EL PORTAL DE AHORRO PARA EMPRESAS
Y PROFESIONALES
Atención al cliente
937.127.310
Suscríbete a nuestra newsletter
Promociona tu empresa en Doiser
Descubre aquí las mejores ofertas
 > Artículos de interés para tu negocio > ¿Tu empresa cumple la LOPD? Checklist básico
 
Artículo relacionado con la sección de LOPD y protección de datos

¿Tu empresa cumple la LOPD? Checklist básico

Artículo sobre LOPD y protección de datos publicado por Doiser

¿Tu empresa cumple la LOPD? Checklist básico

En Doiser tenemos expertos en LOPD y protección de datos que han realizado este artículo para ti. Recuerda que si necesitas un servicio de LOPD y protección de datos puedes solicitar presupuesto y te pondremos en contacto con hasta 3 empresas para que te hagan un presupuesto sin compromiso.

Solicitar presupuesto

He leído y acepto la Política de Protección de Datos
Ver detalles de nuestra protección de datos +
Quiero recibir las novedades de Doiser
En un entorno cada vez más digitalizado, cumplir con la normativa de protección de datos no es opcional. De hecho, es una obligación legal y una garantía de confianza para clientes y colaboradores. Si eres trabajador autónomo o responsable de una pyme, seguramente te hayas hecho alguna vez la siguiente pregunta: ¿realmente mi empresa cumple con la LOPD?

Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) y su adaptación en España a través de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), las obligaciones en materia de privacidad han evolucionado. Además, si tu actividad tiene presencia online, también debes cumplir la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE).

A continuación, te presentamos un checklist básico y práctico para que puedas evaluar el nivel de cumplimiento de tu empresa.

1.- ¿Sabes qué datos personales estás tratando?


El primer paso es identificar qué datos personales recoges y con qué finalidad. No solo hablamos de nombres y correos electrónicos, también pueden ser teléfonos, direcciones IP, datos de facturación, historiales de clientes o currículums. Esto es lo que debes preguntarte:

  • ¿Qué datos recopilo?
  • ¿De quién (clientes, proveedores, empleados, leads)?
  • ¿Para qué los utilizo?
  • ¿Durante cuánto tiempo los conservo?

La LOPDGDD exige aplicar el principio de minimización de datos, es decir, solo puedes recoger los datos estrictamente necesarios para la finalidad declarada.

2.- ¿Tienes un registro de actividades de tratamiento?


Aunque muchas pymes y autónomos creen que no es obligatorio, en la práctica casi todas las empresas que tratan datos personales deben disponer de un Registro de Actividades de Tratamiento (RAT). Este documento debe incluir los siguientes puntos:

  • Identidad del responsable.
  • Finalidad del tratamiento.
  • Categorías de datos.
  • Base jurídica.
  • Plazos de conservación.
  • Medidas de seguridad aplicadas.

No es necesario inscribir ficheros como antes, pero sí tener esta documentación disponible en caso de inspección de la Agencia Española de Protección de Datos.

3.- ¿Tienes base legal para tratar los datos?


No basta con recopilar datos, debes tener una base jurídica válida que justifique legalmente que los tengas en tu poder. Las más habituales son:

  • Consentimiento del interesado.
  • Ejecución de un contrato.
  • Cumplimiento de una obligación legal.
  • Interés legítimo debidamente ponderado.

Hay que prestar especial atención al consentimiento, que debe ser expreso, informado y verificable. Las casillas premarcadas o el silencio no son válidos. Siempre debes preguntarte su puedes demostrar cómo y cuándo obtuviste el consentimiento, y si la respuesta es no, deberías revisarlo.

4.- ¿Has firmado contratos con tus encargados de tratamiento?


En el ejercicio de su actividad empresarial, cualquier negocio puede ceder datos a proveedores de servicios, como por ejemplo:

  • Asesorías laborales o fiscales.
  • Proveedores de hosting.
  • Plataformas de email marketing.
  • Servicios en la nube.

En cualquiera de estos casos estás comunicando datos a terceros, datos que te han sido confiados a ti. En ese caso, debes tener firmado con cada uno de ellos un contrato de encargo de tratamiento, donde se regulen las obligaciones en materia de seguridad y confidencialidad que estos proveedores de servicios deben garantizar.

Muchos autónomos y empresas olvidan este punto, pero es esencial para cumplir con la LOPDGDD.

5.- ¿Has implementado medidas de seguridad adecuadas?


La normativa no impone medidas concretas, pero sí que exige aplicar medidas técnicas y organizativas apropiadas según el riesgo. A continuación repasamos las más básicas:

  • Contraseñas robustas y acceso restringido.
  • Copias de seguridad periódicas.
  • Antivirus y sistemas actualizados.
  • Cifrado en dispositivos portátiles.
  • Control de acceso a documentación física.

Además, debes poder justificar que has realizado un análisis de riesgos para determinar qué medidas aplicar.

6.- ¿Tu página web cumple con la LSSICE?


Si tienes página web, tienda online o realizas campañas de email marketing, debes cumplir la LSSICE, que es la ley que regula las actividades económicas en internet, A continuación revisamos los aspectos básicos que debes tener cubiertos para hacerlo:

  • Aviso legal visible y completo.
  • Política de privacidad actualizada.
  • Política de cookies clara y detallada.
  • Banner de cookies que permita aceptar o rechazar por categorías.
  • Identificación clara del titular (nombre o razón social, NIF, domicilio, email).

El aviso legal debe incluir datos identificativos y, en caso de actividad profesional regulada, los datos colegiales. También es clave que el envío de comunicaciones comerciales por email requiere consentimiento explícito previo, salvo que exista una relación contractual previa y se trate de productos similares.


7.- ¿Gestionas correctamente los derechos de los interesados?


La LOPDGDD reconoce los siguientes derechos de los clientes, trabajadores o colaboradores que nos han confiado sus datos:

  • Acceso.
  • Rectificación.
  • Supresión.
  • Oposición.
  • Limitación.
  • Portabilidad.

Como responsable del tratamiento de los datos, debes tener un procedimiento interno bien definido para poder dar cumplimiento a cualquier requerimiento en relación a estos derechos en el plazo máximo de un mes. Si no tienes un protocolo definido, es momento de establecerlo.

8.- ¿Has evaluado si necesitas un Delegado de Protección de Datos (DPD)?


No todas las empresas están obligadas a designarlo, pero sí algunas actividades específicas tiene la obligación de disponer de esta figura. En este artículo te contamos si tu empresas necesita tener un DPD o no

Si no estás obligado, no necesitas nombrarlo, pero sí debes cumplir igualmente con el resto de obligaciones.

9.- ¿Formas a tus empleados en protección de datos?


Disponer de procedimiento adecuados y de las soluciones tecnológicas indicadas no es suficiente para evitar incidencias en materia de protección de datos. Las personas, y cómo realizan la gestión de éstos, centralizan de hecho una gran parte de los riesgos potenciales, por lo que es fundamental tener en cuenta los siguientes aspectos:

  • Firmar compromisos de confidencialidad.
  • Formar al personal en buenas prácticas.
  • Establecer protocolos internos.

Un error común es pensar que la responsabilidad es solo del titular del negocio. En realidad, todo el equipo debe conocer sus obligaciones.

10.- ¿Tienes un plan ante brechas de seguridad?


Si sufres un acceso no autorizado, pérdida de datos o ciberataque, debes tener definido un protocolo de actuación que incluya, como mínimo, los siguientes pasos:

  • Evaluar el impacto.
  • Notificar a la Agencia Española de Protección de Datos en un máximo de 72 horas si existe riesgo para los derechos de los afectados.
  • Informar a los afectados cuando el riesgo sea alto.

No tener un protocolo puede agravar fuertemente las consecuencias que deberemos afrontar como responsables de los datos.

Mini Checklist rápido


Como puedes ver, dar cumplimiento efectivo de la actual normativa en materia de protección de datos no es tarea fácil, y debes tener en cuenta multitud de aspectos. No obstante, para hacerte una primera idea de dónde estás, si puedes responder “sí” a estas preguntas, tu empresa probablemente cumple en un nivel básico y solamente te quedará revisar aspectos puntuales:

  • ¿Tienes identificados todos los tratamientos de datos?
  • ¿Dispones de un registro de actividades actualizado?
  • ¿Recoges el consentimiento de forma válida?
  • ¿Has firmado contratos con proveedores que acceden a datos?
  • ¿Tu web tiene aviso legal, privacidad y política de cookies correctos?
  • ¿Puedes atender derechos en menos de un mes?
  • ¿Has aplicado medidas de seguridad documentadas?

Si varias respuestas son “no”, es importante que te pongas en contacto cuanto antes con una empresa especialista en protección de datos para que te ayude a adaptar tu actividad lo más rápidamente posible. Las sanciones por no cumplir la ley son importantes, y en aquellos casos más graves pueden llegar a poner en riesgo la propia continuidad de la actividad empresarial.
Ver la sección de LOPD y protección de datos

Servicios más demandados

En Doiser encontrarás todo lo que necesites para tu empresa, pero estos son los servicios TOP del momento