Guía para cumplir la LOPD en una web

Cómo subir los ficheros necesarios a la Agencia Española de Protección de Datos para cumplir la LOPD

La legislación española dice que si recoges datos personales de tus usuarios o clientes, estás obligado a cumplir la LOPD o Ley Orgánica de Protección de Datos. Esto incluye, según la interpretación de algunos jueces, la dirección de correo electrónico.

El incumplimiento de la LOPD puede acarrear sanciones que van desde los 600€ hasta… 600.000€

Están obligados a dar de alta su fichero de datos en la Agencia de Protección de Datos

1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos.

2. Por vía reglamentaria se procederá a la regulación detallada de los distintos extremos que debe contener la notificación, entre los cuales figurarán necesariamente el responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad, con indicación del nivel básico, medio o alto exigible y las cesiones de datos de carácter personal que se prevean realizar y, en su caso, las transferencias de datos que se prevean a países terceros.

3. Deberán comunicarse a la Agencia de Protección de Datos los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación.

4. El Registro General de Protección de Datos inscribirá el fichero si la notificación se ajusta a los requisitos exigibles. En caso contrario podrá pedir que se completen los datos que falten o se proceda a su subsanación.

5. Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado a todos los efectos.

La LOPD dice que, en el caso de que guardes datos personales, estás obligado a:

• Informar a tus usuarios de qué datos personales estás recogiendo, cómo vas a utilizarlos y obtener su consentimiento para hacerlo. Una vez más, para el 99% de las webs -las que sólo recogen los datos más básicos, como el nombre y el correo electrónico- con un consentimiento tácito es suficiente (Ej. “El registro en esta web implica la aceptación de su Política de Privacidad“). Además, debes proporcionar un método para que dichos usuarios puedan consultar, modificar o dar de baja sus datos.
• Implementar las medidas de seguridad oportunas para proteger los datos. El nivel básico de seguridad, nos obliga a:
  • Garantizar que no dejaremos que cualquier persona acceda a los datos, mediante una contraseña
  • Hacer un copia de seguridad de los datos con carácter semanal.
  • Cambiar la contraseña de acceso al menos una vez al año.
  • Escribir un documento que explique nuestra “política de seguridad” (quién tiene permisos de acceso, qué base de datos se utiliza, etc…)
• Registrar el fichero de datos en la AEPD, Agencia Española de Protección de Datos. Donde podéis identificar el “fichero“ como el conjunto de tablas de base de datos, ficheros de texto, Excel, libro de registro donde se guardan los datos personales.

No se notifican los ficheros/bases de datos entendidos a nivel informático sino el nombre del fichero al que tu das un nombre y que estarían allí incluidos esos datos (ej: nombre y apellidos, dirección, dni, teléfono, imagen, etc). La normativa incluye un concepto de fichero en el que un sólo fichero puedes incluir varios ficheros/bases de datos incluso de distinta naturaleza (informáticos y documentales). No se notifican los datos que mantienes sino el tipo de datos y el nombre del fichero donde están, así un usuario al saber por tu página de Política de Privacidad quién es el responsable de ese fichero puede solicitar cambios o eliminación de sus datos personales.

Los dos primeros puntos puedes cumplirlos durante el diseño de la web. Queda “registrar un fichero”, y podemos registrar online el dicho fichero

1º Te tienes que sacar un certificado digital, por eejmplo en  en https://www.sede.fnmt.gob.es/certificados

Una vez obtenido e instalado en nuestro ordenador y navegador el certificado digital y Acrobat Reader podemos empezar el proceso de alta digital con el sistema NOTA (un formulario PDF interactivo)

Ver Guía rápida de notificación de ficheros mediante el Servicio Electrónico NOTA (PDF)

IMPORTANTE: Navegador a partir de Septiembre del 2015 Google Chrome ha dejado de soportar NPAPI, lo cual afecta a las aplicaciones java que se ofrecen a través de navegadores web como applets de java. Se va a usar otro navegador (Firefox, Safari..).

Para ello nos dirigimos a la url del CANAL DEL RESPONSABLE: https://sedeagpd.gob.es/sede-electronica-web/vistas/formNOTA/nt01Inicio.jsf 

Si comenzamos a realizar una notificación con anterioridad y no la dimos por finalizada nos facilitaron un  “Código de Reanudación” para continuar sobre la misma “Reanudar una Notificación”. Si queremos reanudar la inscripción del fichero relenamos los campòs correspondientes.

Si deseamos comenzar una notificación de ficheros nueva elegimos la primera de las opciones. . En nuestro caso elegimos “Iniciar Nueva Notificación”, esto nos lleva a la siguiente pantalla:

En nuestro caso elegimos “Titularidad privada” y  “Con Certificado” (el certificado digital que hemos instalado en nuestro navegador). Nos envía al sistema “Clave” de autentificación y elegimos la casilla marcada EIdentificer y luego el certificado digital correspondiente.

La persona que desee realizar esta forma de presentación de la notificación deberá:

1.-Rellenar el formulario, accediendo a éste mediante el botón de ‘Acceso al trámite’.

2.-Una vez cumplimentadas todas las solicitudes, para presentar la notificación debe pulsar el botón “Enviar”.

3.-El sistema le ofrecerá la posibilidad de descargar un archivo PDF con el justificante de haber realizado la notificación.

Puede suceder (y sucede a menudo que tengas que intentarlo varias veces antes de poder presentar la solicitud:

Una vez rellenado el formulario por completo, antes de enviarlo tendrás que firmarlo electrónicamente con tu certificado digital.

Una vez finalizada y firmada la solicitud, tendrás un PDF que podrás guardar: una “Solicitud de Inscripción”. De hecho, será el único PDF que, oficialmente, podrás guardar.

Lo que sí vale como prueba son los datos de registro de entrada que aparecen en el formulario interactivo PDF una vez que lo envías a la AEPD. Datos que, por supuesto, no puedo guardar ni exportar como PDF normal -¿para qué ponérselo fácil a la gente?- sólo imprimir. Así que, la única forma que para guardar digitalmente la solicitud es imprimir y escanear la solicitud con los datos de registro de entrada. En la imagen puedes ver lo que debes guardar:

Una vez que tienes tu fichero registrado  hay que comprobar que todo ha finalizado correctamente. Por eso, te vas al buscador de ficheros registrados de la AEPD, te buscas a ti mismo, lo normal es que no aparezcas, tu fichero tardará alrededor de un mes en aparecer en su web.

Pero como dice la AEPD: 5. Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado a todos los efectos.

En teoría, se deben registrar los ficheros con un mes o más de antelación antes de que lancemos la página web.

Además de este fichero nota debes de cumplir con más obligaciones, custodia de soporte físico y digital, etc… y además elaborar un documento de seguridad que vendría a ser como un protocolo donde describe cómo gestionas tu web de acuerdo a la LOPD.

>Puedes ver varias guías en la Agencia

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/index-ides-idphp.php

>Para el NOTA

https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/Notificaciones_tele/index-ides-idphp.php

>Documento de seguridad

https://www.agpd.es/portalwebAGPD/canalresponsable/guia_documento/index-ides-idphp.php