre tenía un restaurante hace muchos años y recuerdo que guardaba las facturas en "el pincho de entrada" y "el pincho de salida". Los proveedores te "pinchaban" la factura en el pincho correspondiente... pero éso ha cambiado :-D
En efecto, ha de declarar los fichero en la AEPD, pero el nivel, cómo dije anteriormente, se determina en función de la recogida de datos y su tratamiento, ni básico, ni medio ni alto, simplemente, el que corresponde.
El responsable del fichero SIEMPRE será la persona que se enfrente justamente a lo que el sustantivo indica, a su responsabilidad. No obstante, también puede haber un encargado del tratamiento distinto y producirse una fuga de datos por la razón que fuere. No toda la culpa siempre es del mismo. Si en la gestoría que "me lleva el papeleo" se produce un robo de datos, que incluyen los míos... yo he tomado las medidas necesarias, sin embargo, la gestoría, a pesar de haberlas tomado, no puede evitar la sustracción...¿de quién es la culpa?
Si el blog pertenece a una comunidad (Wordpress, bloggers, etc) no recae sobre Ud la responsabilidad. Pero si Ud. ha subido el software de wordpress, por ejemplo, a un hosting y es Ud. quien maneja la base de datos donde se alojan los datos de la gente que deja comentarios, sí debe acatar la LOPD.
Afirmar éso, Lordastra, da lugar a una interpretación bastante errónea. ¿Quiere decir por tanto que puedo abrir un blog en cualquier servicio otorgado por un tercero y recoger datos porque sencillamente, la responsabilidad es del proveedor? ¿Cuál sería la diferencia con poner un blog en un servidor que contrato con un tercero? ¿De quién es la responsabilidad en la recogida y tratamiento de datos?
Si, pero con la salvedad que comentaba yo antes.
En el caso de un blog alojado en wordpress, blogger, etc... el tratamiento de datos lo hace el dominio que aloja los blogs. Pero en el caso de tratarse de un blog mantenido por uno mismo, al ser nosotros los que gestionamos la base de datos debemos ser nosotros los responsables de esos datos.
Aún así se puede dar el caso de que tengamos un blog alojado en un servidor de blogs y tengamos acceso al e-mail de quien nos deja un comentario. En ese caso, aunque el tratamiento de datos lo hace el servidor del blog debemos atenernos al reglamento de la LOPD en cuanto a la toma de datos y a la gestión que se hace de ellos.
Si hay recogida de datos y los tratamos, tengamos o no acceso a la base de datos, tenemos que atenernos a la LOPD. Podemos tener un formulario de consulta y no pasar por la BD del proveedor... no por ello estamos exentos de responsabilidad. Otra cosa muy diferente es que digamos la típica frase española de "aquí no pasa nada"... hasta que pasa.
Os dejo por aquí el enlace a un interesante video de la Fundación CTIC al respecto.
Espero haber sido de utilidad, saludos.