Existe la falsa creencia de que sólo las empresas que desarrollan actividades relacionadas con las Nuevas Tecnologías están obligadas a cumplir las obligaciones que impone la Ley de Protección de Datos (Ley Orgánica 15/1999, de 13 de diciembre). Sin embargo hay que empezar recordando que esta ley es de obligado cumplimiento para TODAS las personas físicas o jurídicas que posean datos de carácter personal de personas físicas:
Afecta tanto a personas jurídicas (empresas, asociaciones, fundaciones,etc.) como a personas físicas (particulares o autónomos) y a las Administraciones Públicas.
Estarán sometidas siempre que posean datos de carácter personal de personas físicas.
Por dato de carácter personal se entiende cualquier información referida a personas físicas (no jurídicas) identificadas o identificables: Nombre y apellidos, dirección, teléfono, DNI, número de la seguridad social, fotografías, firmas, correos electrónicos, datos bancarios, edad y fecha de nacimiento, sexo, nacionalidad, etc. Es decir, datos personales son todos aquellos que permiten identificar a una determinada persona.
Normalmente, a la hora de mencionar estos datos se habla de ficheros, ya sean automatizados (en soporte informático) o no automatizados (en soporte físico o papel). Los ficheros son aquellas bases de datos que recogen de forma organizada los datos de carácter personal que tienen cierta relación entre si (una empresa puede tener fichero de clientes, donde figuran los datos personales de los clientes, otro fichero de proveedores, donde figuran los datos personales de los proveedores, otro de curriculums, etc.)
Estarán sometidas siempre que posean datos de carácter personal de personas físicas.
Por dato de carácter personal se entiende cualquier información referida a personas físicas (no jurídicas) identificadas o identificables: Nombre y apellidos, dirección, teléfono, DNI, número de la seguridad social, fotografías, firmas, correos electrónicos, datos bancarios, edad y fecha de nacimiento, sexo, nacionalidad, etc. Es decir, datos personales son todos aquellos que permiten identificar a una determinada persona.
Normalmente, a la hora de mencionar estos datos se habla de ficheros, ya sean automatizados (en soporte informático) o no automatizados (en soporte físico o papel). Los ficheros son aquellas bases de datos que recogen de forma organizada los datos de carácter personal que tienen cierta relación entre si (una empresa puede tener fichero de clientes, donde figuran los datos personales de los clientes, otro fichero de proveedores, donde figuran los datos personales de los proveedores, otro de curriculums, etc.)
¿QUIEN ESTÁ OBLIGADO A CUMPLIR LA LEY?
La Ley distingue entre el responsable del fichero, es decir, el titular o propietario del mismo, y el encargado del tratamiento del fichero, que es aquel que está encargado de utilizar los datos por cuenta del anterior. Es posible que sólo exista el Responsable, que es el titular y el que hace uso de los datos directamente, pero también son típicos casos como los de las asesorías que se encargan de realizar las nóminas con los datos de los trabajadores facilitados por una empresa X. En este caso el Responsable del fichero es la empresa X y el encargo del tratamiento será la asesoría. En todo caso, es importante tener en cuenta que es el responsable o titular del fichero, la empresa X, la obligada a cumplir la gran mayoría de las obligaciones impuestas en la ley.
La Ley distingue entre el responsable del fichero, es decir, el titular o propietario del mismo, y el encargado del tratamiento del fichero, que es aquel que está encargado de utilizar los datos por cuenta del anterior. Es posible que sólo exista el Responsable, que es el titular y el que hace uso de los datos directamente, pero también son típicos casos como los de las asesorías que se encargan de realizar las nóminas con los datos de los trabajadores facilitados por una empresa X. En este caso el Responsable del fichero es la empresa X y el encargo del tratamiento será la asesoría. En todo caso, es importante tener en cuenta que es el responsable o titular del fichero, la empresa X, la obligada a cumplir la gran mayoría de las obligaciones impuestas en la ley.
¿QUÉ TIPOS DE DATOS PUEDEN RECOGERSE?
El objetivo de la ley es la protección del derecho al honor y a la intimidad de las personas, por lo que, en función de la “sensibilidad” de los datos que se recojan, variarán los niveles de protección exigidos por la ley. Se distinguen tres niveles:
Nivel alto: se incluyen en este nivel los datos referidos a la ideologías políticas, afiliaciones sindicales, creencias religiosas, origen racial, datos sobre la salud o la vida sexual.
Nivel medio: se incluyen aquí los datos referidos a la comisión de infracciones administrativas o penales, servicios financieros, solvencia patrimonial o crédito (ficheros de morosos e impagados), datos en la Hacienda Pública, datos de los que se extraiga la personalidad de un sujeto (gustos, aficiones, estilo de vida, etc.)
Nivel básico: este nivel englobará el resto de datos; nombre y apellidos, dirección, teléfono, DNI, número de la seguridad social, fotografías, firmas, correos electrónicos, datos bancarios, edad y fecha de nacimiento, sexo, nacionalidad, etc.
El objetivo de la ley es la protección del derecho al honor y a la intimidad de las personas, por lo que, en función de la “sensibilidad” de los datos que se recojan, variarán los niveles de protección exigidos por la ley. Se distinguen tres niveles:
Nivel alto: se incluyen en este nivel los datos referidos a la ideologías políticas, afiliaciones sindicales, creencias religiosas, origen racial, datos sobre la salud o la vida sexual.
Nivel medio: se incluyen aquí los datos referidos a la comisión de infracciones administrativas o penales, servicios financieros, solvencia patrimonial o crédito (ficheros de morosos e impagados), datos en la Hacienda Pública, datos de los que se extraiga la personalidad de un sujeto (gustos, aficiones, estilo de vida, etc.)
Nivel básico: este nivel englobará el resto de datos; nombre y apellidos, dirección, teléfono, DNI, número de la seguridad social, fotografías, firmas, correos electrónicos, datos bancarios, edad y fecha de nacimiento, sexo, nacionalidad, etc.
¿CUALES SON LAS OBLIGACIONES QUE IMPONE LA LEY?
Por lo tanto, todas aquellas personas físicas o jurídicas que tengan alguno de estos datos, ya sea de clientes, usuarios o visitantes, empleados, proveedores, etc. ya sea en soporte informático o en papel, deben cumplir las obligaciones que resumimos brevemente a continuación:
Pertinencia o necesidad: Los datos de carácter personal sólo se podrán recoger cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. Además no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. Deben cancelarse o rectificarse los datos inexactos y serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados.
Derecho de información en la recogida de datos: Cuando se utilicen formularios, cuestionarios u otros impresos para la recogida de datos figurarán en los mismos, en forma claramente legible, la siguiente información:
Por lo tanto, todas aquellas personas físicas o jurídicas que tengan alguno de estos datos, ya sea de clientes, usuarios o visitantes, empleados, proveedores, etc. ya sea en soporte informático o en papel, deben cumplir las obligaciones que resumimos brevemente a continuación:
Pertinencia o necesidad: Los datos de carácter personal sólo se podrán recoger cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. Además no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. Deben cancelarse o rectificarse los datos inexactos y serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados.
Derecho de información en la recogida de datos: Cuando se utilicen formularios, cuestionarios u otros impresos para la recogida de datos figurarán en los mismos, en forma claramente legible, la siguiente información:
- De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
- De la posibilidad de ejercitar los derechos de acceso (derecho a conocer toda la información referente a sus datos personales de los que dispone la empresa. Esta debe responder en el plazo máximo de 1 mes; si no lo hace así, el afectado podrá recurrir ante la Agencia de Protección de Datos), rectificación (la empresa tiene 10 días para hacer las modificaciones solicitadas. Transcurrido este plazo sin recibir respuesta o siendo esta insatisfactoria, puede recurrir ante la Agencia de Protección de Datos), cancelación (la empresa debe eliminar tusa datos salvo que por disposición legal deban conservarse) y oposición (negándose a que un tercero trate sus datos de carácter personal).
Consentimiento del afectado: El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.
Datos especialmente protegidos: Como decíamos anteriormente, los datos incluidos en el nivel alto y medio están especialmente protegidos, por lo que en caso de no ser absolutamente necesarios para el ejercicio de nuestra actividad, es recomendable NO solicitarlos.
Deber de secreto: El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán incluso después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.
Comunicación o cesión de datos: Los datos de carácter personal sólo podrán ser comunicados o cedidos a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. Por lo tanto, para ceder los datos personales, es necesario que se den los dos requisitos anteriores, incluido el consentimiento del interesado.
Acceso a los datos por cuenta de terceros (Encargo de tratamiento)
Como indicábamos anteriormente en el ejemplo de la asesoría, es posible que un tercero, diferente del Responsable del fichero, sea el que realice el tratamiento de los datos. En estos casos se exige que exista un contrato de encargo de tratamiento entre el Responsable (Empresa X) y el encargado del tratamiento (asesoría), en el que se indique la forma de tratar los datos y las medidas de seguridad a adoptar.
El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.
Notificación de ficheros
El responsable o titular debe notificar los ficheros a la Agencia de Protección de Datos antes de su creación. Lo que se comunica son los datos del titular de la base de datos, el nombre del fichero, su descripción, estructura, etc, pero NO se comunican los datos incluidos en los ficheros. P.e. Si vamos a crear un fichero llamado “clientes“, comunicaremos el nombre del fichero, su estructura, finalidad, efectos, etc … pero no los datos de nuestros clientes.
Esta notificación puede hacerse por Internet. Para ello, en la página de la Agencia de Protección de Datos tendremos que descargarnos un programa para la notificación de ficheros de titularidad privada. Una vez instalado cumplimentaremos todos los datos con la ayuda que presenta el programa. Una vez terminado, mediante la opción correspondiente, enviaremos los datos a la Agencia. Posteriormente, si no disponemos de firma electrónica, tendremos que imprimir una hoja de solicitud que genera el programa y enviarla firmada a la Agencia de Protección de Datos. Al cabo de un mes, aproximadamente, recibiremos contestación confirmándonos la inscripción del fichero. Este proceso debe repetirse para cada uno de los ficheros que tengamos (de clientes, de proveedores, de trabajadores, etc.)
Por último aconsejamos que en caso de duda se deje en manos de un profesional (imprescindible cuando se manejan datos especialmente protegidos). Hay que tener en cuenta que el incumplimiento de esta ley es todavía masivo, la ley es bastante estricta y las sanciones “muy” elevadas (de 600 a 600.000 euros).
Ejemplo real: Multa de 3.000 euros (Tres mil euros) POR ENVIAR UN EMAIL CON FINES COMERCIALES NO AUTORIZADO.
Deber de secreto: El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán incluso después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.
Comunicación o cesión de datos: Los datos de carácter personal sólo podrán ser comunicados o cedidos a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. Por lo tanto, para ceder los datos personales, es necesario que se den los dos requisitos anteriores, incluido el consentimiento del interesado.
Acceso a los datos por cuenta de terceros (Encargo de tratamiento)
Como indicábamos anteriormente en el ejemplo de la asesoría, es posible que un tercero, diferente del Responsable del fichero, sea el que realice el tratamiento de los datos. En estos casos se exige que exista un contrato de encargo de tratamiento entre el Responsable (Empresa X) y el encargado del tratamiento (asesoría), en el que se indique la forma de tratar los datos y las medidas de seguridad a adoptar.
El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.
Notificación de ficheros
El responsable o titular debe notificar los ficheros a la Agencia de Protección de Datos antes de su creación. Lo que se comunica son los datos del titular de la base de datos, el nombre del fichero, su descripción, estructura, etc, pero NO se comunican los datos incluidos en los ficheros. P.e. Si vamos a crear un fichero llamado “clientes“, comunicaremos el nombre del fichero, su estructura, finalidad, efectos, etc … pero no los datos de nuestros clientes.
Esta notificación puede hacerse por Internet. Para ello, en la página de la Agencia de Protección de Datos tendremos que descargarnos un programa para la notificación de ficheros de titularidad privada. Una vez instalado cumplimentaremos todos los datos con la ayuda que presenta el programa. Una vez terminado, mediante la opción correspondiente, enviaremos los datos a la Agencia. Posteriormente, si no disponemos de firma electrónica, tendremos que imprimir una hoja de solicitud que genera el programa y enviarla firmada a la Agencia de Protección de Datos. Al cabo de un mes, aproximadamente, recibiremos contestación confirmándonos la inscripción del fichero. Este proceso debe repetirse para cada uno de los ficheros que tengamos (de clientes, de proveedores, de trabajadores, etc.)
Por último aconsejamos que en caso de duda se deje en manos de un profesional (imprescindible cuando se manejan datos especialmente protegidos). Hay que tener en cuenta que el incumplimiento de esta ley es todavía masivo, la ley es bastante estricta y las sanciones “muy” elevadas (de 600 a 600.000 euros).
Ejemplo real: Multa de 3.000 euros (Tres mil euros) POR ENVIAR UN EMAIL CON FINES COMERCIALES NO AUTORIZADO.
