proteccion-datos-caracter-personal

¿Qué tengo que hacer para cumplir con la LOPD?

En el día a día de la gestión de un negocio, bien seas un autónomo o una empresa, ¿manejas datos personales de tu clientela?, ¿qué se consideran datos personales? , ¿cuáles están exentos de la Ley Orgánica de Protección de Datos?, ¿a qué nos obliga la ley?  ¿cuáles son las infracciones y sanciones?. A través del presente intentaremos, con carácter general, dar respuesta a las principales cuestiones que plantea la normativa sobre protección de datos de carácter personal.

La protección de datos como derecho fundamental.

A modo de introducción es preciso señala que, la protección de datos está jurídicamente considerada por el Tribunal Constitucional como un derecho fundamental autónomo. Debe señalarse que es en la STC 292/2000 donde el Alto Tribunal diseña  con nitidez el contenido del derecho fundamental a la protección de datos, y más concretamente en el fundamento quinto  de la sentencia confirma la interpretación conforme a la cual el art. 18.4 CE incorpora un nuevo derecho fundamental dotándolo de plena autonomía respecto del derecho a la intimidad:

«Este derecho fundamental a la protección de datos, a diferencia del derecho a la intimidad del art. 18.1 CE, con quien comparte el objetivo de ofrecer una eficaz protección constitucional de la vida privada personal y familiar, atribuye a su titular un haz de facultades que consiste en su mayor parte en el poder jurídico de imponer a terceros la realización u omisión de determinados comportamientos, cuya concreta regulación debe establecer la ley, aquella que conforme al art. 18.4 CE debe limitar el uso de la informática, bien desarrollando el derecho fundamental a la protección de datos (art. 81.1 CE), bien regulando su ejercicio (art. 53.1 CE). La peculiaridad de este derecho fundamental a la protección de datos respecto de aquel derecho fundamental tan afín como es el de la intimidad radica, pues, en su distinta función, lo que apareja, por consiguiente, que también su objeto y contenido difieran».


¿Qué se considera datos de carácter personal?

En virtud de lo dispuesto en el art. 3.a) de la LOPD y el art. 5.1. f) de su reglamento de desarrollo, tienen la consideración de “datos de carácter personal” <<cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables>>. En consecuencia, cuando la ley habla de datos de carácter personal no sólo hace referencia al nombre y apellidos de la persona, sino que, de forma amplia incluye cualquier tipo de información como fotografías, vídeos, voz, etc y siempre que haga referencia a una persona física identificada (se sabe a quién pertenece el dato) o identificable (se desconoce a quién pertenece el dato pero sería posible averiguarlo sin demasiado esfuerzo).


¿Es aplicable la normativa de Protección de datos de carácter personal a personas jurídicas?

No, la normativa de protección de datos sólo es aplicable a las personas físicas, ya que el objeto de la LOPD es garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.


¿Qué debe hacer el empresario para cumplir con la LOPD?

La inclusión de datos de carácter personal de una persona física supondrá un tratamiento de dichos datos e implica una serie de obligaciones de acuerdo con la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y su normativa de desarrollo. Así las cosas, para que un empresario cumpla con lo previsto en la ley, deberá diseñar  y poner en marcha una serie de medidas, normas de actuación, formularios, cláusulas y procedimientos.aepd-agencia-espanola-proteccion-datos

Si bien, es preciso indicar que cada tratamiento de datos de carácter personal es diferente en cada caso dependiendo, entre otras cosas, del origen de los datos, del tipo de datos, del tipo de instalaciones y soportes en los que se encuentren almacenados dichos datos.  No obstante, con carácter general y a título meramente orientativo, podemos decir que, para cumplir con la LOPD el empresario deberá tener en cuenta al menos los siguientes aspectos:


1. INSCRIPCIÓN DE LOS FICHEROS.- Todos y cada uno de los ficheros
existentes en una empresa deben estar inscritos en el Registro General de Protección de Datos para que los mismos estén accesibles para su consulta por cualquier interesado. Para ello, la empresa, a través del formulario de notificaciones telemáticas a la AEPD (NOTA), deberá notificar la existencia de los ficheros a la Agencia de Protección de Datos. El Registro General de Protección de Datos procederá a inscribir el fichero si la notificación se ajusta a los requisitos exigibles. (Arts. 25 y 26 de la LOPD). [Podrá consultar los ficheros de titularidad privada haciendo clic aquí ]


2. CALIDAD DE LOS DATOS.- El artículo 4 de la LOPD establece que los datos personales objeto de tratamiento deberán ser adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. captura de pantalla 2014-01-16 a la(s) 16.26.00Solamente podrá recoger datos de carácter personal utilizando medios que no sean fraudulentos. Asimismo, deberá
mantener los datos exactos y actualizados de forma que respondan de forma veraz a la situación actual del titular, debiendo ser cancelados cuando hayan dejado de ser necesarios para la finalidad que originó su recogida. En consecuencia, el empresario deberá diseñar un procedimiento de recogida, tratamiento y almacenamiento de datos en cumplimiento del citado precepto.


3. DEBER DE INFORMACIÓN: La ley, en su artículo 5, reconoce a toda persona el derecho a saber por qué, para qué y cómo van a ser tratados sus datos personales, por tanto el empresario tiene el deber de informar al titular de los

datos de modo expreso, preciso e inequívoco sobre: Si identidad y dirección, la existencia de un fichero o tratamiento que incluirán los datos, la finalidad para la
qué se requieren, si van a ser objeto de cesión o no, cómo ejercitar los derechos de acceso y rectificación. Por tanto, el empresario deberá elaborar las cláusulas informativas y diseñar los procedimientos necesarios para informar debidamente al ciudadano.


4. CONSENTIMIENTO DEL AFECTADO: el art. 6 de la LOPD establece que el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado para el tratamiento de los datos personales que le conciernen. Por tanto, podemos decir que el responsable del fichero solamente

podrá tratar los datos de carácter personal de las personas físicas: a) Si dispone del consentimiento del titular de los datos y éste ha sido obtenido adecuadamente (manifestación de voluntad, libre, inequívoca, específica e informada); b) Si está amparado por una por una ley que, de manera excepcional, le autorice a tratar los datos sin necesidad de contar con el consentimiento del afectado. Así las cosas, el empresario deberá diseñar las cláusulas y los procedimientos que sean necesarios para obtener el consentimiento válido del titular.


5. DATOS ESPECIALMENTE PROTEGIDOS O “DATOS SENSIBLES”: los datos especialmente protegidos, son una categoría de datos que por su especial influencia en la intimidad, los derechos fundamentales y las libertades públicas del individuo, requieren de una mayor protección que el resto de sus datos personales (art 7 LOPD). Si el empresario utiliza datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias o datos que hagan referencia a la salud y a la vida sexual, debe tener en cuenta que se trata de datos especialmente protegidos que deben ser tratados con la máxima cautela. En relación al tratamiento de este tipo de datos debemos señalar:

seguridad1. Nadie podrá ser obligado a declarar sobre su ideología, religión o creencias, y en caso de pedirle en consentimiento para tratar este tipo de datos debe advertirle acerca de su derecho a no prestarlo. 2. Sólo se podrá utilizar datos de carácter personal especialmente protegidos si se dispone del consentimiento expreso y por escrito. 3. Los ficheros en los que se encuentren almacenados los datos de carácter personal deben estar protegidos con las mediadas de seguridad de nivel alto. En efecto, para tratar correctamente este tipo de datos, el empresario debe diseñar las cláusulas y procedimientos que sean necesarios para obtener el consentimiento válido del titular así como adoptar las medidas de seguridad alto.


6. SEGURIDAD DE LOS DATOS: el art. 9 de la LOPD establece que el responsable del fichero y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado. Para el cumplimento de este precepto, el empresario deberá tener claro lo siguiente:

  • El documento de seguridad: la correcta implantación de las medidas de seguridad requiere de la elaboración del “documento de seguridad” regulado en el art. 88 del RD 1720/2007. Dicho documento debe reflejar todo lo relacionado con las medidas, normas, procedimientos de actuación, reglas y estándares que se deban aplicar para garantizar la seguridad de los datos de carácter personal que sean objeto de tratamiento. Se trata pues de un documento interno que será de obligado cumplimiento para todo aquel que pueda tener acceso a los datos de carácter personal.
  • Los niveles de seguridad: La medidas de seguridad previstas en el RD 1720/2007 se encuentran clasificadas en tres niveles (básico, medio y alto) que se aplicarán en función del tipo de datos que contenga el fichero. De esta forma, cuanto más sensibles sean los datos tratados, mayor nivel de seguridad requerirá el fichero de que se trate.
    • Se aplicará el nivel de protección básico: a absolutamente todos los ficheros que contengan datos concernientes a personas físicas identificadas e identificables.
    • Se aplicará el nivel de protección medio: además de las medidas previstas para el nivel básico, se aplicarán las medidas de seguridad de nivel medio a los datos relativos de : infracciones administrativas o penales; aquellos cuya finalidad sea la prestación de servicios de información sobre solvencia patrimonial o crédito; aquéllos de los que sean responsables las entidades financieras; aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social, entre otros.
    • Se aplicará el nivel de protección alto: cuando afecten a datos con especial influencia en la intimidad de las personas, por lo que además de aplicarles las medidas de seguridad de nivel básico y las de nivel medio, deben estar también protegidos con las medidas clasificadas de nivel alto.
  • Medidas de seguridad de ficheros automatizados: Cuando el tratamiento de los datos de carácter personal se realice utilizando ficheros gestionados por aplicaciones informáticas, además de elaborar el documento de seguridad, se deben aplicar, como mínimo, las medidas de seguridad reguladas en los artículos 89 a 104 del Real Decreto 1720/2007), aplicando las medidas que corresponda en función del nivel de seguridad que requiera cada uno de los ficheros.
  • Medidas de seguridad en ficheros no automatizados: cuando el tratamiento de los datos se realice utilizando ficheros gestionados manualmente, además de elaborar el documento de seguridad, se aplicarán como mínimo, las medidas de seguridad reguladas en los artículos 105 a 114 del RD 1720/2007, aplicando las medidas que corresponda en función del nivel de seguridad que requiera cada uno de los ficheros.

7. DEBER DE SECRETO.- Según establece el art. 10 de la LOPD, el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos. Estas obligaciones subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. El empresario, en consecuencia, deberá elaborar contratos, cláusulas o procedimientos que permitan dar a conocer a sus empleados y colaboradores el deber de secreto y las consecuencias de su incumplimiento.


8. COMUNICACIÓN DE LOS DATOS.– la LOPD, en su art. 11, dispone que los datos de carácter personal objeto de tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con previo consentimiento del interesado. Si bien, este consentimiento no será preciso cuándo: 1. La cesión está autorizada en una ley. 2. Se trate de datos recogidos de fuentes accesibles al público. 3. Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, Ministerio Fiscal o Jueces o Tribunales, en el ejercicio de sus funciones.


9. ACCESO A LOS DATOS POR CUENTA DE TERCEROS.– La LOPD, en su art.12, establece cual es el régimen jurídico aplicable a la situación que se produce cuando el responsable del fichero contrata a una persona o entidad ajena a su organización para que le preste algún servicio utilizando datos de carácter personal almacenados en sus ficheros. Cuando el responsable del fichero contrata un servicio de este tipo, se produce una relación jurídica denominada “acceso a los datos por cuenta de terceros” en la que quien presta el servicio adquiere la condición de “encargado del tratamiento”, y se limita a tratar los datos por cuenta del responsable del fichero, siguiendo estrictamente sus instrucciones y devolviendo o destruyendo los datos una vez haya finalizado el servicio contratado.  Para cumplir con este principio, el empresario debe formalizar por escrito un contrato de prestación de servicios que debe recoger al menos: 1) Tratamiento de los datos: sólo tratara los datos conforme a las instrucciones del responsable. 2) Comunicación de los datos: el encargado del tratamiento NO comunicará los datos a otras personas. 3) Medidas de seguridad: en dicho contrato se estipularán las medidas de seguridad que el encargado del tratamiento está obligado a implementar. 4) Finalización del servicio: una vez cumplida la prestación de servicios, los datos deberán ser destruidos o devueltos a su responsable. 5) Consecuencias del incumplimiento del contrato


10. EJERCICIO DE LOS DERECHOS ARCO: los derechos ARCO (acceso, rectificación, cancelación y oposición) son el conjunto de derechos a través de los cuales la LOPD garantiza a las personal el poder de control de sus datos personales (STC 292/2000). Así pues, el responsable del fichero debe facilitar al ciudadano el ejercicio de los derechos ARCO aplicando lo dispuesto en el RD 1720/2007.mun_pancarta

  1. El responsable del fichero deberá conceder al ciudadano un medio sencillo y gratuito para el ejercicio de sus derechos ARCO.
  2. El responsable del fichero deberá adoptar las medidas oportunas para garantizar que las personas de su organización puedan informar al ciudadano sobre el procedimiento a seguir para el ejercicio de sus derechos.

Cuando una persona solicite el ejercicio de uno de sus derechos ARCO, el responsable del fichero está obligado a responder a su solicitud. Dicha respuesta deberá realizarse dentro de los siguientes plazos: un mes para el derecho de acceso y diez días para el resto.


11. TRANSFERENCIA INTERNACIONAL DE DATOS: Cuando el empresario tenga la intención de transmitir los datos de carácter personal a países que no formen parte del Espacio Económico Europeo, debe realizar esta transferencia aplicando todas las garantías previstas en la normativa de protección de datos. Para determinar cuáles son las obligaciones del empresario a la hora de realizar una transferencia internacional de datos es necesario analizar el caso concreto, si bien, de manera general y a título orientativo, debemos tener en cuenta, entre otros aspectos:protecdatos 1. Las transferencias internacionales de datos deben ser notificadas a AEPD para su inscripción en el Registro General de Protección de datos. 2. Esta transmisión de datos requiere la autorización previa del Director de la Agencia Española de Protección de datos.


Sanciones por incumplimiento de la Ley de Protección de datos

  • Infracciones leves de la LOPD: artículo 44.2 LOPD: son sancionables por la Agencia Española de Protección de datos con multas desde 600 a 60.000 euros, las siguientes conductas: no atender la solicitud del interesado de rectificación o cancelación de los datos personales; no proporcionar la información que solicite la AEPD en ejercicio de sus competencias; la recogida de datos personales sin proporcionar la debida información, entre otros.
  • Infracciones graves de la LOPD: El artículo 44.3 de la LOPD califica como infracciones graves, sancionadas por la AEPD con multas de 60.000 a 300.000 euros, entre otros, los siguientes hechos: proceder a la creación de ficheros de titularidad privada con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad; recogida de datos de carácter personal sin recabar el consentimiento expreso, en los casos en que éste sea exigible; mantener los datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan; mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen; obstrucción del ejercicio de la función inspectora; no inscripción de ficheros cuando haya sido requerido para ello
  • Infracciones muy graves de la LOPD: el art. 44.4 de la LOPD califica como infracciones de carácter muy grave, sancionados por la AEPD con multas desde 300.000 hasta 600.000 euros, entre otros, los siguientes hechos: la recogida de datos de forma engañosa o fraudulenta; la comunicación o cesión de datos de carácter personal, fuera de los casos en que estén permitidas; no cesar del uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia Española de Protección de Datos o por las personas titulares del derecho de acceso; no atender u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición; tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales.

Normativa:

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal

Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.