Protección de Datos de Carácter Personal

Los datos personales considerados aisladamente no suponen amenaza alguna a la intimidad de las personas. Sólo cuando se organizan, agrupan y clasifican según determinados criterios  adquieren tal capacidad. En estos casos se habla de una base de datos -o fichero como le llama la Ley cuya gestión la tiene generalmente un tercero.  En este orden de ideas existen ficheros de clientes, proveedores, empleados, colaboradores, competidores, etc.

Las posibilidades dadas por las tecnologías de la información en cuanto a la gestión de datos personales son infinitas, más aún cuando esos datos se comparten en espacios comunes (uso de sistema de información de terceros, redes sociales,…).

Un conjunto de datos personales deliberadamente tratado es capaz de dar un  perfil muy preciso de una persona (hábitos, intereses, opiniones,…). Es decir, que puede arrojar información que ni siquiera la persona es capaz de esbozar sobre sí misma. Por tanto si su utilización puede menoscabar el más elemental ámbito de libertar individual, es fácil entender el porqué el estados ha creado una legislación protectora de los datos de carácter personal.

Efectivamente, existe una ley referente a datos personales inspirada en el mandato constitucional del Art. 18 de la Constitución Española. Se trata de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), de obligado cumplimiento en el territorio del estado español.

La Ley es de aplicación a todas las personas físicas y jurídicas tanto de naturaleza pública como privada. Es decir, la LOPD abarca no sólo a empresas sino también a personas físicas en el desempeño de su actividad profesional, a las administraciones públicas, asociaciones, organismos, etc., y, en general, a toda persona que trate datos de carácter personal.
En el ámbito empresarial, no existen excepciones a su cumplimiento.

Son innumerables los ejemplos de la vida diaria donde se utilizan datos de carácter personal. Como ejemplos cabría citar:

• Al firmar cualquier tipo de contrato (civil, laboral, mercantil,..) las partes se intercambian datos de carácter personal que cada una puede llegar a compartir con otros.
• Cuando se pide información al público por medio de formularios o cuestionarios en papel o digitalmente o en un sitio web o red social, se tratan datos personales.
• Cualquier campaña de selección y reclutamiento de personal implica acceder y tratar una importante cantidad de información personal de los candidatos.
• Las empresas de mantenimiento informático por el sólo hecho de prestar sus servicios informáticos en cualquier equipo o dispositivo fijo o móvil acceden a datos personales alojados en los mismos (trabajadores, colaboradores, clientes, proveedores,…).
• Si una gestoría se ocupa de la gestión de nóminas, tendrá acceso a los datos de los empleados, facilitados por una empresa o profesional. Lo mismo para el caso de que se encargue de la confección de los recibos de los distintos propietarios de una Comunidad de Propietarios.
• Los boletines electrónicos remitidos a clientes, actuales o potenciales, en acciones de marketing y fidelización utilizan datos personales.
• Una asociación custodia y utiliza datos de sus asociados.

Según su función en el tratamiento de datos de carácter personal se pueden diferenciar los siguientes sujetos:

a) El responsable del fichero o tratamiento: es la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decide sobre la finalidad, contenido y uso del tratamiento de datos personales.

Es por definición el principal obligado por la LOPD ya que es quien crea el fichero y decide sobre su finalidad. Es el caso del empresario  o profesional que agrupa  datos de sus clientes para tareas de marketing o facturación que él mismo ejecuta.

b) El encargado del tratamiento: es la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trata datos personales por cuenta del responsable del fichero o tratamiento.

Esta figura surge cuando el titular del fichero delega en otro el tratamiento de los datos personales debido a cualidades técnicas, organizativas, de producción o de otra índole. Tales serían los casos de las empresas o comunidades de propietarios que delegan la confección de nominas o recibos a gestorías y la contratación de terceros para acciones de mailing o fidelización telefónica de clientes previa entrega de una lista de destinatarios con sus correspondientes datos de contacto.

c) Destinatario o cesionario: es la persona física o jurídica, pública o privada u órgano administrativo, al que se revelan datos personales de un tercero.

Se trata de supuestos en los que el responsable del fichero revela o proporciona datos personales a otro que le sustituye en su condición a futuro. Como consecuencia, los datos personales pasan a estar incorporados en dos ficheros independientes de diferentes responsables. Sería el caso de las comunicaciones a las autoridades fiscales y de seguridad social de los datos de un trabajador que presta servicios en una empresa o la remisión de datos de un candidato desde la empresa de selección al empleador una vez superado el proceso de selección.

d) El afectado o interesado: es la persona física titular de los datos que son objeto de operaciones y procedimientos técnicos de carácter automatizado o no, que permiten la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos.
Es el sujeto cuyos datos personales se intentan preservar por la LOPD de modo que siempre tenga el poder de disposición y de control de los mismos.

¿Cuáles son las obligaciones del responsable del fichero? 

Las obligaciones del responsable del fichero se pueden sintetizar en:

a) Declarar el/los fichero/s ante la Autoridad de protección de datos pertinente (Agencia Española de Protección de Datos, Autoridad Catalana de Protección de Datos, Agencia Vasca de Protección de Datos,…). Lo que implica notificar la existencia, creación, modificación y supresión de ficheros que contengan datos de carácter personal en los Registros respectivos.

b) Adoptar las Medidas de Seguridad establecidas por la LOPD según el tipo de datos que se traten. Para ello, además, se procederá a la redacción, mantenimiento y actualización del denominado Documento de Seguridad donde se recogerán las medidas adoptadas y otros aspectos relevantes para la seguridad de el/los fichero/s.

c) Informar y garantizar el ejercicio de los derechos que la LOPD otorga a los afectados o interesados. Por lo que se deberá disponer de los medios adecuados para que estos puedan ejercer los denominados Derechos ARCO (derechos de acceso, rectificación, cancelación y oposición), previendo los procedimientos internos necesarios para tal fin.

No. La LOPD exige un mayor grado de diligencia a los responsables de ficheros con datos especialmente vinculados a la intimidad de las personas. Para ello impone la adopción de mayores medidas de seguridad.

Así, dependiendo del tipo de datos personales tratados, existen tres niveles de seguridad:

a) Nivel Básico. Para datos generales de las personas físicas. Se aplica a todos los ficheros de datos de carácter personal (nivel mínimo de obligado cumplimiento). Dentro de él se incluyen medidas como identificación del usuario al acceder a los ficheros o gestión de soportes informáticos.

b) Nivel Medio. Corresponde a los datos relativos a comisión de infracciones administrativas o penales, Hacienda Pública, o servicios financieros.  Implica todas las medidas del nivel básico junto con otras, como la realización de auditorías periódicas.

c) Nivel Alto. Aplicable a los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual. Supone reunir las medidas de los dos niveles anteriores, más otras, como el cifrado de datos en la distribución de soportes o en su transmisión por redes de telecomunicación.

La LOPD ha creado la Agencia Española de Protección de Datos como encargada de velar por su cumplimiento. Se trata de un ente de derecho público con personalidad jurídica propia y plena capacidad pública y privada, con competencia en todo el territorio nacional. A la par, conforme las competencias delegadas, coexisten Autoridades autonómicas de protección de datos tales como la Autoridad Catalana de Protección de Datos y Agencia Vasca de Protección de Datos con un ámbito de actuación propia.

La misión de la Agencia Española de Protección de Datos es velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de los titulares de los mismos, es decir los derechos de información, acceso, rectificación, oposición y cancelación de datos.

El incumpliendo de las obligaciones impuestas por la LOPD implica sanciones de multa cuya cuantía dependerá del tipo de infracción cometida, pudiendo señalarse las siguientes:

a) Infracciones Leves. Se reputan tales, entre otras, la no inscripción del fichero de datos en el Registro General de Protección de Datos, incumplir el deber de información al afectado o delega en otro el tratamiento de los datos personales sin cumplir los requisitos legales. Entrarían dentro de esta categoría los siguientes supuestos: crear y mantener ficheros con datos de trabajadores, clientes o proveedores sin notificarlo a la Autoridad, recoger datos por medio de impresos o llamadas telefónicas sin las menciones legales o tener contratada una gestoría para gestión de nóminas sin un contrato de encargo de tratamiento con los requisitos exigidos por la LOPD, respectivamente.

Multa prevista: de 900€ a 40.000€.

b) Infracciones Graves. Por tales se entienden, entre otras, el incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos no hayan sido recabados del mismo o mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad. Ejemplos de tales prácticas serían llevar adelante una campaña de marketing utilizando datos de una guía telefónica sin advertir al destinatario el origen de sus datos y los derechos que posee en cada comunicación o conservar currículos de candidatos para selecciones futuras dispersos en las instalaciones de la empresa de modo que se pueda acceder a ellos por cualquier persona sin mayores dificultades.

Multa prevista: de 40.001€ a 300.000€

c) Infracciones Muy Graves. Se incardinan en esta categoría, entre otros, el tratamiento o cesión de datos de carácter personal especialmente protegidos incumpliendo la LOPD y la transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos. Constituyen ejemplos de tal conducta los supuestos en los que una empresa remite a terceros datos médicos de sus trabajadores para control de absentismo laboral sin contar con el consentimiento de estos o cuando contrata a otra los servicios de atención telefónica a sus clientes entregándole datos personales de los mismos y el país de tratamiento (por ejemplo, de ubicación del call center) no se encuentra en los países reconocidos por la Autoridad española.

Multa prevista: de 300.001€ a 600.000€.

En tanto la autoridad encargada de velar por el cumplimiento de la LOPD, la Agencia Española de Protección de Datos centra sus actividades en la inspección y control de la adecuación a la citada norma. Existen dos vías de intervención, el procedimiento de tutela de los derechos de los interesados y el procedimiento sancionador por incumplimiento de la normativa.

El primero, tiene como finalidad apoyar a los interesados en el ejercicio de los denominados Derechos ARCO. A tal efecto, la Agencia Española de Protección de Datos intercede ante el sujeto incumplidor con una batería de medidas y potestades previstas legalmente.

Por su parte, mediante el procedimiento sancionador Agencia Española de Protección de Datos incoa e instruye el procedimiento legalmente previsto para la eventual imposición de sanciones a los infractores de la LOPD.

Como administración pública que es, sus actuaciones se inician mayoritariamente de oficio (por ejemplo conocimiento de los hechos por los medios de comunicación) y por denuncia de los interesados. Supuesto este último de notable laxitud ya que interesado es tanto el titular de los datos en cuestión como un empleado, un proveedor, un cliente o, inclusive, un competidor,… de la persona física o jurídica denunciada.

Tal y como está configurada la legislación de protección de datos y dado el gran número de sanciones impuestas por la Agencia Española de Protección de Datos a la fecha (entre los más elevados a nivel europeo), omitir su cumplimiento no es una opción recomendable.

Una adecuada política de privacidad, es una necesidad que puede convertirse en un valor para cualquier empresa o profesional. Con ella no solo se adopta una actitud preventiva ante las eventuales infracciones en que se pudiese incurrir en materia de protección de datos sino que se dota a la organización de una verdadera disciplina eficiente y enriquecedora en la materia que, en última instancia, repercute en una mejor gestión empresarial. Sin olvidar las ventajas que su implantación supone para la imagen corporativa toda vez que su implementación excede el ámbito interno siendo fácilmente perceptible por terceros. Lo que en definitiva redunda en beneficio de la empresa.