LEY ORGANICA DE PROTECCION DE DATOS
¿Qué es un DATO?
Según el artículo 3.a de la LOPD y el 5.1.f del RD se define como ”datos de carácter personal”: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables”
De aquí, hay dos aspectos básicos para saber que acciones debemos tomar:
1.- ¿Qué es entonces un dato? Si utilizamos los formularios que la Agencia Española de Protección de Datos utiliza para notificar la existencia de un fichero de datos, como los diferentes tipos de datos tipificados, podemos definir como dato:
- Datos identificativos: Dni, dirección, firma-huella, nombre y apellidos, teléfono, nº seguridad social, voz, imagen, tarjeta sanitaria, firma electrónica, correo electrónico.
- Datos de características personales: Lengua materna, estado civil, datos de familia, fecha y lugar de nacimiento, edad, sexo, nacionalidad, características físicas.
- Datos Especialmente protegidos: Salud y vida sexual, origen racial o étnico, ideología, afiliación sindical-política, religión, creencias.
- Datos empleo: puesto de trabajo, profesión, datos no económicos de nómina, historial del trabajador.
- Datos circunstancias sociales: vivienda, situación familiar, propiedades, posesiones, aficiones y estilos de vida, pertenencia a clubes y asociaciones, licencias, permisos y autorizaciones.
- Datos Académicos/Profesionales: formación, titulaciones, historial estudiante, experiencia profesional, pertenencia a asociaciones profesionales o colegios.
- Datos económicos, financieros y de seguros: inversiones, rentas, ingresos, bienes patrimoniales, créditos, préstamos, avales, datos bancarios, planes de pensiones, jubilación, datos económicos de nómina, datos de deducciones impositivas o impuestos, seguros, hipotecas, subsidios, beneficios, historial de créditos, tarjetas.
- Datos que aportan Información comercial: licencias comerciales, subscripciones a publicaciones o medios de comunicación, creaciones artísticas, literarias, científicas o técnicas, actividades y negocios.
- Datos relativos a transacciones de bienes y servicios: Bienes y servicios suministrados o recibidos por el afectado, transacciones financieras, compensaciones, indemnizaciones.
2.- ¿Qué significa personas físicas identificadas o identificables? Siguiendo con lo que entiende la LOPD como información concerniente a personas físicas identificadas o identificables:
- Dato de Persona Identificada: información que nos indica directamente a que personas se refiere, sin necesidad de que haya que realizar ningún tipo de averiguación posterior. Ejemplos típicos: nombre y apellidos, dirección postal, DNI,…., que identifican perfectamente a una persona física determinada.
- Dato de Persona Identificable: información que hace referencia a una persona física pero no aporta información suficiente para averiguar su identidad, pero con unos plazos y actividades razonables se puede llegar a identificar.
¿Qué es la LOPD?
La Ley Orgánica de Protección de Datos de carácter personal (15/1999 de 13 de diciembre) y el Reglamente de desarrollo de dicha ley aprobado en el Real Decreto 1720/2007 (del 21 de diciembre), determina que el derecho a la protección de datos personales es un derecho fundamental de todas las personas, que se traduce en la potestad de control sobre el uso de los datos personales. Este control permite evitar que, a través del tratamiento de los datos de las personas, se pueda disponer de información sobre las mismas que afecte a su intimidad y demás derechos fundamentales y libertades públicas otorgados por la Constitución Española y vinculados a los derechos fundamentales de las personas.
¿A qué me obliga la ley?
Establece la obligación para toda organización, entidad o empresa, física o jurídica, que disponga de ficheros públicos o privados, cuyo contenido sean datos de personas físicas con el objetivo de tratarlos, cederlos o usarlos, de desarrollar y aplicar los procedimientos y controles necesarios que garanticen el secreto y seguridad de los datos..
En concreto datos vinculados a clientes, proveedores, asociados, administradores, pacientes, alumnos captados para diferentes finalidades: laboral, fiscal, marketing, videovigilancia, gestión, facturación etc, están sujetos a dicha ley y obliga a toda organización que disponga de dichos datos a cumplir con dicha ley.
Dentro de las obligaciones legales fundamentales a adoptar están:
- Dar de alta los ficheros en la Agencia Española de Protección de Datos.
- Elaborar y mantener actualizado el Documento de Seguridad.
- Redactar la documentación sobre las funciones y obligaciones del personal
- Redactar Contratos con los Encargados de Tratamiento
- Redactar Cláusulas de Información y Consentimiento en la recogida y cesión de datos personales
- Informar sobre las cesiones, posibles y reales
- Tomar las medidas de seguridad adecuadas para el control y acceso a los datos: acceso mediante redes de comunicaciones, trabajo fuera del espacio físico donde estén los ficheros, custodia de documentos, control del acceso físico a locales, sistemas de registro de entrada y salida de soportes informáticos,…
- Definir dentro de los procedimientos: un registro de incidencias, identificación y autenticación de los usuarios ante los sistemas, definir soportes que contengan datos, ficheros temporales, copias de respaldo, dispositivos de almacenamiento,
- Hacer las auditorías correspondientes para garantizar la correcta adaptación a la ley.
¿Qué sanciones pueden aplicarse?
La cuantía de las sanciones se gradúa dependiendo de la naturaleza de los derechos personales afectados, los beneficios obtenidos, el grado de intencionalidad, la reincidencia, los daños y perjuicios causados a las personas interesadas, al volumen de los tratamientos efectuados y en general cualquier otra circunstancia que sea relevante para determinar el grado de culpabilidad.
Son infracciones leves: sanciones entre 900 € y 40.000 €
- No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo.
- No solicitar la inscripción del fichero en el Registro General de Protección de Datos
- Recopilar datos personales sin informar previamente
- No atender a las solicitudes de rectificación o cancelación
- Transmitir datos a un encargado de tratamiento sin cumplir las obligaciones formales.
Son infracciones graves: sanciones entre 40.001 € y 300.000 €
- No inscribir los ficheros en la AEPD.
- Utilizar los ficheros con finalidad distinta con la se crearon.
- No tener el consentimiento del interesado para recabar sus datos personales.
- No permitir el acceso a los ficheros.
- Mantener datos inexactos o no efectuar las modificaciones solicitadas.
- No seguir los principios y garantías de la LOPD.
- Tratar datos especialmente protegidos sin la autorización del afectado
- No remitir a la AGPD las notificaciones previstas en la LOPD.
- Mantener los ficheros sin las debidas condiciones de seguridad.
Son infracciones muy graves: sanciones entre 300.001 € y 600.000 €
- Crear ficheros para almacenar datos especialmente protegidos.
- Recogida de datos con engañoso o fraudulentamente.
- Recabar datos especialmente protegidos sin la autorización del afectado.
- No atender u obstaculizar de forma sistemática las solicitudes de cancelación o rectificación.
- Vulnerar el secreto sobre datos especialmente protegidos.
- La comunicación o cesión de datos cuando ésta no esté permitida.
- No cesar en el uso ilegítimo a petición de la AEPD.
- Tratar los datos de forma ilegítima o con menosprecio de principios y garantías que le sean de aplicación.
- No atender de forma sistemática los requerimientos de la AEPD.
- La transferencia temporal o definitiva de datos de carácter. personal con destino a países sin nivel de protección equiparable o sin autorización.
¿Siguiente paso?
ENIAC CONSULTING le asesora y le guía en todo el proceso de adaptación y posterior mantenimiento de la ley. Contacte con nosotros sin compromiso y nos sentaremos con usted para evaluar sus necesidades y ofrecerle la mejor opción en su caso
Síguenos en