Blog

Cuándo denunciar por incumplimiento LOPD (LOPD 1ª parte)

Hoy os traigo una pequeña guía para que con 3 simples acciones sepáis si una empresa incumple la “Ley orgánica de protección de datos” (LOPD en adelante). En un próximo capítulo os pondré cómo se denuncia ante la agencia mediante un caso práctico.

Realmente hay una gran cantidad de requisitos que las empresas tienen que satisfacer para cumplir con la normativa, pero como no quiero aburriros explicándoos la LOPD os voy a traer los detalles más fáciles de identificar.

Como datos de interés os diré que hay muy pocos inspectores en la “agencia española de protección de datos” (AGPD en adelante) y es muy poco habitual que te toque una inspección rutinaria. Sin embargo, como alguien te ponga una denuncia ante la AGPD ten por seguro que te cae una.

Por otro lado, debéis saber que sólo un 18% de las empresas cumple integramente con la LOPD, lo que implica que un 82% incumple parcial o totalmente la normativa (estos datos no son reconocidos por la AGPD, pero si por empresas que se dedican a hacer las adecuaciones y auditorías LOPD a empresas 🙂 ).

Aspectos visuales de incumplimiento según desconocimiento de la gente:

Cámara de videovigilancia y cartel de advertencia; Situación: en la calle

Muchas veces habréis visto un cartel amarillo como éste en el que se os avisa de que hay una cámara grabando perteneciente a la empresa X y que puedes ejercer tus derechos en la calle Y. Si hay una cámara grabando y no aparece ningún cartel, a no ser que pertenezca a los cuerpos y fuerzas de seguridad del estado o a alguna institución pública, se estaría incumpliendo la LOPD.

Lo más normal es que haya algún cartel que indique la presencia de la cámara y un texto que diga dónde puedes ejercer tus derechos, PERO lo que poca gente sabe es que ese cártel lo tienes que poder leer antes de que te grabe! Una gran mayoría de carteles están puestos de tal manera que cuando quieres leerlo, ya te han grabado. Este es un claro caso de  incumplimiento de LOPD.

Buscar los archivos en la base de datos de la agencia; Situación: en casa o desde el móvil

Una forma fácil de ver si una empresa cumple con la LOPD es ver los ficheros que tiene registrado en la AGPD (en cierta manera, podría ser una forma de fingerprinting jejeje). Los podéis buscar aquí: http://www.agpd.es/portalwebAGPD/ficheros_inscritos/titularidad_privada/index-ides-idphp.php. Para búsca debéis poner el nombre de la empresa.

Casi cualquier empresa trata 2 tipos de datos de carácter personal: “Clientes” y “Empleados” (y algunos “proveedores” en caso de contratar personal autónomo) y debe registrarlos en algún fichero. No es necesario que tengan un fichero separado para cada uno de estos grupos sino que con tener uno global ya vale.

El problema viene cuando una empresa como una academia o una autoescuela no tiene registrado en ningún fichero los datos de sus clientes (que en este caso serían los estudiantes de la misma). Está claro que tienen que tener como poco un listado de sus estudiantes para pasar lista, o confirmar pagos y esos datos no están recogidos en ningún fichero registrado en la agencia; esto sería un claro caso de incumplimiento.

No todas las empresas requieren estos 3 grupos de datos, hay que ver el negocio y hacerse una idea de a quien compra servicios/productos (los datos de empresas; persona jurídica, no constituyen datos de carácter personal mientras que los de un autónomo sí), a quién se los vende y quienes lo transforman y ver si almacena datos de personas en cada uno de estos apartados.

En empresas de muy pocos empleados (de 1 a 3) a veces se suele hacer la vista gorda en lo relativo a que tengan registrado un fíchero para los datos de “empleados”.

Disclaimer recolección de datos en inscripciones; Situación: en la calle u online

Cuando rellenéis cualquier formulario por internet o físicamente en papel fijaros que siempre haya una letra pequeña en la que se estipula que la empresa X recoge tus datos con un fín concreto. Muchas veces determinar si los disclaimers tienen  “claúsulas abusivas” es complicado, por lo que vamos a quedarnos con 2 conclusiones: Si no ponen el fín para recoger los datos incumplen (como fín puede ser “estudio de mercado”, “investigación”, “avisar nuevas ofertas”…; pero tiene que poner algo), y ya si el documento no tiene ningún disclaimer vuelven a incumplir.

Y bueno, aquí se queda esta primera entrada sobre LOPD. La siguiente entrada de LOPD será de una denuncia real ante la agencia y el mecanismo para hacerlo.

Espero que os haya gustado y recordad la próxima vez que veáis un cartel de advertencia de “estáis siendo grabados” si habéis sido capaces de leerlo antes de que la cámara os grabe 😉

Carlos Rebollo – @charliesec
carlos@highsec.es

  1. BTshell
    BTshell06-27-2013

    Una información, sin duda muy valiosa en muchos casos, ya que se suele vulnerar bastante más de lo que creemos los derechos de la gente 🙂 muy buen aporte desde mi PUNTO de vista, GRACIAS. 🙂

  2. Carlos Rebollo Rodríguez
    Carlos Rebollo Rodríguez06-27-2013

    Muchas gracias! Me alegro que te haya gustado 🙂
    Sobre todo he querido escribir el Post para esas ocasiones cuando una empresa te toca la moral, que la gente tenga algún recurso con el que presionar.

    Algunas sucursales bancarias incumplen lo de la grabación…

  3. Silvia
    Silvia11-04-2013

    Muy buen post. ¿Para cuándo una segunda parte? La necesito… 😉

  4. carlos
    carlos11-19-2013

    Nos estamos pasando con tanta tontería. cuando esta es la calle no estas haciendo nada intimo. Desde que sales de tu casa todo es publico. y me importa poco cuantas cámaras me graven a mi paso por la calle. El único que pierde es el delincuente. ya me gustaría que no hubiera un espacio en este mundo sin cámaras.

Leave a Reply

*

    No Twitter Messages