Protección de Datos (LOPD)

 

¿Qué es la ley orgánica de protección de datos (LOPD 15/1.999)?

Esta Ley tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente su honor e intimidad personal y familiar. La LOPD establece las obligaciones que los responsables de los ficheros y los encargados de los tratamientos, tanto de organismos públicos como privados, han de cumplir para garantizar la observancia del derecho a la protección de los datos de carácter personal.

En desarrollo del artículo 18.4 CE, que dispone que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos, y como transposición al ordenamiento jurídico español de la Directiva 95/46/CE (Directiva sobre protección de datos), fue aprobada la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).

 

¿Quién debe cumplir con la LOPD?

La LOPD impone una serie de obligaciones al responsable de fichero, entendiendo por tal “la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decide sobre la finalidad, contenido y uso del tratamiento”. Esto significa que cualquier autónomo o empresa (independientemente de cual sea su forma jurídica), en la medida que trate datos de carácter personal p.ej. de clientes, empleados, huéspedes, socios, alumnos, etc. queda sometido a las disposiciones de la LOPD.Y estaremos tratando datos personales siempre que una persona nos facilite sus datos personales cuando se matricula en un curso en una academia, cuando se apunta al gimnasio, cuando solicita participar en un concurso, cuando reserva un vuelo o un hotel, cuando pide hora para una consulta médica, cuando busca trabajo, cada vez que efectúa un pago con su tarjeta de crédito, cuando navega por Internet…
La LOPD será de aplicación independientemente de la forma en que tengamos organizados esos datos, ya sean ficheros automatizados o no automatizados (en papel).

Desde la perspectiva del sector al que nos dirigimos, de manera esquemática, la LOPD impone al empresario, en su condición de responsable de fichero, una serie de obligaciones:

  • Asegurarse de que los datos sean adecuados y veraces, obtenidos lícita y legítimamente y tratados de modo proporcional a la finalidad para la que fueron recabados.
  • Garantizar el cumplimiento de los deberes de secreto y seguridad.
  • Informar a los titulares de los datos personales en la recogida de éstos.
  • Obtener previamente el consentimiento para el tratamiento de los datos personales, incluido las cesiones de datos a terceros.
  • Facilitar y garantizar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.
  • Asegurar que en sus relaciones con terceros que le presten servicios, que comporten el acceso a datos personales, se cumpla lo dispuesto en la LOPD.
  • Cumplir, cuando proceda, con lo dispuesto en la legislación sectorial que le sea de aplicación.

Obligación de formar y controlar al personal

El responsable de ficheros, en su documento de seguridad, debe definir las funciones y obligaciones de las personas con acceso a los datos de carácter personal y a los sistemas de información.

Asegurarse de que el personal conozca las normas de seguridad que les afectan y las consecuencias de incumplirlas, así como de que conozcan el deber de guardar secreto profesional.

Medidas de Seguridad

El Responsable de ficheros debe adoptar unas medidas de índole técnica que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.

Estas medidas varían en función del nivel de seguridad asignado a los ficheros.

Lo habitual en el caso de PYMEs es tener una administración de empleados, cuya nómina, contrato o partes de accidentes pueden incluir datos de carácter personal de nivel alto.

Tipos de ficheros:

  • Nivel básico:es cualquier conjunto de datos que se refieren a una persona identificada o identificable. : nombre, apellidos, teléfono,…
  • Nivel medio:incluye datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y los servicios de solvencia y crédito.
  • Nivel alto:incluye datos de ideología, religión, creencias, origen racial, salud o vida sexual, así como los recabados para fines policiales sin consentimiento de las personas afectadas.

Infracciones y sanciones

Son ejemplos de infracciones leves:

  • No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda.
  • No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave.
  • Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artículo 5 de la presente Ley.

 

Son ejemplos de infracciones graves:

  • Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible.
  • El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada.
  • Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente Ley ampara.
  • La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la 27.Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.

 

Son ejemplos de infracciones muy graves:

  • La recogida de datos en forma engañosa y fraudulenta.
  • La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.
  • No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia de Protección de Datos o por las personas titulares del derecho de acceso.
  • No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.
  • No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero.

Incumplir la Ley se sanciona

  • De 601,01 a 60.101,21 euros para infracciones leves
  • De 60.101,21 a 300.506,05 euros para infracciones graves
  • De 300.506,05 a 601.012,10 euros para infracciones muy graves