Sospechosos habituales

Sospechosos habituales

Si hace unas fechas hablaba de los errores más comunes al respecto del cumplimiento de la LOPD que los emprendedores suelen cometer, hoy voy a retomar el tema pero en relación a las empresas ya en funcionamiento. De entrada muchos de estos errores pueden ser los mismos, pero también nos encontramos con otros muy diferentes.

Vamos a dar un vistazo:

  • No saber que información se maneja. Es fundamental dentro de cualquier estructura saber que información se está gestionando en ella. Sin este conocimiento es imposible hacer una buena explotación de los datos. Son muchas las empresas que poseen información duplicada simplemente por falta de comunicación entre departamentos o personas. Además de que estamos multiplicando el trabajo, también se multiplican las opciones de errores y fallos de actualización.

  • No tener claro quién accede a la información. Relacionado con el punto anterior es el descontrol a la hora de acceder a la información que tiene la empresa. Es común que no se hayan determinados que perfiles pueden o no pueden acceder a determinada información y con el argumento de que “todo el mundo tiene que ver estos datos”, toda la estructura acceda a información que puede ser sensible o no le corresponda por su puesto de trabajo. No tiene sentido que RRHH acceda a datos de clientes o que el departamento comercial tenga acceso a los datos de las últimas auditorías de calidad. Como siempre, sentido común.

  • No conocer los recursos que existen en la empresa para gestionar esa información. Este tercer punto, generalmente también está relacionado con los dos primeros: no sabemos que información existe, no sabemos quien accede y no sabemos como se almacena. No me refiero solamente la información que podemos acceder desde el sistema informático: muchas veces no existen siquiera criterios claros a la hora de gestionar la información en papel. Sin un buen (y actualizado) inventario de soportes y los accesos a los mismos, es imposible una gestión de la información conforme la norma nos indica.

  • Tener la gestión de parte de los datos personales externalizada en un tercero sin contrato de encargado de tratamiento. Si la empresa no cuenta con un departamento de recursos humanos, lo más común es que la gestión se encargue a un tercero. Conviene recordar que el tratamiento de datos por cuenta de terceros, tiene que incluir un contrato de encargado de tratamiento (artículo 12 LOPD) que regule en que términos se va a llevar a cabo este tratamiento.

  • No informar convenientemente a los usuarios y/o clientes del uso que se va a dar a sus datos personales. Un error demasiado común en todo tipo de empresas es no cumplir con lo previsto en el artículo 5 de la LOPD a la hora de informar sobre el uso y destino de los datos personales de los usuarios que acceden a sus servicios. Ya sea a través de un formulario web o de una ficha cumplimentada en una feria, es obligatorio que el usuario sepa que se va a hacer con sus datos, cual es la identidad del responsable de fichero y que derechos le asisten.

Evidentemente pueden ser muchos más: no tener claros los procedimientos a la hora de gestionar los derechos ARCO, no tener copias de seguridad y ni siquiera saber que es eso, enviar spam (muchas veces sin ser conscientes de que lo están haciendo), etc. Pero no pretendía ser un listado exhaustivo de errores, sino un resumen de lo que cualquier consultor se encuentra en una empresa a la hora de iniciar un proyecto LOPD.

Solamente hay que destacar una cosa y que todos estos errores tienen algo en común: son responsabilidad de personas y problemas de procedimientos internos en la empresa. No tienen nada que ver con la tecnología.

Photo credit: lamont_cranston / Foter / CC BY-NC-SA

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.