La protección de datos de nuestros clientes no es un trámite legal para sacarnos el dinero, sino una necesidad de sentido común con el que acreditar que nuestros clientes son importantes y por eso respetamos sus datos personales.
Proteger los datos de nuestros clientes (y empleados) tiene unas implicaciones de tramitación legal y de adecuación de los ficheros que los contienen, que siempre se acaban traduciendo en unos cuantos euros de coste, razón por la cual son muy pocas las empresas que actúan correctamente; algunas más, las que han realizado lo mínimo “para cubrir el expediente” y todas las demás (la mayoría) no han hecho nada, como no sea encomendarse a algún santo patrón y esperar que una inspección no les saque los colores y los billetes.
Para la mayoría de empresas, que en España son de dimensión pequeña o mediana, la adecuación de sus ficheros y forma de trabajar con datos de carácter personal a los requerimientos legales supone un coste, sin que nadie les haya explicado las ventajas más allá de meterles miedo por las elevadas multas en caso de inspección y ese coste tiene en muchas ocasiones un claro factor disuasorio.
La adecuación tiene implicaciones legales de tramitación (un coste), necesidades organizativas e informáticas en la protección de ficheros (otro coste) y necesidades de seguimiento de su cumplimiento (otro coste más). La dispersión de tarifas que se ofertan en el mercado es significativa y lo que se recibe a cambio suele ser lo mismo: unos documentos y unos manuales, que nadie lee y por lo tanto no se aplican.
Y no se leen ni aplican por un error de concepto: la protección de datos de nuestros clientes no es un trámite legal para sacarnos el dinero, sino una necesidad de sentido común en la gestión y uso de los datos de carácter personal, con el que acreditar que nuestros clientes son importantes y por eso respetamos sus datos personales. Aquí entra lo que sería el tercer coste para las empresas: vigilar que la protección de datos se cumple día a día. No es de extrañar, por lo tanto, que muchas empresas hayan cubierto la tramitación legal, pero sigan actuando como siempre: normalmente mal.
Tanto unas empresas, las que han registrado sus ficheros de datos personales, como las que no lo han realizado, habrían de aplicar el sentido común en la captación, gestión y uso de los datos de carácter personal y después cumplir con los trámites de registro de ficheros en lugar de conformarse o preocuparse por esto último.
Pero el sentido común no es universal ni uniforme en todos los casos. La casuística en que pueden verse involucrados este tipo de datos es tal que, a manera de síntesis, intentaremos resumirla en unos ejemplos.
Datos de clientes. Electrodomésticos La Lavadora, S.A.
Lo habitual es que los clientes nos compren una lavadora y deseen que se les lleve a casa. En el maletero del coche no suelen caber. Para ello nos dan su nombre y dirección, que ya son de por sí datos de carácter personal que deben protegerse.
¿Qué puede hacerse con esos datos?
En primer lugar deben conservarse 4 años por exigencia fiscal, para acreditar las operaciones comerciales de la empresa. Pero conservar no significa divulgar, ceder a terceros o usar para promociones futuras. Conservar es conservar, es decir, guardar.
¿Qué no puede hacerse con esos datos?
No puede hacerse nada más. ¿Tenemos permiso para ello?.
Es de sentido común que si queremos que nos lleven la lavadora a casa, hemos de dar nuestra dirección y para eso hemos dado los datos y no para que nos llenen el buzón con propaganda. Lo uno (lavadora en casa) no es sinónimo de lo otro (buzón con propaganda) y el cliente ha dado permiso para lo primero, pero no para lo segundo.
Si el comerciante quiere usar los datos con otra finalidad, ha de tener permiso expreso. Permiso que debe contemplar a quién, en qué condiciones y para qué finalidad se otorga. Si el permiso es para La Lavadora S.A. esos datos no podrán ser usados por el mismo comerciante cuando inaugure Restaurante El Plato o Electrodomésticos Ropa Limpia S.L. por mucho que todos esos negocios sean propiedad del mismo empresario.
Datos de empleados. Electrodomésticos La Lavadora, S.A.
Los empleados también son personas y como tales tienen datos de carácter personal que han de protegerse y usarse para los únicos fines con que han sido obtenidos: filiación a la Seguridad Social, pago de nominas y retenciones fiscales. Cualquier otro uso o cesión a terceros ha de tener el consentimiento del empleado titular de los datos.
¿Qué puede hacerse con esos datos?
En primer lugar deben conservarse 4 años para acreditar el cumplimiento de las obligaciones fiscales y en materia de cotizaciones sociales. Y nos repetimos: conservar no significa divulgar, ceder a terceros o usar con otros fines.
Entre esos datos puede figurar el estado civil de una chica, que a nadie le importa, su fecha de cumpleaños que ella no celebra o los días que estuvo de baja por un aborto. Todo ello es información privada que sólo la interesada puede determinar a quién y para qué la facilita. La cesión a terceros (como son las gestorías) requiere su autorización expresa.
¿Qué no puede hacerse con esos datos?
La casuística más frecuente de incumplimiento suele darse en la cesión a terceros (normalmente gestorías) que son las que tramitan la afiliación a la Seguridad Social y confeccionan las nóminas. ¿Existe ese permiso?
De nada sirve que la gestoría sea de un sobrino del dueño de Electrodomésticos La Lavadora S.A. o incluso que ambos empresas sean del mismo empresario. La chica del ejemplo dio sus datos a La Lavadora S.A: para trabajar y cobrar. ¿Se le pidió permiso para transferirlos también a otra empresa sea gestoría o no?.
En conclusión
Los datos de carácter personal se piden y se obtienen (si nos los dan) para una finalidad en concreto. El uso para otras finalidades o por otras persona, no demuestra precisamente mucho respeto para con nuestros clientes o empleados, razón más que de sobra para no comprometer nuestra profesionalidad.
Por sentido común: si tengo permiso los uso, sino lo tengo no los uso.
