|
Guia legal: preguntas frecuentes sobre Protección de datos de carácter personal
¿Qué son los llamados Datos de Carácter Personal?
En términos generales se podría decir que un dato es un conjunto discreto de factores objetivos sobre un hecho real. Un dato no dice nada sobre el porqué de las cosas, y por sí mismo tiene poca o ninguna relevancia o propósito. Solo la reunión de un grupo de ellos puede significarnos algo. Hablaremos entonces de información.
Si al concepto dato añadimos el calificativo de “personal” vemos como la relación de este con un ser humano –o mejor dicho con uno o varios aspectos de este- se pone de manifiesto y despierta en nosotros una atención particular. Ya no se trata de un dato general ajeno a nosotros. Dice algo de nosotros, de una persona entre otras.
En este orden de ideas DATO DE CARÁCTER PERSONAL será cualquier información concerniente a una PERSONA FÍSICA. Como, por ejemplo, nombre, dirección, teléfono, DNI, afiliación sindical, religión, salud, edad, gustos, hábitos o costumbres, ingresos, deudas, ...
Si damos un paso mas y “organizamos” esos datos personales clasificándolos y agrupándolos según determinados criterios veremos que son potencialmente capaces de decirnos mucho mas de nosotros. Hablamos ya de una Base de Datos (en papel, soporte informático, etc.) o fichero como le llama la Ley, que agrupa un conjunto de ellos pero con una concreta finalidad. Así existen ficheros de clientes, proveedores, empleados, colaboradores, competidores, etc.
Llevado a un extremo podemos predecir que su utilización y tratamiento nos podría dar un perfil de nosotros mismos, inclusive uno que ni siquiera nosotros somos capaces de esbozar. La relación con nuestro mas elemental ámbito de libertar es evidente: su utilización puede potencialmente menoscabar nuestra Intimidad.
Si a esto añadimos que las organizaciones actuales normalmente almacenan datos mediante el uso de las llamadas nuevas tecnologías y que las facilidades provistas por estas para la “gestión” de los datos son inimaginables, se entiende como el Estado se ha abocado a creado una legislación protectora de nuestros datos de carácter personal.
¿Existe una legislación referente a datos personales, vigente y de obligado cumplimiento?
Efectivamente existe una legislación referente a datos personales, e inspirada en el mandato constitucional del Art. 18 de la Constitución Española. Se trata de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, de obligado cumplimiento en el territorio del estado español.
Por otro lado, los sujetos a los que es de aplicación la Ley son todas las personas físicas y jurídicas tanto de naturaleza pública como privada. Es decir, la LOPD abarca no sólo a las empresas privadas sino también a personas físicas en el desempeño de su actividad profesional, a las administraciones públicas, asociaciones, organismos,... y en general a toda persona que trate datos de carácter personal.
Algunas situaciones cotidianas frecuentes vinculadas a datos personales
Son innumerables los ejemplos de la vida diaria donde se utilizan datos de carácter personal. Como ejemplos cabría citar:
Si una gestoría se ocupa de la gestión de nóminas, tendrá acceso a los datos de los empleados, facilitados por una empresa o profesional. Esta circunstancia u otras similares se denomina acceso a datos por cuenta de terceros, recogido en el art.12 LOPD. Dicha relación debe estar regulada por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento(empresa contratada) únicamente tratará los datos conforme a las instrucciones dadas por usted, como responsable del tratamiento. Asimismo, en dicho contrato se estipularán las medidas de seguridad que el encargado del tratamiento está obligado a implementar. Lo mismo una comunidad de propietarios que delega en una gestoria la confección de los recibos de los distintos propietarios o los boletines electrónicos remitidos a clientes en acciones de marketing y fidelización.
¿Quienes gestionan datos personales?
En el tratamiento de datos de carácter personal (en la gestión de la BBDD) cabe distinguir distintos sujetos que intervienen o no según sea el caso, modificándose sus obligaciones legales:
Responsable del fichero: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. Es por definición el principal obligado por la Ley ya que es quien crea la BBDD. Caso típico del empresario o profesional que agrupa datos de sus clientes para tareas de marketing o facturación que el mismo ejecuta.
Muchas veces sucede que el titular del fichero (BBDD) delega en otro el tratamiento de los datos que esta contiene. Surge así el concepto de Encargado del tratamiento: La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. Supuesto no poco frecuente en los que por cualidades técnicas, organizativas, de producción o de otra índole, la gestión de la BBDD la realiza una persona distinta del “dueño” de la misma. Tal es el caso ya citado de la empresa o comunidad de propietarios que delegan la confección de nominas o recibos a asesorías o gestorías. Como así también, siguiendo el caso expuesto mas arriba, cuando el empresario entrega una lista de sus clientes –con todos sus datos- a una empresa para que se ocupe de una acción de mailing o fidelización telefónica de clientes. En definitiva se trata de supuestos de desdoblamiento de la gestión de la BBDD que requiere cumplir obligaciones legales. En este caso la Ley impone obligaciones concretas a los intervinientes en la llamada Cesión o comunicación de datos para garantizar la preservación de la integridad de los mismos.
El tercero y último el Afectado o Interesado: Persona física titular de los datos que son objeto de operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos.
Asimismo, existe un concepto residual a esta relación: el Tercero que accede a los datos del interesado. Cuya intervención es vital tener en cuenta en una adecuada política de privacidad para evitar incumplir la norma de referencia. Tercero es tanto quien trata los datos por cuenta del titular de la BBDD como cualquiera que tiene acceso a ellos por cualquier causa.
La práctica diaria ha consolidado los acuerdos de Cesión de Datos y de Acceso como instrumentos idóneos para una adecuada gestión del riesgo que supone para el titular el acceso a datos de personas físicas agrupados en su BBDD. .
¿Cuáles son las obligaciones del titular del fichero (BBDD)?
Las obligaciones del titular del fichero (BBDD) se pueden sintetizar en:
a) Declarar los ficheros (BBDD) en la Agencia de Protección de Datos. Notificar la existencia, creación y modificación de los ficheros que contengan datos de carácter personal en el Registro General de Protección de Datos.
b) Adoptar las medidas de seguridad establecidas por la Ley según el tipo de datos y la redacción, mantenimiento y actualización de un documento de seguridad donde se recogen las medidas adoptadas y otros aspectos relevantes para la seguridad de la BBDD.
c) Informar y garantizar el ejercicio de los derechos que la Ley otorga a los titulares de datos. Disponer de los medios para que los afectados puedan ejercer sus derechos de acceso, rectificación, cancelación y oposición, previendo los procedimientos internos necesarios para tal fin.
¿Debo tener idéntica diligencia al acumular datos con independencia del tipo de dato que se trate?
La Ley exige un mayor grado de diligencia a los titulares y responsables de tratamiento de datos especialmente vinculados a la intimidad de las personas. Los hace exigiendo mayores medidas de seguridad. Así existen tres niveles de seguridad, dependiendo del tipo de datos personales sujetos a tratamiento:
NIVEL BÁSICO. Para datos generales de las personas físicas. Se aplica a todos los ficheros de datos de carácter personal (nivel mínimo de obligado cumplimiento) Dentro de él se incluyen medidas como identificación del usuario al acceder a los ficheros o gestión de soportes informáticos.
NIVEL MEDIO. Corresponde a los datos relativos a comisión de infracciones administrativas o penales, Hacienda Pública, o servicios financieros. Implica todas las medidas del nivel básico junto con otras, como la realización de auditorias periódicas.
NIVEL ALTO. Aplicable a los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual. Supone reunir las medidas de los dos niveles anteriores, más otras, como el cifrado de datos en la distribución de soportes o en su transmisión por redes de telecomunicación.
¿Como se ocupa la Administración de velar por el cumplimiento de lo dispuesto en la ley?
La Ley 19/1999, ha creado la AGENCIA DE PROTECCIÓN DE DATOS (APD) como encargada de velar por su cumplimiento. Se trata de un Ente de Derecho Público con personalidad jurídica propia y plena capacidad pública y privada.
En lo esencial su funcionamiento y atribuciones –en su esfera competencial- no difieren del de otras Administraciones mas conocidas por el público en general tales como la Agencia Tributaria o la Inspección del Trabajo por mencionar algunas. Si bien es cierto que su creación es mas o menos reciente (1998) no lo es menos que año tras año aumenta su intervención en el ámbito de la protección de datos personales, actuando en relación a todo tipo de empresas y profesionales. Aunque quizá el gran público conoce, gracias a los medios de comunicación masiva, las sanciones impuestas a empresas de reconocido prestigio.
Su misión es velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de los titulares delos mismos, es decir los derechos de información, acceso, rectificación, oposición y cancelación de datos.
¿Qué tipo de sanciones pueden aplicárseme en caso de incumplir la normativa?
En caso de incumpliendo a las obligaciones impuestas por la Ley 15/1999, esta prevé sanciones de multa clasificando las infracciones en las siguientes categorías:
LEVES, conllevan multa de hasta 60.101 € ( 10.000.000 Pts.). Entre ellas, la no inscripción del fichero de datos en el Registro General de Protección de Datos o la recogida de datos sin informar debidamente al titular de los mismos. Como sería el hecho de crear y mantener una base de datos de clientes o proveedores sin notificarlo a la APD o recoger datos por medio de impresos o llamadas telefónicas sin cumplirlos requisitos legales.
GRAVES, con multas de hasta 300.506 € (50.000.000 Pts.). Por ejemplo, destinar los datos a una finalidad distinta para la que se solicitaron o no adoptar las medidas de seguridad necesarias por el tipo de dato objeto de tratamiento. Caso del portal de Internet en los que el usuario introduce sus datos para realizar una compra y, sin su consentimiento, se utilizan para ofrecimiento personalizado de productos o servicios distintos de los adquiridos o de una clínica que utilizando estudios del paciente le ofrece otros servicios ofertados por la misma.
MUY GRAVES, con sanciones de hasta 601.012 € (100.000.000 Pts.). Por ejemplo, no atender de forma sistemática el ejercicio de los derechos de acceso, rectificación , cancelación u oposición o la recogida de datos de forma engañosa o fraudulenta. También lo constituye el hecho de comunicar o ceder datos de carácter personal incumpliendo lo dispuesto en la Ley. Como sería el caso de colegio que facilita la relación de sus alumnos a una editorial para una campaña publicitaria o una empresa que sobre la base de clasificar a sus clientes abonados por las reclamaciones que en su día realizaron para dispensar un trato distinto al dado a otros.
¿Cuándo actúa la Agencia de Protección de Datos ante incumplimientos a la Ley?
La Agencia de Protección de Datos es la autoridad encargada de velar por el cumplimiento de la Ley 15/1999.
Una de sus principales actividades es la de inspección y control de la adecuación a la citada norma. Existen dos procedimientos principales como el de tutela de los derechos delos interesados y el Sancionador por incumplimiento de la normativa que quizá sea el de mayor relevancia. De hecho existe dentro de la APD una unidad (La Inspección de Datos) que cumple tal cometido.
Como administración pública que es, sus actuaciones se inician mayoritariamente de oficio (por ejemplo conocimiento de los hechos por los medios de comunicación) y por denuncia de los interesados. Supuesto este último de notable laxitud ya que interesado es tanto el titular de los datos en cuestión como un empleado, un proveedor, un cliente o, inclusive, un competidor.
Política de privacidad: ¿Necesidad o marketing?
Si atendemos a la realidad de los hechos veremos que una adecuada política de privacidad –entendida como el conjunto de protocolos establecidos dentro de la organización –empresa o profesional- destinada a garantizar el cumplimiento de la normativa sobre protección de datos personales y, en última instancia, el respeto a los derechos de sus titulares, es mas que aconsejable.
Con ella no solo se adopta una actitud preventiva ante las eventuales infracciones en que se pudiese incurrir en materia de protección de datos sino que se dota a la organización de una verdadera disciplina eficiente y enriquecedora en la materia que en ultima instancia repercute en una mejor gestión empresarial o profesional según sea el caso.
Todo ello sin olvidar las ventajas que su implantación supone a la imagen corporativa de la empresa toda vez que su implementación excedería el ámbito interno de la empresa para hacerse evidente a las personas con ella relacionadas.
 efectuar una consulta sobre este tema :::::: volver al indice temático :::::: ir arriba
|
