Protección de Datos
LSSI
E-Comerce
Contratación Electrónica
Firma Electrónica
Spam
Dominios
Propiedad Intelectual
Propiedad Industrial
Seguridad
Adecuación a LSSI
Contratos
Derechos ARCO
 

 
Protección De Datos

LOPD
Reglamento de Seguridad
Obligaciones de la LOPD
Principios básicos recogidos en la Ley
Medidas y niveles de seguridad
Documento de seguridad
Derechos de los titulares de los datos
Agencia de Protección de Datos
Infracciones y sanciones

En lo relativo a la protección de datos de carácter personal, es preciso mencionar antes de iniciar el tema, dos directivas comunitarias que establecen las bases de la futura regulación:

- Directiva Comunitaria 95/46 CE: disposición que busca la armonización de los estados miembros europeos, para efectuar una protección efectiva de las personas, de sus datos contenidos en ficheros automatizados, y de sus derechos.
- Directiva Comunitaria 97/66 CE: su característica principal es que esta norma regula la protección de datos en el sector de las telecomunicaciones, garantizando los derechos fundamentales y el secreto en las comunicaciones.

La entrada en vigor de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), ha supuesto la confirmación de Internet como medio sumamente importante en el comercio actual, así como de una evolución hacia las nuevas tecnologías, con la necesidad de una mayor protección legal a fin de evitar intromisiones ilegítimas en la intimidad de las personas a la hora de realizar una transmisión de datos. Por lo tanto, la finalidad de la LOPD es proporcionar una mayor protección a usuarios y consumidores frente a las empresas o particulares que operan en redes como Internet, y que poseen gran capacidad para el almacenamiento y el tratamiento de datos personales.

Con la promulgación de la Ley Orgánica de Protección de Datos de Carácter Personal se deroga la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de Datos de Carácter Personal (LORTAD). La derogación supuso, además, la ampliación del ámbito de aplicación de la ley, pasando a ser el bien jurídico protegido, no solamente la libertad informática, sino que también protege libertades y derechos fundamentales.

De igual forma, la entrada en vigor en junio de 1999 del Reglamento de Medidas de Seguridad, Real-Decreto 994/1999, de 11 de junio, desarrollando la LOPD, y concretamente su artículo 9 referente a la seguridad jurídica de los ficheros automatizados, ha obligado a muchas empresas y particulares a activar diferentes medidas de seguridad, tanto técnicas como jurídicas, con el fin de proteger los datos de carácter personal.

Es preciso aportar previamente una serie de definiciones recogidas por la LOPD, que ayudan a una mejor comprensión de los términos indicados en la Ley Orgánica de Protección de Datos de Carácter Personal:

- Fichero: conjunto organizado de datos de carácter personal, cualquiera que fuera la forma o modalidad de acceso, creación, almacenamiento o de organización.
- Recoger, grabar, conservar, elaborar, modificar, bloquear y cancelar, así como ceder datos personales.
- Responsable del fichero: persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que decide sobre finalidad, contenido y uso del tratamiento.
- Afectado o interesado: persona física que es titular de los datos objeto del tratamiento.
- Encargado del tratamiento: persona física o jurídica, autoridad pública, servicio o cualquier otro organismo, que trate datos personales por cuenta del responsable del tratamiento.
- Consentimiento del interesado: manifestación de voluntad libre, inequívoca, específica e informada, por la que el titular de los datos consiente el tratamiento de los mismos.

La LOPD protege todos los datos registrados en soporte físico, siempre que se trate de ficheros organizados y que contengan datos de carácter personal. Esta Ley, impone una serie de obligaciones a los particulares o a las empresas que posean datos de carácter personal, contenidos en ficheros o bases de datos:

- Notificación de los ficheros y alta en la Agencia de Protección de Datos.
- Contar con el consentimiento de los titulares de los datos para recabar y tratar los mismos.
- Proteger los ficheros para evitar accesos no autorizados.
- Redacción de cláusulas de protección de datos para informar a los titulares del tratamiento.
- Redacción de contratos, formularios y demás documentos necesarios para recabar y tratar datos personales, así como para ceder datos o realizar transferencias internacionales.
- Además, teniendo en cuenta el Reglamento de Seguridad, es preciso que las empresas cuenten con un documento de seguridad en el que se recojan todas las medidas técnicas y organizativas encaminadas a la protección de datos personales, y también exigidas por el mencionado Reglamento.
- Por último, el Reglamento exige la realización de una auditoría periódica de las medidas de seguridad, técnicas y jurídicas, presentes en la empresa, al menos de carácter bienal.

Establece la LOPD una serie de principios básicos que deben observarse en la recogida, tratamiento y cesión o transferencia de datos de carácter personal:

- Calidad de los datos: el artículo 4 de la Ley, indica que los datos recabados deben ser adecuados, pertinentes y no excesivos. Asimismo, los fines para los que los datos son recabados serán compatibles.

- Todos los datos incorporados en ficheros automatizados deberán ser actualizados y puestos al día. Del mismo modo, no pueden ser utilizados medios ilícitos o fraudulentos para la recogida o tratamiento de datos de carácter personal.


- Información a los titulares de los datos personales: el artículo 5 de la LOPD señala que la recogida puede ser:

- Directamente del titular de los datos: el cual debe ser informado de la existencia de un fichero, de la incorporación de los datos al mismo, de la finalidad y del responsable del fichero así como de los derechos que le asisten.

- Indirectamente: de fuentes accesibles o no accesibles al público. Es necesario informar al titular de los datos que se va a realizar un tratamiento automatizado.


- Consentimiento del titular de los datos: se regula en el artículo 6 de la LOPD, y exige que el titular de los datos a tratar manifieste su voluntad de manera libre, sin violencia, con un consentimiento informado y una voluntad inequívoca.

El consentimiento puede ser expreso, presunto o tácito. De la misma manera que el titular de los datos prestó su consentimiento para la recogida y el tratamiento de los mismos, está facultado posteriormente para revocar dicho consentimiento.
Existen una serie de excepciones por las cuales no es necesario contar con el consentimiento de los afectados: cuando se trate de datos recabados por la Administración Pública, datos basados en una relación laboral o datos recogidos de fuentes accesibles al público.


- Datos especialmente protegidos: en el artículo 7 de la Ley Orgánica de Protección de Datos se recogen diferentes datos que, por su naturaleza especial, se apartan de la regulación general, y necesitan un consentimiento expreso y por escrito del titular de los mismos para llevar a cabo su tratamiento. Concretamente, se trata de datos relativos a ideología, religión, creencias, afiliación sindical, origen racial, salud y vida sexual.

La excepción son los datos recabados para partidos políticos, la iglesia, diferentes asociaciones o servicios sanitarios, para prevención o tratamiento de enfermedades, cuando lo realicen facultativos autorizados.


- Cesión de datos: se regula en el artículo 11 de la Ley Orgánica la comunicación o consulta de datos por parte de un tercero, manteniendo siempre la calidad y finalidad de los datos existentes. Existe la obligación de informar siempre al titular de los datos, excepto cuando la cesión se produzca por una libre aceptación de una relación jurídica, y su desarrollo implique de forma necesaria la concesión del tratamiento a terceras personas. Es previo el consentimiento del afectado, que puede ser revocado en cualquier momento.

Algunas de las excepciones para contar con el consentimiento de los titulares de los datos son: en el supuesto de que una la ley así lo autorice, cuando son recabados por las Administraciones Públicas, en el caso de ser datos recabados de fuentes accesibles al público, o bien por el tratamiento derivado de una relación jurídica.


- Acceso a datos por parte de terceros: también denominada prestación de servicios, se encuentra recogida en el artículo 12 de la LOPD. No es una cesión de datos, sino que es una entrega de datos a terceras personas encargadas del tratamiento, que deberán llevar a cabo según las instrucciones del responsable del fichero automatizado de datos. Debe estar regulado por escrito, y no pueden ser comunicadas por el encargado del tratamiento de los datos. Tras la finalización del servicio prestado se procederá a la devolución de los ficheros entregados al responsable del tratamiento por parte del encargado o prestador del servicio.

Mención importante merece el artículo 9 de la Ley Orgánica de Protección de Datos de Carácter Personal, desarrollado por el ya citado Real-Decreto 994/1999. Se refiere a las medidas de seguridad a adoptar por el responsable y por el encargado del fichero automatizado de datos en su tratamiento. Algunas de las medidas que deben observar son: identificación de usuarios por medio de claves, registro de acceso, entradas y salidas de soportes de datos, copias de seguridad de los datos almacenados, auditorías internas y externas.

El Reglamento establece tres niveles de seguridad, dependiendo de carácter de los datos que contienen los ficheros:

- Nivel básico: es el nivel aplicable a ficheros con datos personales, como pueden ser nombre, apellidos, dirección o teléfono.
- Nivel medio: se aplica este nivel cuando se trata de información relativa a servicios financieros, comisión de infracciones administrativas o penales, datos de la Hacienda Pública y datos contenidos en ficheros relativos a solvencia patrimonial o de crédito.
- Nivel alto: el máximo nivel de protección de los ficheros ha de tenerse presente cuando se tratan datos referentes a ideología, religión, creencias, afiliación sindical, origen racial o étnico, vida sexual y salud.

Todas las medidas de seguridad deben de constar por escrito en el denominado "documento de seguridad" de la empresa, tal y como se recogen el artículo 8 del Reglamento de Seguridad. El documento de seguridad debe contener todas aquellas medidas de seguridad, tanto técnicas como organizativas, que la empresa debe adoptar para recabar y tratar los datos de carácter personal contenidos en sus ficheros automatizados.

El responsable del fichero será la persona que debe elaborar dicho documento e implantarlo en la empresa. Será de obligado cumplimiento este escrito para todos los trabajadores de la compañía. Del mismo modo, el documento de seguridad deberá estar actualizado en todo momento, incorporando aquellos cambios que se produzcan en las medidas de seguridad técnicas y organizativas referentes a los sistemas informáticos.

La LOPD reconoce una serie de derechos a los titulares de los datos de carácter personal:

- Derecho de acceso a los datos

El primer derecho de los titulares de los datos personales reconocido por la Ley Orgánica de Protección de Datos de Carácter Personal en su artículo 15, es el derecho de acceso a los datos por parte del interesado, para tener conocimiento de los datos que poseen, el fin para el que los utilizan, y si se producen o no cesiones de dichos datos.

El derecho se ejercita por el propio interesado o por un representante, ante el responsable o encargado del tratamiento de los datos contenidos en los ficheros. Hay diversos ficheros ante los cuales no se puede ejercitar éste derecho, como pueden ser aquellos ficheros públicos que lo estimen oportuno, en base a la salvaguarda de la seguridad nacional o de defensa del Estado.

El plazo de respuesta comunicando los datos recabados, o bien la ausencia de datos personales de la persona que ejercitó el derecho, es de un mes.


- Derecho de rectificación de los datos

El titular de los datos de carácter personal ejerce éste derecho, señalado en el artículo 16 de la LOPD, ante el responsable o encargado del tratamiento de los ficheros, con la finalidad de que sus datos sean rectificados, actualizados o puestos al día, ya que se trata de datos erróneos o inexactos. Se procede, por tanto, a una sustitución de los datos de carácter personal.

Para ejercer este derecho no es necesario que los titulares de los datos personales ejercitaran previamente el derecho de acceso a los datos.

El plazo para efectuar la rectificación de los datos de carácter personal contenidos en ficheros automatizados por parte del responsable del fichero es de siete días.


- Derecho de cancelación de los datos

Al igual que derecho anterior de rectificación de datos personales, el derecho de cancelación de datos se regula en el artículo 16 de la LOPD.

Consiste la cancelación de los datos de carácter personal en un borrado de los datos registrados, ya que se trata de datos excesivos o inadecuados para el fin que persigue el tratamiento de los mismos. Las fases de la cancelación son dos: el bloqueo de datos, en el que éstos se separan del resto, y el borrado físico de los datos.

Tal y como se advirtió en el derecho anterior, para ejercitar éste derecho no es necesario haber ejercitado previamente el derecho de acceso a los datos personales.

Según el Reglamento, el plazo para hacer efectivo el derecho de cancelación de datos personales por parte del responsable del fichero, es de 10 días.


- Derecho de oposición al tratamiento de los datos

En el artículo 6 de la Ley Orgánica de Protección de Datos se regula el derecho que los titulares de los datos de carácter personal tienen de oponerse al tratamiento de sus datos, mientras se trate de datos que no necesiten el consentimiento previo del interesado.

La oposición debe realizarse por motivos fundados y legítimos. El responsable del tratamiento de los datos contenidos en ficheros automatizados está obligado a excluir esos datos de dicho tratamiento.

La Agencia de Protección de Datos será el organismo encargado de velar por el cumplimiento de las medidas de seguridad en todos los ficheros automatizados que contengan datos de carácter personal. Vigilará que las empresas y particulares adopten todas las medidas de seguridad técnicas y jurídicas necesarias para proteger los datos personales recogidos en ficheros.

Su función es sumamente importante, ya que garantiza el derecho de todas las personas a que sus datos sean recogidos y tratados correctamente por parte de las empresas o particulares. En su labor, la APD actúa de manera muy estricta, imponiendo multas con cuantías muy elevadas, en función de la infracción cometida en el tratamiento de los datos. Por consiguiente, además de tener el cometido de llevar un registro de todos los ficheros que contengan datos de carácter personal, tiene funciones sancionadoras.

Las infracciones y sanciones son las detalladas a continuación:

- Leves: son infracciones leves, por ejemplo, no atender la solicitud del ejercicio por parte de los titulares de los datos de los derechos de acceso, rectificación, cancelación u oposición al tratamiento de datos, o bien recabar datos de los interesados directamente sin dar la información necesaria.

- Multa: de 601,01 € a 60.101,21 € (100.000 pesetas a 10 millones de pesetas).
- Prescripción: 1 año.

- Graves: algunas de las infracciones graves son crear ficheros con distintos fines a los iniciales, o bien mantener datos de carácter personal inexactos o no cancelarlos.

- Multa: de 60.101,21 € a 300.506,05 € (10.000.001 a 50 millones de pesetas).
- Prescripción: 2 años.

- Muy graves: entre las que se encuentran la recogida de datos de carácter personal de manera fraudulenta, o la cesión ilegal de los datos personales.


- Multa: de 300.506,05 € a 601.012,10 € (50.000.001 a 100 millones de pesetas).
- Prescripción: 3 años.


Servicios jurídicos ofrecidos por nuestro despacho relativos a protección de datos




Copyright © Noviembre 2003
 
Temas Legales - Servicios Jurídicos - Contacto - Consultas Jurídicas
Datos Identificativos - Condiciones de Uso - Política de Privacidad y Seguridad