Falsas creencias sobre LOPD/LSSICE

Mi empresa no está obligada a cumplir con esta Ley

  • La LOPD es una ley, y por tanto obligatoria, no es opcional.
  • Afecta a prácticamente el 100% de las empresas españolas.
  • Cualquier empresa que tenga datos personales está obligada.
  • No depende del número de datos. Con un solo dato personal ya existe la obligación
  • También están obligados los autónomos, las entidades públicas, asociaciones, fundaciones, comunidades de propietarios, … y en definitiva cualquier actividad profesional
  • La LSSICe obliga a todas las empresas, autónomos, etc que tengan página web, independiente de si hacen venta on-line o no. Si hacen comercio electrónico tienen más obligaciones, pero si no lo hacen, también tienen otras determinadas obligaciones que cumplir. Es decir, por el mero hecho de tener página web hay que cumplir con esta ley.

Esta Ley no establece obligaciones para mi empresa y las sanciones no se hacen efectivas

  • La LOPD obliga a llevar a cabo una serie de acciones:
    • Inscripción de ficheros en la Agencia Española de Protección de Datos
    • Elaboración e implantación del Documento de Seguridad
    • Regulación del movimiento de datos con terceros
    • Auditoría cada dos años (sólo para aquellas empresas que tiene nivel medio o alto de datos)
  • La LSSICe por su parte, establece una serie de obligaciones, sobre todo documentales, que aplicar sobre la página web: condiciones generales de uso, condiciones particulares de contratación, etc
  • En caso de incumplir estas obligaciones, la empresa se expone a fuertes sanciones que van de 900 euros a 600.000 euros.
  • Las sanciones son reales y públicas. Las sanciones LOPD se pueden consultar en la web de la Agencia Española de Protección de Datos Personales (www.agpd.es)
  • Muchas empresas tienen que cerrar por culpa de estas sanciones.
  • Además de un daño económico, se produce un daño a la imagen de la compañía.
  • Cualquier persona que se considere afectada puede denunciar y esto generará automáticamente una inspección de la Agencia, la cual avisa con tal solo un día de antelación.
  • Los denunciantes habituales son:
    • Exempleados
    • Clientes insatisfechos
    • La competencia
    • Cualquier individuo con tiempo
  • El conocimiento de sus derechos por parte de los ciudadanos es cada vez mayor, lo cual hace que las denuncias y por tanto las sanciones estén creciendo exponencialmente en los últimos años.
  • El coste de adaptarse compensa el riesgo que la empresa está corriendo. Son costes muy asequibles para cualquier tipo de empresa, y por supuesto a medida.
  • No se suele incurrir casi nunca en costes derivados de la adaptación ya que las medidas de seguridad a adoptar son sencillas de implantar y en muchas ocasiones las empresas ya las tienen implantadas y solo hay que documentarlas.

Esto se hace una vez y ya está, no hace falta ni mantenimiento ni auditorías

  • No es suficiente con haberse adaptado a la LOPD en el pasado. Las empresas dejan fácilmente de estar adaptadas por dos motivos:
    • La evolución de la propia compañía, que puede haber cambiado de usuarios, haber generado nuevos ficheros, haber contratado nuevos servicios profesionales, haber cambiado sus sistemas informáticos y un largo etcétera de posibles eventualidades.
    • Los cambios en la Ley, no solo la LOPD o su reglamento, sino normas complementarias que surgen periódicamente.
  • Particularmente en el año 2008 cambió el Reglamento de la LOPD, pero además se han introducido nuevas normas desde entonces: videovigilancia, datos de menores, cookies, etc.
  • Las empresas que no se vayan adaptando a los cambios, bien internos o bien de la Ley, dejan de estar adaptados al 100% y por tanto vuelven a ser susceptibles de ser sancionadas.
  • Alaro Avant presta un servicio de mantenimiento anual para evitar entrar en esta situación.
  • Además existe una obligación para las empresas con datos de nivel medio y alto que es la de realizar una Auditoría LOPD al menos cada dos años. Alaro Avant proporciona también este servicio.
  • Cualquiera otra necesidad relacionada con la LOPD y la Seguridad de la Información también es prestada por Alaro Avant: formación y concienciación de los responsables, adaptación a la Ley de Internet (LSSICe), implantación de la norma ISO27001, etc.

Las Comunidades de Propietarios no tienen que adaptarse a la LOPD ni hacer mantenimiento

Las Comunidades de Propietarios son titulares de datos personales igual que cualquier otra persona jurídica. Normalmente tienen datos de los propietarios y en ocasiones además tienen datos de grabaciones de cámaras de seguridad, o datos de nóminas (un portero, personal de mantenimiento, personal de limpieza, etc). Están por tanto obligados a llevar a cabos las medidas que impone la LOPD exactamente igual que una empresa sin excepción: inscripción de ficheros, Documento de Seguridad, regulación del movimiento de datos con terceros y auditoría bienal (esto último solo en muy raras ocasiones).

Asimismo, igual que cualquier empresa, las comunidades también tendrán que mantener su adaptación. El caso más habitual es que cambien los datos de los propietarios, lo cual obliga a actualizar el Documento de Seguridad. Pero además podrían variar otros aspectos, como la instalación de una cámara de seguridad que obligaría a la inscripción de un nuevo fichero, por ejemplo. Además de todo esto, el mantenimiento puede venir obligado porque la propia Ley cambie y resulte imprescindible readaptarse aunque la Comunidad de Propietarios no haya cambiado nada. (Para más detalle sobre la obligación de mantenimiento, diríjase a la pregunta anterior)

Por otro lado, si los datos no están físicamente ubicados en la Comunidad de Propietarios sino que lo están en las instalaciones de un Administrador de Fincas, como así suele suceder, la Comunidad de Propietarios sigue estando obligada a cumplir con la LOPD ya que sigue siendo el titular de los datos aunque no estén en su poder. Por su parte el Administrador de Fincas tendrá también obligación de cumplir con la LOPD, pero de manera independiente a las comunidades que administra.

Prueba de que las Comunidades de Propietarios están obligadas a cumplir con la LOPD es que existen numerosas sanciones impuestas por la Agencia Española de Protección de Datos contra estas entidades y por importes elevados. Se pueden consultar en la web de la propia Agencia: www.agpd.es.

LOPD y Comunidades de Propietarios(PDF, 926 KB)

La Auditoría Bienal me la hago yo mismo

La ley efectivamente permite que sea así. Una empresa puede auditarse a sí misma. No obstante, siendo válida legalmente, la credibilidad de una autoauditoría es reducida de cara a una posible inspección de la Agencia Española de Protección de Datos.

No me aporta nada contratar una empresa para adaptarme a la LOPD y a la LSSICe

  • Alaro Avant se encarga de todo mientras que su empresa puede dedicarse mientras tanto a su negocio.
  • Externalizando este servicio con Alaro Avant se garantiza que la adaptación está realizada por profesionales con experiencia con lo que el riesgo de errores es mucho menor que si la propia empresa realiza su adaptación.
  • El cliente solo tiene que proporcionarnos cierta información básica para que podamos realizar el proyecto.
  • No somos intrusivos. Permanecemos en el cliente lo mínimo imprescindible.
  • Acompañamos a nuestro cliente continuadamente. Nuestros proyectos incluyen, si el cliente quiere, no solo la adaptación inicial, sino el mantenimiento, la auditoría, etc.
  • Asignamos un único interlocutor (un consultor especializado) con el cliente de tal manera que este siempre sabe a quién recurrir.
  • Nuestros consultores tienen experiencia de más de 5 años cada uno de ellos.
  • No utilizamos software. Todos nuestros proyectos son a medida.
  • Llevamos realizando proyectos desde el año 2000, tan solo unos meses después del nacimiento de la LOPD. Somos muy competitivos en precio y tenernos una cartera de clientes muy amplia y de alto valor que confía en nosotros continuamente.

Yo esto ya lo tengo solucionado con otra empresa

¿Está seguro de que está bien adaptado a la LOPD? ¿Hace un seguimiento periódico, unas revisiones de su adaptación LOPD?

Si no lo hace, es muy probable que ya no esté adaptado al 100% a la LOPD. En ese caso podemos ofrecerle el servicio de mantenimiento.

En cualquier caso, si hace mantenimiento o si no lo hace, podemos ofrecerle el realizarle un Autodiagnóstico gratuito para que conozca su grado de cumplimiento de la LOPD.

También puede consultar en la web de la Agencia Española de Protección de datos si la empresa tiene ficheros inscritos o no:

  • Si los tiene, eso NO significa que el resto de las obligaciones estén cumplidas. Ni siquiera significa que la inscripción de ficheros esté bien hecha. Sólo le indica que la empresa ha hecho algo al respecto. Pero no le confirma nada más.
  • Si no los tiene, es que la empresa no ha hecho nada al respecto a la LOPD ya que esta es la acción básica, la inicial. Si no tiene esto hecho es que no tiene las demás, y por tanto podemos concluir que la empresa no está adaptada a la LOPD.

A mí me lo hace la gestoría

Muchas gestorías, no todas, no suelen estar capacitadas para realizar correctamente este servicio ya que no es su actividad principal. Si la gestoría lo hace internamente, la adaptación generalmente presenta errores y carencias ya que no dispone de los especialistas adecuados. Si lo subcontrata con otros, el cliente no sabe quién se lo está haciendo, ni donde recurrir y además incurre en un coste adicional por el margen comercial que se lleva la asesoría.

La empresa debe preguntarse si la gestoría le ha entregado el Documento de Seguridad, contratos, resoluciones de inscripción, etc. ya que en caso de no tenerlos y recibir una inspección de la Agencia, les podrían sancionar.

Es interesante también que la empresa conozca si en caso de tener una sanción, la gestoría se hace responsable.

Me lo hace mi departamento jurídico o mi departamento informático (o cualquier otro departamento de la propia empresa)

Este suele ser el caso de empresas grandes. Normalmente estos departamentos tienen muchas otras funciones asignadas y la adaptación LOPD no es la prioritaria, con lo cual el trabajo que realizan en este campo puede ser insuficiente, erróneo, estar obsoleto, no llevar vigilancia permanente, etc.

Además quienes lo realizan no suelen ser especialistas en LOPD ni con experiencia suficiente en este campo. O si lo tienen, será solo en el ámbito de la propia empresa, mientras que nuestros consultores tienen experiencia de muy diversos sectores lo que les proporciona un conocimiento más amplio.

En Alaro Avant proponemos en estos casos trabajar conjuntamente con el departamento de la empresa que gestiona la LOPD con la idea de que este equipo esté complementado por nosotros. Así se crean equipos mixtos Alaro-Cliente donde se reparten las funciones a desarrollar.

Compré un software y ya con eso está solucionado

El software por sí solo no adapta a la LOPD. La empresa que lo adquiere tendría que haberlo instalado, haber metido datos, haber obtenido los documentos, realizar la actualización de estos documentos, etc.

Incluso si ha hecho todo el proceso, se encuentra con dos dificultades:

  • ¿Cómo sabe si lo ha hecho bien o mal? La empresa que lo adquiere no es experta y al software hay que decirle cómo hacer las cosas, qué ficheros son los que hay que inscribir, quiénes tienen acceso a datos, etc.
  • Sigue teniendo la necesidad de gestionarse ella misma la actualización, el mantenimiento, las auditorías, etc mientras que con Alaro Avant lo tendría resuelto externamente sin incurrir en costes internos de dedicación.

Es importante destacar que esto se debe hacer con profesionales cualificados, que son el centro principal de nuestra estructura como empresa. De esta forma, el cliente tiene la garantía de que su adaptación está bien hecha y así evita problemas.

Hice un curso y ya con eso está solucionado

Lo mismo que con el software. Una empresa no está adaptada por hacer un curso. De hecho la LOPD no obliga a hacer ningún curso (otra falsa creencia) sino tan solo a que los usuarios tengan conocimiento de sus funciones al respecto.

Hacer un curso LOPD es recomendable, pero el mero hecho de hacerlo no significa que la empresa está adaptada: no te inscribe los ficheros por sí solo, ni te hace el documento de seguridad, etc.

Esto un impuesto más, no vale para nada

Para empresas pequeñas, posiblemente la LOPD y la LSSICe sean solo una carga, ya que es más difícil que puedan aprovechar su adaptación para obtener algún valor añadido, aunque bien hecho, se obtienen mejoras en diversos aspectos (copias de seguridad, acceso a la información, etc).

Para empresas grandes no es cierto, la LOPD les ayuda a incrementar su seguridad y reducir su riesgo de manera notable.

En cualquiera de los casos, la LOPD es una ley que afecta a todas las empresas y por tanto es obligatorio cumplirla, aporte o no algún tipo de valor añadido. En caso de no hacerlo hay sanciones, las cuales tarde o temprano pueden llegar a la empresa que no esté adaptada.

No he tenido denuncias ni inspecciones hasta ahora, a mí no me van a sancionar

Las denuncias vienen por dos vías:

  • La propia Agencia, que de oficio puede determinar a qué empresas inspecciona sin que medie una denuncia. Esto es poco frecuente, y en cualquier caso solo a las grandes empresas o las de sectores sensibles a la privacidad son las que normalmente están más expuestas (telecomunicaciones, banca, sanidad, telemarketing, etc.)
  • Mediante una denuncia de un particular. La denuncia no es anónima, pero el denunciado no tiene acceso a saber quién es hasta bien avanzado el proceso. Las denuncias se generan habitualmente por exempleados, clientes insatisfechos, la competencia, y gente con tiempo y ganas de denunciar con cualquier motivo.

El hecho de que la empresa no tenga una denuncia hasta la fecha no implica que no la vaya a tener. De hecho, ya que no la ha tenido hasta la fecha, es más probable que la tenga en el futuro. La gente tiene cada vez más conocimiento para denunciar, y cualquiera, aunque sea solo para intentar causar un daño a la empresa, puede denunciar.

En el momento en que la empresa sea denunciada, ya no hay margen para ocultar la no adaptación a la LOPD, ni los errores cometidos, etc.

Una vez denunciada la empresa, habrá inspección, y si hay sanción esta será muy elevada probablemente, hasta el punto de que la mayoría de las empresas pequeñas sancionadas cierran por el importe de estas multas (de 900 a 600.000 euros).

Las sanciones no van en relación al tamaño de empresa, sino a la ilegalidad cometida, independientemente del número de trabajadores, de centros, etc. La sanción es la misma para una micropyme que para una multinacional, pero la primera tiene menos posibilidades económicas de soportarla que la segunda.

Además del daño económico, está el daño a la imagen de la compañía, que no es tan fácilmente cuantificable, pero que indudablemente es un daño que existe, principalmente para las compañías más grandes, ya que los medios de comunicación publicarán la noticia inmediatamente.

A mí no me van a denunciar porque lo estoy haciendo todo bien

El hacerlo bien no es garantía de que no se va a recibir una denuncia, tan solo es garantía de que no te van a sancionar en caso de haberla. Aún así hay un coste en recursos internos para defenderse de la denuncia.

Además, cuando una empresa demuestra habitualmente que está haciendo las cosas bien al respecto de la LOPD y la LSSICe, disuade a los posibles denunciantes de hacerlo.

Yo no tengo datos personales / yo tengo muy pocos datos

Cualquier empresa tiene datos personales para poder funcionar con normalidad. Datos de clientes, datos de proveedores, datos de personal, CVs, etc.

Solamente algún tipo de empresa muy particular, como por ejemplo empresas instrumentales o patrimoniales, que no tienen actividad real ni empleados, están fuera del ámbito de esta ley. El resto, todas tienen que cumplir. Tener un solo nombre de un empleado, por ejemplo, ya implica estar obligado a cumplir con la LOPD porque eso significa tener un fichero de empleados. No tiene nada que ver con tener muchos o pocos datos. Tan obligado está un autónomo con un solo dato, como una multinacional con millones de datos.

Yo sólo tengo datos personales muy sencillos

En ese caso la adaptación a la LOPD será también muy sencilla pero igualmente la empresa tendrá que adaptarse. No estará exento de hacerlo por esta circunstancia.

La Ley determina tres niveles de datos (básico, medio y alto) en función de la sensibilidad de los mismos, y para los tres establece diferentes obligaciones.

Los datos personales que tengo son míos

La ley no exime a las empresas de adaptarse cuando los datos sean suyos. Todos los datos personales, sean de la propia empresa (como por ejemplo el listado de empleados) o sean de terceros, se tienen en cuenta para la adaptación LOPD.

La LOPD no impide que la empresa trate sus propios datos, ni siquiera impide que trate los de terceros. Simplemente establece los procedimientos para hacerlo correctamente.

Es muy caro

En el mercado hay absolutamente todos los precios. Desde adaptaciones a la LOPD por 100 euros hasta decenas de miles de euros. Lo importante es comprobar que el servicio que se ofrece es el que la empresa necesita y ver a continuación si el precio es acorde con ese servicio.

Una adaptación LOPD se puede hacer por 100 euros para una comunidad de propietarios, por ejemplo, pero no para una empresa de 10 trabajadores. En ese caso, el proveedor estará restando servicios para obtener rentabilidad a esos 100 euros pero quien sufrirá las consecuencias de esa merma en el servicio, sin saberlo la mayoría de las veces, será el cliente.

La proporción se mantiene para el resto de tamaños de empresa: el precio para una compañía de 10 trabajadores no va a ser igual que para una de 100, ni este igual que para una de 1.000, etc. Igualmente pasa con los sectores: el precio para una compañía de un sector industrial, por ejemplo, no va ser igual que para una del sector sanitario por el diferente tipo y sensibilidad de datos que tratan. Si desea tener un presupuesto de nuestros servicios para su empresa, solicítenoslo aquí.

Alaro Avant lleva desde el año 2000 en este sector, lo cual necesariamente es garantía de que la relación entre los servicios que ofrece y el precio de los mismos es óptima y por supuesto, siempre a medida de las necesidades de cada cliente. Le animamos a que consulte nuestra relación de cliente para que vea el perfil de empresa que confía en nosotros.

Es muy barato

Efectivamente la adaptación a la LOPD suele ser muy barata, sobre todo en relación a la reducción del riesgo de sanción que se obtiene a cambio. Recordemos que las sanciones van desde los 900 euros a los 600.000 euros. Por tanto, cualquier presupuesto compensará el esfuerzo. Si desea tener un presupuesto de nuestros servicios para su empresa, solicítenoslo aquí

No obstante, entendemos que debe desconfiar de presupuestos extremadamente bajos, porque la empresa que lo realice, en su legítima pretensión de obtener beneficio económico, dedicará a su proyecto exclusivamente el tiempo que le permita obtener dicho rendimiento y no más.