Ley Orgánica de Protección de Datos
¿Su empresa cumple con la ley?,
Casi el 100% de las empresas y profesionales están obligados a cumplir la ley
-
¿por qué me interesa?
-
Resumen
-
Introducción
-
AEPD
-
Obligaciones
-
Derechos
-
Otros
Adaptarse a la Ley no debe ser ni costoso ni complejo. Este es el objetivo principal del Servicio de Consultoría LOPD de VS Informática.
Nuestros servicios están orientados a asesorar y ayudar a las empresas y entidades para poner en práctica la normativa de obligado cumplimiento que los regula.
¿a quién afecta?
ESTA NORMATIVA AFECTA AL 100% DE LAS EMPRESAS DE NUESTRO PAÍS. (Clientes, proveedores o personal).
Aplicable a todos los profesionales liberales, empresas y organizaciones públicas o privadas que almacenen, utilicen o traten datos de carácter personal registrados en soporte físico y que los haga susceptibles de tratamiento.
Considerándose “datos de carácter personal” a cualquier información conciernen te a personas físicas identificadas o identificables. Todas las empresas manejan este tipo de datos en el desarrollo de su actividad, debemos tener en cuenta que una relación de clientes o proveedores de una base de datos o la relación de trabajadores de su empresa, son ficheros de carácter personal, afectados por las normativas anteriormente citadas.
Uno de los principios básicos den los que deben apoyar su compresión de la legislación en materia de protección de datos, es que los datos que tratan en su empresa no son propiedad de la misma, sino, de sus titulares.
Las obligaciones de las empresas no se reducen a un momento puntual; es un proceso constante en el tiempo que afecta a su actividad empresarial.
La legislación sobre Protección de Datos marca una serie de límites a la utilización de los datos personales. Esto afecta a todas las empresas de nuestro país, ya que en mayor o menor medida todas tratan o manejan datos de carácter personal de personas físicas (clientes, proveedores, empleados, colaboradores, accionistas,…)
Todas las empresas deben adaptarse a la legislación teniendo en cuenta que deben conjugar por un lado los derechos que poseen los ciudadanos sobre el uso, tratamiento y destino de sus datos y por otro las medidas de tipo organizativas y técnicas que debemos establecer en nuestra organización para garantizar la seguridad de la información.
El cumplimiento de las obligaciones legales en materia de protección de datos es imprescindible, la LOPD establece unas sanciones económicas a los titulares de los ficheros y a los responsables del tratamiento de los datos, para los casos en que no se cumpla con la legislación sobre Protección de datos, siendo estas sanciones las más elevadas de nuestro entorno europeo.
La Agencia Española de Protección de datos (AEPD) organismo encargado de velar por el adecuado cumplimiento de la legislación vigente cuenta con un amplio cuerpo de inspectores que tienen la consideración de autoridad pública en el desempeño de sus funciones. Actúan de oficio o mediante denuncia de cualquier afectado y de no cumplirse con la legislación, imponen elevadas multas que pueden llegar hasta los 600.000 euros.
EL DESCONOCIMIENTO DE LA LEY NO EXIME DE SU CUMPLIMIENTO.
LAS SANCIONES APLICADAS HASTA EL MOMENTO POR LA AGENCIA ESPAÑOLA DE PROTECIÓN DE DATOS, OSCILAN DE MEDIA, ENTRE LOS 60.000 € Y LOS 300.000 €
TIPO DE INFRACCIONES.
TIPO DE INFRACCIÓN |
Cuantía de la Sanción |
Leve |
De 601 a 60.101 € |
Grave |
De 60.101 a 300.506 € |
Muy Grave |
De 300.506 a 601.012 € |
El articulo 18.4 de la constitución dice que "la ley limitara el uso de la informática para garantizar el honor y la intimida personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos". Con la intención de hacer realidad este articulo nace en el año 1992 la ley orgánica 5/1992 conocida como LORTAD, para posteriormente ser derogada por la vigente Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, conocida como LOPD.
El Tribunal Constitucional en su sentencia 292/2000 define la Protección de Datos como el derecho fundamental que garantiza a toda persona "un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesiva para la dignidad y derecho del afectado".
No se puede poner en tela de juicio las enormes ventajas que nos reporta el uso de la informática en nuestra actividad empresarial, mejorando y aumentando tanto la productividad personal como la de las empresas. Sin embargo quien no se ha preguntado alguna vez si aquellas empresas que tratan sus datos, con ordenadores cada vez más potentes y con bases de datos con mayor volumen de información, no tendrán demasiada información sobre su vida privada y que uso harán de la misma.
Como ciudadanos nos preocupa relativamente el tratamiento de los datos de carácter personal cundo son de carácter básico ( nombre, dirección, teléfono,…), pero ¿y cuando se trata de datos más sensibles? ( renta, solvencia, recibos, afiliación sindical o política, salud, vida sexual… ).
Toda esta información nos ofrece perlases y hábitos precisos sobre las personas, perfiles que en algunos casos ni el propio titular de los datos conoce y que pueden ser utilizados de manera inadecuada. Solo debemos valorar, la información que se puede obtener de unas persona conociendo sus movimientos bancarios, obteniendo información precisa sobre sus actividades de ocio y gustos, vida familiar, capacidad económica y un largo etcétera o si analizamos la factura telefónica cruzando los datos que posee el operador de telefonía con las llamadas que realiza.
La intimidad es un valor que se reconoce de forma unánime en todo el mundo civilizado desde el siglo XX, los límites sobre3 la tenencia y utilización de los datos de carácter personal, así como el tráfico de los mismos quedan reflejados en la Legislación sobre Protección de datos, afectando a todas las organizacione3s que3 constituyen el tejido empresarial de nuestro país, ya que todas manejan datos de este tipo (clientes, proveedores, empleados, asesores externos…). Es por ello que todas las empresas deben adaptarse a la legislación teniendo en cuenta que deben conjugar por un lado los derechos que poseen los ciudadanos sobre el uso, tratamiento y destino de sus datos y por otro lado las medidas de tipo organizativo-técnico que debemos conferir a dichos datos en nuestra organización
La Agencia Española de Protección de Datos (AEPD)
Su misión es la de velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos. Es un ente de Derecho Público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones.
La AEPD además de otras funciones, atiende las peticiones y reclamaciones formuladas por las personas afectadas, ejerciendo la potestad inspectora y sancionadora. Cualquier ciudadano podrá conocer, solicitando en el Registro general de Protección de Datos a través de la web de la AEPD ( www.agpd.es ), la existencia de los ficheros de carácter personal inscritos en España, sus finalidades y la identidad del responsable del tratamiento. Siendo la consulta pública y gratuita.
Dentro del reconocimiento de los derechos de los ciudadanos de acceso, rectificación, cancelación y oposición de sus datos personales, todos tenemos derecho a dirigirnos a cada una de las empresas u organismos públicos, de las que sabe o presume que tienen sus datos, solicitando información sobre qué datos tiene y cómo los han obtenido (derecho de acceso) y la rectificación o cancelación de los mismos.
Cualquier actuación contraria a las obligaciones contenidas en la LOPD puede ser objeto de denuncia ante la AEPD, estableciéndose las posibles infracciones en leve, graves y muy graves, con un abanico de sanciones que van desde los 600,00 € a los 600.000 €.
TIPO DE INFRACCIÓN |
Cuantía de la Sanción |
Leve |
De 601 a 60.101 € |
Grave |
De 60.101 a 300.506 € |
Muy Grave |
De 300.506 a 601.012 € |
Obligaciones de las Empresas
Las obligaciones más reseñables a realizar por parte de la empresa (responsable del fichero) y cuya finalidad es impedir el mal uso o abuso de la información se pueden resumir en dos apartados, Registro de Ficheros, Desarrollo y Aplicación de Medidas de Seguridad sobre los mismos:
Registro de Ficheros
Siempre que se proceda al tratamiento de datos personales, definidos en el art. 3 de la Ley como “cualquier información concerniente a personas físicas identificadas o identificables”, y que suponga la inclusión de dichos datos en un fichero, cualquiera que sea su forma, creación, almacenamiento, o acceso, dicho fichero se encontrará sometido a la Ley, siendo obligatoria su inscripción en el Registro General de Protección de Datos.
Aplicación de medidas de seguridad
El principio de seguridad y confidencialidad de los datos, impone al responsable del fichero adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado y que a su vez se encuentran desarrolladas en el Reglamento de Medidas de Seguridad 994/1999, de 11 de junio.
ste reglamento de medidas de seguridad, resultará de aplicación sólo a los ficheros automatizados que contengan datos de carácter personal. Sus disposiciones definen las distintas medidas que habrán de adoptarse sobre los ficheros de datos de carácter personal, resultando las mismas aplicables a la totalidad del sistema de información en que se aloja cada fichero, siendo de obligado cumplimiento.
Especialmente debe recordarse que el Reglamento establece reglas específicas en materia de control de accesos, gestión de soportes y elaboración de copias de respaldo, debiendo además constar todas estas medidas en el DOCUMENTO DE SEGURIDAD.
DOCUMENTO DE SEGURIDAD
La organización elaborara con carácter obligatorio, un documento de seguridad de obligado cumplimiento para el personal que tenga acceso a los datos y a los sistemas de información, con teniendo las medidas, técnicas y organizativas que se desarrollarán, normas, procedimientos, reglas y estándare4s encaminados a garantizar los niveles de seguridad exigidos. El documento deberá mantener en todo momento actualizado y revisado con los cambios que se produzcan tanto en los sistemas de información como en la organización, siendo adaptado a la normativa vigente en cada momento.
Derechos del ciudadano
El tratamiento de los datos de carácter personal puede suponer una acumulación de información que posibilite definir un perfil de la persona fuera de su control. Para minimizar este riesgo, se conceden a los ciudadanos derechos que le otorguen la facultad de poder ejercer un control sobre el uso de sus datos.
Estos derechos son:
- Derecho de acceso.
- Derecho de rectificación.
- Derecho de cancelación.
- Derecho de oposición
- Deber de información previo al tratamiento de sus datos de carácter personal
, considerándose todos ellos principios fundamentales sobre los que se asienta la ley.
Cada uno de los derechos es independiente de los demás, pudiendo ejercerse libre y gratuitamente, el ejercicio de cualquiera de ellos no es requisito previo para el ejercicio del otro.
Para ejercitar estos derechos, es necesario por parte del titular de los datos el cumplimiento de unos requisitos formales básicos, como es la entrega o envío de una solicitud al responsable del fichero que contenga: nombre y apellidos, fotocopia del DNI y la petición en la que se concreta la solicitud.
El responsable del Fichero debe estructurar procedimientos lógico-administrativos que posibiliten el ejercicio de los legítimos derechos de los ciudadanos, preocupándose de establecer los cauces o vías de respuesta a dichas solicitudes, así como el debido conocimiento por parte del personal de la empresa a través de formación o concienciación de las obligaciones a las que están sometidos.
Es sumamente importante establecer estos mecanismos dentro de la organización de una manera efectiva debido a los plazos de respuesta temporal que establece la ley para estas solicitudes, la ausencia o demora de respuesta en los plazos establecidos, posibilita al titular de los datos a interponer denuncia por vulneración de sus derechos ante la Agencia Española de Protección de datos.
Deber de Secreto
El artículo 10 de la Ley Orgánica exige al responsable del fichero y a quienes intervengan en cualquier fase del tratamiento de los datos, tanto personal propio como externo, (externalización de servicio, confección de nóminas), a guardar secreto profesional sobre los datos, subsistiendo la obligación aún después de finalizar su relación con el responsable del fichero. Además, los datos de carácter personal objeto de tratamiento no podrán usarse para fines incompatibles con aquellos para los que fueron recogidos.
Funciones y Obligaciones del Personal
Las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentas de acuerdo con lo establecido en la ley.
El responsable del fichero adoptará las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudieran incurrir en caso de incumplimiento.
Es clave dentro de la correcta adaptación a la LOPD, la concienciación y formación de los usuarios que tengan acceso a datos de carácter persona, haciéndolos conocedores de la importancia y seriedad de la normativa y formándolos sobre las funciones, obligaciones y normas que deben cumplir, sin el éxito de estos puntos la adaptación no será exitosa.
La adaptación puntual de la compañía a la LOPD y la Seguridad informática no es una vacuna que protegerá indefinidamente sus sistemas, por lo que deben auditar y corregir de manera permanente las medidas, procedimientos y sistemas de información establecidos.
La falta de proceso de concienciación y formación adecuados provocan con mucha frecuencia que nuestro propio personal de forma voluntaria o involuntaria sea la principal fuente de errores en materia de protección de datos y seguridad, de tal modo que una parte muy importante de las inspecciones de la Agencia están provocadas por una mala praxis del personal de la organización.
Para más información puede visitar la página oficial de la Agencia (AEPD) : https://www.agpd.es/portalwebAGPD/index-ides-idphp.php