Formación para la concienciación de la información
Preguntas que necesitan respuesta
La Ley de Protección de Datos ofrece protección al empleado y enumera las normas que deben seguir los empleadores al recopilar información privada sobre el empleado. Todas las organizaciones deberían tener un programa de cumplimiento de la normativa que ofrezca formación a los empleados sobre todas las disposiciones de la Ley de Protección de Datos. Hay que tener en cuenta que la Ley de Protección de Datos establece normas en general. Cada organización debe establecer sus propios requisitos de cumplimiento en función de su propio entorno. Hay muchas preguntas a las que hay que responder para que tanto los empleados como los empresarios tengan una idea clara de sus derechos y responsabilidades.
¿Existen restricciones establecidas por la DPA en relación con la recogida de datos?
Se estipula que la organización o el individuo que procesa los datos personales debe seguir escrupulosamente los tres principios siguientes.
La recogida de datos debe hacerse de manera justa y debe cumplir todas las disposiciones legales.
Debe especificarse claramente la finalidad de la recogida de datos.
Sólo deben recogerse los datos que sean relevantes para el tema en cuestión.
¿Es obligatorio informar a las personas cuyos datos se recogen?
Sí, el empresario debe informar a los ciudadanos de que se recogen sus datos. También deben saber por qué se recogen. De hecho, la ley estipula que debe darse un aviso antes de la recogida de datos. Las personas deben saber qué hará exactamente la empresa con los datos recogidos. El aviso debe estar en un idioma que el empleado entienda.
¿Puede divulgarse la información así recogida a otras personas?
No, la DPA prohíbe la divulgación de la información a otras partes. Hay ciertas excepciones legales para las que se permite la divulgación. La ley es muy clara en cuanto a que la persona debe ser informada específicamente antes de que los datos se compartan con terceros, incluida la policía y el sistema de seguridad social. La ley es explícita sobre el hecho de que se requiere la autorización específica de la alta dirección antes de la divulgación de datos a las autoridades policiales, así como a los nuevos empleadores. Otro aspecto importante es que la divulgación debe ser relevante para las necesidades de la organización que la solicita. Los procedimientos de divulgación pueden variar de una organización a otra.
¿Cómo se debe garantizar la seguridad de los datos personales así recogidos?
Debe haber un documento de política bien enmarcado que enumere los procedimientos que deben seguirse para la protección de los datos recogidos. Las medidas de seguridad deben cumplir con las normas internacionales establecidas por la ley del país. Muchas veces se recogen datos con fines de marketing a través de sitios web de comercio electrónico. Estos datos también deben ser objeto de medidas de seguridad. Todo tipo de recogida de datos entra en el ámbito de la DPA.
¿Cuál debería ser la situación de la recogida de datos?
Es responsabilidad primordial del empresario asegurarse de que la recopilación de datos se actualice lo más posible. Puede ocurrir que el empleado haya cambiado de domicilio. La actualización de los datos debe hacerse en la medida de lo posible.
¿Existe algún plazo de conservación de los datos personales?
La ley establece claramente que los datos personales deben conservarse sólo durante el tiempo necesario. Por lo tanto, se prevé que quienes recogen datos deben tener una política de conservación de datos bien definida. También debe garantizarse que, una vez transcurrido el periodo requerido, los datos se eliminen de forma permanente.
¿Quién debe saberlo y en qué medida?
La recogida de datos debe tener una finalidad específica. Por ejemplo, un banco o una institución financiera que se dedique a la tramitación de préstamos necesitaría ciertos datos personales adicionales que una empresa de marketing no necesitaría. Por lo tanto, los requisitos de la empresa de tramitación de préstamos serían diferentes de los de una empresa de comercialización de préstamos. La ley prohíbe el intercambio excesivo de información. Más aún si la información que se busca es por motivos étnicos. Las cuestiones políticas y religiosas son delicadas y, por tanto, deben tratarse con cuidado. Del mismo modo, las cuestiones relacionadas con la salud o las preferencias sexuales deben tratarse de forma diferente para no herir ningún sentimiento.
¿Cómo garantizar que los datos almacenados en ordenadores u otros dispositivos portátiles son seguros y a prueba de manipulaciones?
La mejor manera de asegurar los datos almacenados electrónicamente es encriptándolos. De este modo, se convierten en inviolables y no pueden ser robados con facilidad. Además, la empresa recopiladora debe procurar que estos mecanismos de seguridad se actualicen constantemente, ya que la tecnología crece a un ritmo tremendo. Estos datos también pueden almacenarse en un servidor en la nube para que la recuperación sea fácil en caso de que el dispositivo sea robado o dañado.
En el caso del personal, ¿es conveniente vigilar sus movimientos mediante CCTV o escáneres de correo electrónico?
La actividad del personal puede ser controlada, pero hay que tener en cuenta que las disposiciones de la DPA serán aplicables y el empleador no debe infringir los derechos de privacidad del empleado. Sí, se pueden utilizar las cámaras de vídeovigilancia y los escáneres de correo electrónico, siempre que se respeten las normas y reglamentos establecidos por la DPA. Ni que decir tiene que el personal debe estar al tanto de estas medidas de vigilancia. Sólo cuando la integridad del personal parezca sospechosa, el empresario podrá recurrir a la vigilancia encubierta. Se han establecido normas específicas a tal efecto y deben seguirse en todos los aspectos.
Es aconsejable obtener asesoramiento legal antes de recurrir a la vigilancia encubierta. 10. ¿Cuál es el procedimiento a seguir en caso de que se produzcan violaciones de datos a pesar de haber tomado todos los procedimientos? Garantizar la seguridad de la recogida de datos personales es la principal responsabilidad de los responsables del tratamiento. En lo que respecta a la notificación de las violaciones, no existe una norma estricta sobre quién debe notificar la violación de los datos. Siempre es mejor que la violación se ponga en conocimiento de la ICO.
Conclusión
Se trata de algunas cuestiones que requieren una aclaración inmediata en relación con las cuestiones de recogida de datos personales.