La Protección de Datos de Carácter Personal es una materia que preocupa a todas las empresas, principalmente por las fuertes sanciones económicas que impone la Agencia Española de Protección de Datos en caso de incumplimiento. En Saciva podemos ayudarle a cumplir con esta obligación y evitar así las cuantiosas multas que la Ley contempla.

La LOPD establece una serie de obligaciones en aras a la protección de los datos personales contenidos en ficheros automatizados que poseen empresas y administraciones públicas, y que son tratadas por éstas con diferentes finalidades; gestión de personal, proveedores, clientes, campañas de marketing, etc.

 

 

Obligaciones básicas impuestas en la LOPD

Las obligaciones básicas impuestas por la LOPD se pueden resumir en:

1. LEGALIZAR. Todos los ficheros de datos de carácter personal deberán estar inscritos y legalizados ante la Agencia Española de Protección de Datos.

2. LEGITIMAR. Todos los datos de carácter personal recogidos por la empresa, deben contar con el consentimiento del afectado, así como cumplir una serie de principios básicos como son:

A. Principio del consentimiento del afectado.

B.Principio de información

C.Principio de calidad de los datos

A. Por principio del consentimiento entiende la Ley que es la manifestación de voluntad, libre, inequívoca, específica e informada, mediante la cual el interesado consiente el tratamiento de los datos personales que le son recabados.

Cuando una empresa decide recabar datos de carácter personal debe, para poder utilizarlos, recabar el consentimiento de la persona que los cede. Ese consentimiento no se basa en que demos los datos, sino en qué nosotros seamos conscientes de que los damos. Por ello, se exige casi siempre (existen excepciones) que la persona que da sus datos personales lo manifieste conscientemente, y que ese consentimiento sea informado.

Ello supone que el consentimiento del afectado deberá ser precedido por una declaración del Responsable del Fichero (la empresa que los recaba) en la que se indiquen, de forma clara y fácilmente comprensible, los datos que van a ser objeto de tratamiento y las finalidades a que van a ser destinados, para que los interesados indiquen, sin ningún género de dudas, su conformidad con su tratamiento o su oposición al mismo.

Actualmente, se recaban más datos a través de formularios en páginas web que de manera tradicional y encontramos, en ellos, una serie de casillas de verificación en las que aparece que, además de ceder los datos, damos nuestro consentimiento para recibir cualquier tipo de publicidad o comunicación a través de correo electrónico. Estas casillas, según lo dispuesto en la normativa Comunitaria sobre Comunicaciones Comerciales y en lo que dispone la Ley de Servicios de la Sociedad de la Información, deben estar en blanco para que sea el propio afectado el que las marque si desea recibir tal información y porque tal acto supone el consentimiento expreso.

En cuanto a las excepciones sobre que el consentimiento sea expreso e inequívoco, encontramos las siguientes:

1. No es necesario recabar el consentimiento del afectado cuando los datos de carácter personal se recojan para el ejercicio propio de las Administraciones Públicas.
2. Tampoco es necesario el consentimiento cuando los datos se refieran a las partes de un contrato o precontrato en una relación negocial, laboral o administrativa y sean necesarios para el cumplimiento o el mantenimiento de las obligaciones nacidas del mismo.
3. No será necesario el consentimiento del afectado si los datos son recabados de fuentes accesibles al público. Pero, en el caso de que sean utilizados estos datos, en cada comunicación que se realice, se informará al interesado que sus datos proceden de estas fuentes, con lo que puede entenderse que es un consentimiento a posteriori.

B. El principio del deber de información es la obligación que tienen las empresas de informarnos, de forma previa a la recogida, de modo expreso, inequívoco y preciso de lo siguiente:

1. De la existencia de un "fichero" al que serán incorporados los datos que nos solicitan.
2. Del carácter obligatorio o facultativo de consignar determinados datos.
3. De las consecuencias de la obtención de los datos.
4. De la posibilidad del ejercicio de los derechos de acceso, rectificación, cancelación u oposición al tratamiento de los datos.
5. De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

C. Esta información previa que se nos debe entregar a la recogida responde también al principio de calidad y contenido de los datos que nos son solicitados. La calidad hace referencia a que los datos son recogidos para una concreta finalidad, y no podrán ser destinados por el Responsable del Fichero a otras finalidades. La finalidad también nos permite reconocer qué fichero es al que deben dirigirse los interesados para ejercitar los derechos reconocidos por la Ley: los derechos de acceso, modificación, oposición y cancelación.

Si la empresa que almacena y trata datos de carácter personal cumple con los tres principios básicos, facilita al interesado el ejercicio de estos derechos en los plazos y en los extremos señalados por la ley (derecho a solicitar y obtener gratuitamente información de sus datos sometidos a tratamiento, la modificación, cancelación u oposición a su tratamiento o cesión, el origen de dichos datos, así como las comunicaciones realizadas y las que se prevén realizar) y legaliza el fichero ante el Registro de la Agencia de Protección de Datos, estableciendo unas medidas de seguridad para la protección del mismo, estará totalmente segura de no incurrir en las infracciones previstas.

Además, hay que tener en cuenta las precauciones a adoptar en el caso de que los datos de carácter personal vayan a ser cedidos a otras empresas, o bien cuando el tratamiento de estos datos se va a efectuar por cuenta de tercero, ya que deberán realizarse contratos específicos.

3. PROTECCIÓN. La LOPD y el Reglamento de Medidas de Seguridad (RD 994/1999), establecen la obligación de establecer una serie de medidas de carácter técnico y organizativo que garanticen la seguridad de los datos de carácter personal, medidas que habrán de adoptarse / implementarse por la empresa o profesional que almacene estos datos. Entre estas medidas se incluye la elaboración de un Documento de Seguridad en el que se detallarán los datos almacenados, las medidas de seguridad adoptadas, así como las personas que tienen acceso a esos datos.

El cumplimiento de cada una de estas obligaciones tan sólo exige un pequeño esfuerzo de las empresas y profesionales, que junto al asesoramiento adecuado, evitará disgustos y la imposición de duras sanciones económicas.

Implicaciones y Responsabilidades de la Protección de Datos de Carácter Personal.

Pero, el deber de las empresas en esta materia no sólo debe consistir en la adaptación a la normativa vigente, sino también en la aplicación práctica de los principios de protección de datos en el seno de la empresa, dentro de cada uno de los departamentos, involucrando a todo el personal… Las consecuencias del incumplimiento de la normativa no se quedan sólo en las sanciones de la Agencia, sino que van más allá y afectan a todos.

El cumplimiento de lo establecido en la LOPD (LO 15/1999 de Protección de Datos de Carácter Personal) y su normativa de desarrollo (RD 994/1999, Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan datos de carácter personal) pasa no sólo por la legalización, legitimación y protección de los ficheros de datos de carácter personal, sino también por su aplicación práctica en el seno de las organizaciones, es decir, la incorporación a la dinámica de la empresa de los principios rectores de la Protección de Datos de Carácter Personal.

La incorporación a la dinámica de la empresa de los principios rectores de la Protección de Datos de Carácter Personal, adquiere una gran importancia desde el momento en que las consecuencias de su incumplimiento conllevan grandes responsabilidades tanto para la Organización como para el personal que trata o accede a los datos de carácter personal, es decir, las sanciones ya no sólo son administrativas y dirigidas a la Organización en sí, sino que además de ellas se pueden derivar responsabilidades civiles, penales y laborales.

1. Administrativas: Sanciones contempladas en la LOPD y que son impuestas por la Agencia Española de Protección de Datos en el ejercicio de sus funciones, ya sea por inspección de oficio o abierta a instancia de parte. Estas sanciones son de carácter económico y su cuantía está entre 601,01 y 601.012,10 Euros.
2. Civiles: Artículos del Código Civil relativos a la Responsabilidad Contractual y Extracontractual (arts. 1902 y 1903 CC). Así cuando determinado servicio es contratado a un tercero ajeno a la propia organización e implique un acceso a los ficheros de datos de carácter personal, deberá estar precedido del correspondiente contrato de acceso a datos en el que se limiten las facultades del tercero en cuanto al tratamiento de los datos de carácter personal, se especifiquen las medidas de seguridad que deberán ser implantadas o cumplidas por el tercero para la protección del fichero, y se determinen las responsabilidades derivadas del incumplimiento de la LOPD o de lo establecido en el contrato.
3. Penales: El Código Penal tipifica los delitos contra la intimidad y concretamente el descubrimiento y revelación de secretos en los artículos 197 y siguientes. En este sentido, ha sido condenado recientemente un funcionario de la Seguridad Social, a cinco años y tres meses de prisión, una multa de 330.556 Euros y la inhabilitación especial de 11 años para empleo o cargo público, por vender datos personales de cotizantes a una empresa privada.
4. Laborales: La fuga de datos, un tratamiento inadecuado de los ficheros de datos de carácter personal, un acceso no autorizado a los datos del fichero, una protección inadecuada de los ficheros, pueden venir derivadas de cualquier puesto laboral dentro del seno de la Organización. Cuando una cadena de fallos deriva en la imposición de una sanción a la Organización, es frecuente que además se deriven responsabilidades laborales.

En consecuencia, se hace absolutamente necesario el establecimiento de una serie de medidas adicionales para la correcta aplicación de la Ley de Protección de Datos en las empresas, tendentes principalmente a informar y formar al personal que trata los datos, independientemente de su cargo o función.

Como principales acciones adicionales encaminadas a informar y formar al personal sobre los principios del tratamiento de datos de carácter personal encontramos las siguientes:

1. Establecimiento de una Política de Tratamiento de Datos en la Organización. Esta Política de Tratamiento de Datos deberá entregarse a cada uno de los empleados que entre sus funciones esté el tratamiento de datos de carácter personal, quién deberá firmarla tras su conocimiento.
2. Formación en materia de Protección de Datos. El establecimiento de seminarios, conferencias o jornadas de formación en materia de protección de datos en el seno de las Organizaciones es otra de las medidas que se pueden adoptar. Como principales ventajas de la formación encontramos:

• Información y Formación para el empleado.
• Formación personalizada para cada empresa. Se analizaran los casos concretos de cada organización y su problemática particular.
• Mayor participación de los empleados. Podrán consultar y comentar las particularidades de cada puesto.

Si requiere de más información, póngase en contacto con nosotros.

Artículos Relacionados:

• Claves para asegurar el éxito en la implantación de un ERP - Consultoría Tecnológica - (0)
• Aplicación del Cuadro de Mando en el area comercial y de márketing - Consultoría Tecnológica - (0)
• Servicios de Saciva en EFQM (0)
• Norsegur. Adaptación a la Ley de Protección de Datos (0)
• Las denuncias por incumplimiento de protección de datos se duplican (0)