La Ley 15/1999 y su efecto perjudicial en tu empresa

La entrada en aplicación de la normativa europea en materia de protección de datos (RGPD) y de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) el pasado 7 de diciembre, llevaron a las empresas a actualizar su política de protección de datos y la forma que tienen de recopilar y tratar los mismos.

Casi medio año después, si se realiza una selección al azar de webs de empresas y se examina dicha política, se observará que la mayoría se basan en la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) 15/1999. No obstante, emplear esta ley actualmente conlleva dos graves riesgos que pueden perjudicar seriamente a tu empresa.

Una ley en desuso…

La LOPD 15/1999 del 13 de Diciembre es una ley española sobre protección de datos que tenía como fin gestionar todo lo concerniente al tratamiento de datos personales, las libertades públicas y los derechos fundamentales de las personas físicas. La Ley 15/1999 era en la que se basaba la política de protección de datos de carácter personal.

Sin embargo, la entrada en aplicación del RGPD en el mes de mayo de 2018 y la entrada en vigor de la LOPDGDD el pasado diciembre derogaron esta ley y su reglamento de desarrollo, introduciendo a su vez un nuevo sistema de responsabilidad proactiva para las empresas. En este sentido, conviene mencionar que el RGPD y la LOPDGDD deben entenderse como una sustitución de la Ley 15/1999 para adaptarse a la nueva normativa europea de protección de datos. Únicamente existen 3 artículos de la Ley 15/1999 que todavía siguen en vigor pese al cambio:

• Artículo 22 Ficheros de las fuerzas y cuerpos de seguridad.
• Artículo 23 Excepciones a los derechos de acceso, rectificación y cancelación.
• Artículo 24 Otras excepciones a los derechos de los afectados.

En consecuencia, en la política de protección de datos de las páginas web debe figurar la nueva normativa, cuya implementación en la empresa debe ser fruto de un estudio tanto legal como tecnológico, a fin de llevar a cabo las acciones adecuadas. En relación con este aspecto, en esta entrada podrás encontrar más información acerca de los errores comunes que llevan a cabo las empresas a la hora de implantar el RGPD.

Por lo tanto, se concluye que si una empresa basa su política de privacidad y tratamiento de los datos en la LOPD 15/1999 está empleando una ley derogada y sin validez, que viene a indicar que no dispone de una política para su tratamiento.

…Y perjudicial para tu empresa.

Una de las normativas que miden los estándares de calidad y el buen hacer de las organizaciones son las certificaciones ISO. Se trata de normativas cuyo cumplimiento garantiza a los clientes que están ante una empresa competente y fiable. Existen multitud de certificaciones ISO disponibles que tratan diversos aspectos relacionados con la seguridad y calidad de la empresa. Tres de las más habituales son las siguientes:

• Certificación ISO 9001: Certifica que la empresa cumple con unos estándares de calidad acordes a la normativa, garantizando que los productos y servicios cuentan con las pruebas correspondientes que permiten asegurar una calidad en los mismos.
• Certificación ISO 14001: Las empresas que disponen de esta certificación están certificadas como organizaciones que disponen de un sistema de gestión ambiental que garantice el cuidado y respeto por el medio ambiente.
• Certificación ISO 27001: Está orientada a asegurar que los sistemas de procesamiento y tratamiento de la información y los datos personales garantizan la confidencialidad y la integridad de los mismos.

Es en este último caso donde la aplicación de la Ley 15/1999 puede ser perjudicial para la empresa. Toda organización que tenga una ISO 27001, y a su vez base su política de protección de datos en la Ley 15/1999, automáticamente está incumpliendo los estándares de calidad que rigen la certificación. En este caso, la empresa sufre el riesgo de que se le retire su ISO 27001, perjudicando su reputación e imagen.

Sin embargo, la sanción más grave viene dada por la propia utilización de la LOPD 15/1999 en lugar del RGPD y la LOPDGDD, en tanto que la empresa está llevando a cabo el incumplimiento de las mismas y de la actual regulación en materia de protección de datos.

Las multas administrativas que se derivan de tal acto pueden ser desde leves a muy graves, ascendiendo las sanciones hasta los 20.000.000 de euros, o bien a una cantidad equivalente al 2% o el 4% del volumen de negocio total anual global del ejercicio financiero anterior, siendo la cantidad más elevada de ambas opciones la que finalmente se aplique al infractor.

En Leasba contamos con un departamento especializado en derecho tecnológico que, en combinación con el departamento tecnológico, realiza implementaciones y formaciones de RGPD en las empresas. Si todavía no has actualizado tu política de privacidad y quieres evitar correr riesgos innecesarios, nosotros la actualizamos y adaptamos tu sistema a la nueva regulación.

Síguenos en Linkedln para estar al tanto de las últimas novedades en tecnología y derecho tecnológico.

También publicada en Medium.