Boletín P2014/01/15.- Importancia de la actualización constante y la adecuación de la política de protección de datos a los cambios en las empresas.

El  RDLOPD establece la obligatoriedad de redactar el Documento de Seguridad y de mantenerlo actualizado en todo momento, conforme a las variaciones experimentadas en el sistema de información, de igual manera que las políticas de protección de datos en general.

Al igual que la actividad de la empresa está en constante cambio, también varían los tratamientos de datos que se realizan en la misma como pueden ser: las cesiones, las empresas que prestan ciertos servicios, los ficheros, los usuarios que aceden a datos, las aplicaciones informáticas que los tratan… y todas esas variaciones deben quedar reflejadas en el Documento de Seguridad.

Además la actividad diaria genera constantemente situaciones que afectan a la protección de datos de la empresa, de las que la dirección de la misma debe ser consciente,  para hacer las correspondientes correcciones, actualizaciones o modificaciones.

Ello va a permitir no sólo respetar de la mejor manera posible el derecho de los ciudadanos (clientes, trabajadores, usuarios …) a la protección de sus datos personales, sino que también va a servir para, en el caso de tener alguna denuncia, disponer de un argumento más de cara a que la agencia de protección de datos vea  una clara voluntad e implicación de la empresa en el cumplimiento de la normativa de protección de datos y ello permita conseguir, por ejemplo, intentar evitar una sanción o, en el peor de los casos obtener una sustancial rebaja en la multa.

En el reciente procedimiento sancionador 211/2013, la empresa denunciada lo fue porque se encontraron documentos con datos personales sin destruir en la vía pública. Todas las empresas tienen el deber de custodiar la documentación en papel y adoptar las medidas necesarias para impedir cualquier recuperación posterior de la información de carácter de los documentos (es decir, que se destruyan con destructora de papel). Tales medidas no fueron adoptadas totalmente en el presente caso, como lo acredita el hecho que dicha documentación fue encontrada por el denunciante, en la vía pública.

Por tanto la empresa fue sancionada. No obstante, la Agencia de Proteción de Datos tuvo en cuenta que:

1.       La empresa tenía implementadas una serie de medidas de seguridad para evitar sucesos como éste, que no obstante en este caso no fueron suficientes.

2.      Fue un hecho puntual

3.      La empresa reaccionó rápido remitiendo una circular  a sus trabajadores recordando la política de la empresa y las obligaciones de los trabajadores relativas a la custodia y destrucción de la documentación con datos de carácter personal

La infracción de la normativa fue catalogada como grave (cuyo importe va de 40.001 a 300.000 €). Sin embargo, teniendo en cuenta en este caso concreto los  tres puntos anteriores, se le impuso la sanción en el grado inmediatamente inferior (leve, importe va de 900 a 40.000 €) y dentro de dicha horquilla, atendiendo igualmente a que por lo anterior hubo una disminución cualificada de culpabilidad, se le puso una sanción final de 4.000 €.

Por tanto vemos como la relevancia de tener un cumplimiento diligente, y permanentemente actualizado de la normativa tiene su recompensa incluso en el caso de que tengamos una denuncia y nos pongan una sanción.

Cualquier duda al respecto pueden contactar con nuestro compañero Luis Jorquera l.jorquera@grupovadillo.com