¿Cuál es el objetivo de la Ley de Protección de Datos?
Su objetivo es ‘garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y fundamentales de las personas’, su honor e intimidad.
¿Quién tiene la obligación de adecuarse a la LOPD?
Cualquier persona y/o entidad pública o privada que disponga, acceda y trate datos de carácter personal.
¿Qué ámbito de aplicación tiene la LOPD?
El objeto y ámbito de aplicación de la Ley están regulados por los artículos 1 y 2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal que expresamente establecen:
Artículo 1. Objeto
La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.
Artículo 2. Ámbito de aplicación
La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.
De igual modo, el artículo 2.2 del Real Decreto 1720/2007, de 21 de diciembre, establece que el reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquellas, consistentes en nombre y apellidos, las funciones o puestos desempeñados, la dirección postal o electrónica, teléfono y número de fax profesionales.
¿La legislación de Protección de Datos se puede aplicar a una persona fallecida?
Conforme a lo establecido en la normativa de aplicación sobre protección de datos, los derechos de acceso rectificación y cancelación a los datos de carácter personal son derechos personales que únicamente pueden ser ejercitados directamente por el propio afectado.
En consecuencia, los datos de las personas fallecidas no entran dentro del amparo de la LOPD ni de los reglamentos que la desarrollan.
Asimismo, el nuevo Reglamento 1720/2007, de 21 de diciembre, permite también que las personas vinculadas familiarmente al fallecido puedan notificar al responsable del fichero el fallecimiento con la finalidad de perseguir la cancelación de los datos del mismo, sin que ello suponga un posterior derecho a ser tutelado por la AEPD.
¿Qué se considera un “dato personal”?
Según la definición de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, un dato personal comprende cualquier información concerniente a una persona física identificada o identificable. En este concepto se requiere la concurrencia de un doble elemento: por una parte la existencia de una información o dato y de otra, que dicho dato pueda vincularse a una persona física identificada o identificable.
En el supuesto de direcciones electrónicas la información está constituida por un conjunto de signos que cuando permiten la vinculación directa o indirecta con una persona física la convierte en un dato de carácter personal.
¿Una dirección de email se considera un dato de carácter personal?
Una dirección de e-mail se considera un dato personal puesto que puede identificar a su titular. Así, partiendo de la definición anterior, la libreta de direcciones de correo electrónico es un fichero que contiene datos de carácter personal.
El tratamiento de datos personales (en este caso, la dirección del e-mail) requiere el consentimiento de los titulares de los datos o bien la existencia de una Ley que lo ampare. Por lo tanto, la utilización del correo electrónico sin consentimiento podría ser vulneración de la normativa sobre protección de datos y se podría denunciar ante la Agencia.
¿Qué es un “dato especialmente protegido”?
Existen una serie de datos a los que se les presta una mayor atención debido a su sensibilidad y su carácter relacionado con el aspecto más íntimo de las personas. Esta clase de datos reciben una protección legal más fuerte a través de toda una serie de medidas expresas. Son datos especialmente protegidos aquellos relativos a:
- Salud
- Antecedentes penales
- Afiliación sindical
- Opción religiosa
- Orientación sexual
- Ideología
- Origen racial
No tengo ficheros informatizados, son ficheros en papel. ¿Me afecta la Ley?
Sí, la ley afecta tanto a ficheros informatizados como a los recogidos en papel u otro soporte.
¿De cuánto tiempo dispongo para adecuarme a la LOPD?
La LOPD es de obligado cumplimiento. Inexcusablemente esta Ley le afecta y debe estar adecuado a ella desde el primer momento que usted empieza a tratar con datos de carácter personal.
¿Qué se entiende por “tratamiento de datos”?
Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.
Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.
Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16.
Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados. Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos.
Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.
Está prohibida la recogida de datos por medios fraudulentos, desleales o ilícitos.
Con este principio lo que se trata de evitar es que se proceda a una recopilación de datos masiva que se aparte de la necesidad y finalidad para la que dichos datos pretendan ser utilizados y tratados. Igualmente, en base a lo expuesto y a la finalidad del tratamiento, se fija la condición de que una vez desaparezca la necesidad de su tratamiento, y por tanto la necesidad de que permanezcan almacenados dichos datos, deberán ser cancelados directamente por el responsable del fichero.
En un tratamiento de datos por cuenta de terceros, ¿Qué diferencia hay entre “Responsable del Fichero” y “Encargado del Tratamiento”?
La LOPD establece que en estos supuestos existe un “Acceso a Datos por Cuenta de Terceros”, en el que intervienen fundamentalmente dos figuras: el Responsable del Fichero y el Encargado del Tratamiento.
El Responsable del Fichero es el titular de los Ficheros de datos de carácter personal, es decir, la empresa que subcontrata un determinado servicio. Así la LOPD define al Responsable del Fichero como: “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento”.
Encargado del tratamiento, en cambio, será la tercera empresa a la que se contrata un servicio determinado que implica tratamiento de ficheros de datos de carácter personal. Esta figura es definida por la LOPD como: “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del Responsable del Tratamiento (Responsable del Fichero)”.
La relación jurídica que se establece entre el Responsable del Fichero y el Encargado del Tratamiento es normalmente una Prestación de Servicios, y como tal, deberá estar regulada en un contrato, que contenga, además, el contenido del art. 12 LOPD:
- No se considerará comunicación de datos (cesión de datos) el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al Responsable del Tratamiento (Responsable del Fichero).
- La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido estableciéndose expresamente que el Encargado del Tratamiento únicamente tratará los datos conforme a las instrucciones del Responsable del Tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el art. 9 de esta Ley que el encargado está obligado a implementar.
3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al Responsable del Tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
4. En el caso de que el Encargado del Tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, Responsable del Tratamiento, respondiendo de las infracciones en que hubiere incurrido personalmente”.
¿Qué se entiende por “fuente accesible al público”?
Por fuente accesible al público se entiende, de acuerdo con la definición contenida en el artículo 3 de la Ley Orgánica 15/1999, “aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación.”
¿Qué es un “fichero de datos personales”?
El concepto de fichero de datos personales está descrito en el artículo 3.b) de la Ley Orgánica 15/1999, de 13 de diciembre, en donde se define el fichero como “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”.
De este modo, la empresa será responsable de tantos ficheros como conjuntos estructurados de datos, adscritos a una determinada finalidad legítima utilice. Cada conjunto estructurado de datos aplicado a una finalidad concreta constituye un fichero, con independencia de los datos de carácter personal que se incluyen.
¿En qué consiste la inscripción de ficheros?
Las empresas que traten con datos de carácter personal deben obligatoriamente inscribir en el Registro General de Protección de Datos todos los ficheros que contengan datos de carácter personal (por ejemplo: fichero de pacientes, fichero de informes, fichero de nóminas, fichero de clientes, etc.).
Para inscribir, suprimir o modificar la inscripción de un fichero en el Registro General de Protección de Datos, se deberá cumplimentar el modelo establecido en la Resolución de 12 de julio de 2006, de la Agencia Española de Protección de Datos, por la que se aprueban los formularios electrónicos a través de los que deberán efectuarse las solicitudes de inscripción de ficheros en el Registro General de Protección de Datos, así como los formatos y requerimientos a los que deben ajustarse las notificaciones remitidas en soporte informático o telemático.
Cualquier modificación posterior en el contenido de la inscripción de un fichero en el RGPD, deberá comunicarse a la Agencia Española de Protección de Datos, mediante la solicitud de modificación o de supresión de la inscripción, según corresponda. Para modificar la inscripción de un fichero, previamente inscrito en el RGPD, deberá cumplimentar el formulario electrónico, la hoja de solicitud, el apartado de Modificación de la inscripción del fichero, indicando el código de inscripción asignado por la Agencia y señalando aquellos apartados que se modifican respecto a la notificación anterior, según las instrucciones que acompañan al modelo.
Los apartados señalados que pretendan modificar deben cumplimentarse por completo, indicando todos los datos y no sólo los modificados respecto a notificaciones previas, ya que esta notificación es sustitutiva a efectos de inscripción en el RGPD. Así mismo, únicamente se cumplimentarán los apartados que hayan sido señalados para su modificación en el apartado Modificación de la inscripción del fichero.
En el caso de que notifique la supresión de un fichero, deberá cumplimentar, del modelo de notificación, la hoja de solicitud y el apartado de Supresión, indicando el código de inscripción del fichero asignado por la Agencia. También deberá indicar el motivo de la supresión en el texto correspondiente, y el destino de la información en el siguiente campo. Si va a proceder a destruir el fichero, deberá indicar las previsiones adoptadas para ello.
La notificación de un nuevo fichero o tratamiento nunca invalida o sustituye a una inscripción previa. Si no se notifica una solicitud de supresión de la inscripción anterior se produciría un duplicado de la inscripción.
En caso de error o falta de cumplimiento de las medidas de seguridad en el tratamiento de datos personales ¿La responsabilidad recae sobre la empresa o sobre el empleado?
La responsabilidad final no recae sobre la persona física sino sobre el Responsable de los Datos, es decir, sobre la empresa. Son múltiples los casos en los que, aún de forma involuntaria, se produce una vulneración por una mala actuación por parte del personal. De ahí la importancia de invertir en acciones formativas orientadas a fomentar la concienciación y capacitación de los empleados en materia de LOPD para prevenir estas vulneraciones.
¿A qué sanciones se expone una empresa que no cumpla con la LOPD?
La cuantía de las sanciones impuestas por la Agencia de Protección de Datos varía en función de la naturaleza de los derechos personales afectados, así como de la cantidad de información tratada, los beneficios obtenidos por dicho tratamiento o el perjuicio ocasionado a los afectados, entre otras características.
En relación a los factores detallados anteriormente, existen tres tipos de infracciones:
Infracciones leves: sanciones entre 900€ y 40.000€
Se consideran objeto de sanciones leves, entre otros, la no solicitud de inscripción del fichero (o ficheros) de datos en la Agencia Española de Protección de datos, la recopilación de datos sin conformidad de los afectados o la no atención a las solicitudes de rectificación a cancelación que puedan presentarse.
Infracciones graves: Sanciones entre 40.001€ y 300.000€
Por infracción grave se entiende, entre otros supuestos, por ejemplo, la no inscripción del fichero (o ficheros) de datos, el uso de los datos tratados con una finalidad distinta a la original, no permitir el acceso a los ficheros a los afectados, mantener datos inexactos, no seguir los principios y garantías establecidas en la LOPD, mantener el tratamiento de datos sin las condiciones de seguridad exigida según la legislación vigente.
Infracciones muy graves: sanciones entre 300.001€ y 600.000€
Como infracciones muy graves, a título ilustrativo, se puede señalar la creación de ficheros que revelen datos especialmente protegidos, o la recogida fraudulenta de los mismos, la recogida sin la autorización del afectado, la obstaculización de los procesos de acceso a datos por parte de los interesados o la no atención de los requerimientos de la AGPD de manera sistemática.
Fuente: Grupo Adaptalia