Mantenimiento informático empresas Diseño Web

LOPD (LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL)

¿Qué es la Ley de Protección de Datos? (véase LOPDG)

La Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD), regula el tratamiento de datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.

La protección de los datos de carácter personal es un derecho fundamental.

 


  •       INTRODUCCIÓN

Las Tecnologías de Información han pasado a ser la columna vertebral de cualquier empresa, su avance en los últimos tiempos ha hecho posible manejar, trabajar y trasladar ficheros de información a través de las nuevas tecnologías como pendrives, PDA, Ordenadores Portátil, etc

Debido a la complejidad del cambio la mayoría de las empresas no han tomado las medidas de seguridad necesarias que garanticen un eficaz tratamiento y gestión en los datos personales, no cumpliendo con los requerimientos legales que dispone la Ley de Protección de Datos.

A medida que las tecnologías avanzan, los riesgos aumentan, veamos varios ejemplos:

  • …que un empleado se va a la competencia llevándose la base de datos de sus clientes
  • …que un cliente enfadado le denuncia por recibir un correo que no solicitó.
  • … que un cliente está insatisfecho por el trato recibido
  • … que a menos de 500 metros existe una empresa  del mismo ramo empresarial que la suya y usted supone una amenaza a nivel comercial
  • …que su empresa tiene que pagar una multa de más de 100.000 € por que su web no está inscrita en los Registros correspondientes.
  • …que pierden su pen-drive – pda, orenador portátil conteniendo datos  de clientes y proveedores y éstos los utiliza la persona que se los ha encontrado para otros fines

Unos de los principales objetivos en este tema es concienciar a nuestros clientes de la importancia de llevar a cabo un uso adecuado de los datos de carácter personal que trate, así como de las graves consecuencias que su incumplimiento puede traer ya que están expuestos a posibles sanciones de la Agencia de Protección de Datos. Cuanto mayor sea la información que se posea sobre ello, menores serán los riesgos que se corran y estarán en condiciones de evitar las mismas.

Tipos de infracciones:

• Leves: 601,01 € a 60.101,21 € (100.000 a 10.000.000 ptas.)
• Graves: 60.101,21 € a 300.506,05 € (10.000.000 a 50.000.000 ptas.)
• Muy graves: 300.506,05 € a 601.012,10 € (50.000.000 a 100.000.000 ptas. )

La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.

“Artículo 44 Tipos de infracciones

1. Las infracciones se calificarán como leves, graves o muy graves.

2. Son infracciones leves:

a) No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda.

b) No proporcionar la información que solicite la Agencia de Protección de Datos en el ejercicio de las competencias que tiene legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos.

c) No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave.

d) Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artículo 5 de la presente Ley.

e) Incumplir el deber de secreto establecido en el artículo 10 de esta Ley, salvo que constituya infracción grave.

3. Son infracciones graves:

a) Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el “Boletín Oficial del Estado” o diario oficial correspondiente.

b) Proceder a la creación de ficheros de titularidad privada o iniciar la recogida de datos de carácter personal para los mismos con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad.

c) Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible. d) Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.

e) El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada.

f) Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente Ley ampara.

g) La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo.

h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.

i) No remitir a la Agencia de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo, así como no proporcionar en plazo a la misma cuantos documentos e informaciones deba recibir o sean requeridos por aquél a tales efectos.

j) La obstrucción al ejercicio de la función inspectora.

k) No inscribir el fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando haya sido requerido para ello por el Director de la Agencia de Protección de Datos.

l) Incumplir el deber de información que se establece en los artículos 5, 28 y 29 de esta Ley, cuando los datos hayan sido recabados de persona distinta del afectado.

4. Son infracciones muy graves:

a) La recogida de datos en forma engañosa y fraudulenta.

b) La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.

c) Recabar y tratar los datos de carácter personal a los que se refiere el apartado 2 del artículo 7 cuando no medie el consentimiento expreso del afectado; recabar y tratar los datos referidos en el apartado 3 del artículo 7 cuando no lo disponga una Ley o el afectado no haya consentido expresamente, o violentar la prohibición contenida en el apartado 4 del artículo 7.

d) No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia de Protección de Datos o por las personas titulares del derecho de acceso.

e) La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia de Protección de Datos.

f) Tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales.

g) La vulneración del deber de guardar secreto sobre los datos de carácter personal a que hacen referencia los apartados 2 y 3 del artículo 7, así como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas.

h) No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.

i) No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero.”

“Artículo 45 . Tipo de Sanciones

• Leves: 601,01 € a 60.101,21 € (100.000 a 10.000.000 ptas.)
• Graves: 60.101,21 € a 300.506,05 € (10.000.000 a 50.000.000 ptas.)
• Muy graves: 300.506,05 € a 601.012,10 € (50.000.000 a 100.000.000 ptas. )

  1. 1. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.
  1. 2. Si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediantamente en gravedad a aquella en que se integra la considerada en el caso de que se trate.
  2. 3. En ningún caso podrá imponerse una sanción más grave que la fijada en la Ley para la clase de infracción en la que se integre la que se pretenda sancionar.
  3. 4. El Gobierno actualizará periódicamente la cuantía de las sanciones de acuerdo con las variaciones que experimenten los índices de precios. “

¿Quién está obligado a cumplirla?

La Ley obliga todas las empresas, instituciones públicas y privadas, autónomos y profesionales (Colegios, guarderías, comunidades de propietarios, servicios médicos o de estética, etc) que manejen datos personales de sus proveedores y clientes en soporte físico, sea en formato papel o en sistemas o soportes informáticos, para su posterior uso, estarán obligadas a establecer las medidas de seguridad oportunas para proteger esos datos de un uso indebido. Además deberán contar con la autorización específica e informada de las personas afectadas para cualquier tratamiento de esos datos de carácter personal.

El deber de información previo al tratamiento de los datos de carácter personal es uno de los derechos básicos y principales de los ciudadanos contenidos en la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal; por tanto, si se van a registrar y tratar datos de carácter personal, será necesario informar a través del medio que se utilice para la recogida, del contenido del artículo 5 que regula el derecho de información de los afectados previo a la recogida de los datos.

Artículo 5. Derecho de información en la recogida de datos.

1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.

2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

3. No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.

4. Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e) del apartado 1 del presente artículo.

5. No será de aplicación lo dispuesto en el apartado anterior cuando expresamente una Ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.

Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten.

El Responsable del fichero deberá indicar de forma clara y comprensible los datos objeto de tratamiento y la finalidad a la que van a ser destinados, para que los interesados puedan dar su conformidad o su oposición al tratamiento de los mismos

Muchas de ellas no lo hacen por desconocimiento de sus obligaciones o aún conociendo las mismas, no saben cómo llevarlo a cabo. El simple almacenamiento de nombre, apellidos o dirección de los empleados, clientes o proveedores, supone la aplicación de la normativa de protección de datos.

El problema de la protección de datos es el gran desconocimiento por parte de las empresas, personas u organismos, de sus obligaciones en este ámbito, y consecuencia de ello es su exposición a sanciones elevadísimas que en la mayoría de los casos ni siquiera pueden afrontarse.

Veamos un ejemplo claro. Una empresa cualquiera que por ignorancia o dejadez, no ha cumplido ni una sola de sus obligaciones. En este caso la empresa se encuentra en una posición de absoluta vulnerabilidad, ya que cualquier persona puede tranquilamente acudir a la Agencia de Protección de Datos y presentar una denuncia que con toda probabilidad supondrá un perjuicio irreparable para dicha empresa. Es seguro que ningún empresario dejaría nunca en manos de nadie (trabajador, cliente e incluso la competencia) el futuro de su empresa y sin embargo se hace por desconocimiento.

Dependiendo del tipo de datos que contienen nuestros ficheros los niveles de seguridad son:

Nivel básico: Todos los ficheros que contengan datos de carácter personal.

Nivel Medio: Ficheros que contengan datos relativos a servicios económico-financieros y seguros, o ficheros para la prestación de servicios de información de solvencia patrimonial y crédito, o que tengan la finalidad de prestar servicios de cumplimiento/incumplimiento de obligaciones dinerarias.

Nivel Alto: Ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual.

Adaptación a la Ley De Protección de Datos

Se compone de varias fases y tiene una duración entre 3 a 6 semanas. Los pasos a realizar son los siguientes :

* Análisis de los datos tratados por su empresa

* Tipo de nivel de seguridad aplicable

•  Creación e inscripción de ficheros en el Registro de la Agencia de Protección de Datos. Todos los ficheros de datos de carácter personal deberán estar inscritos y legalizados en la Agencia de Protección de Datos.

•  Redacción del Documento de Seguridad. Informe técnico LOPD y Guía de Recomendaciones.

•  Implantación de las Medidas de Seguridad..

El Documento de Seguridad es un documento de obligado cumplimiento para todas las personas físicas o jurídicas, que debe reflejar los procedimientos de una organización en relación con el tratamiento de los datos de carácter personal, donde se recogen todas aquellas medidas de carácter técnico, jurídico y organizativo que una organización adopta con el objeto de proteger o garantizar la seguridad de los datos personales que puedan existir, tanto en sus sistemas de información como en sus ficheros manuales o no automatizados. Por tanto tiene que ser un documento actualizado y revisado periódicamente a efectos de contemplar las nuevas situaciones que se puedan dar dentro de la empresa respecto a los ficheros que contienen información de carácter personal

Todas las personas o empresas que posean datos personales de clientes, proveedores, empleados, CV, etc., aunque sea de una sola persona y aunque se trate del nombre y los apellidos, está dentro del ámbito de aplicación de la Ley Orgánica de Protección de Datos (LOPD). Por tanto es un documento obligatorio

El Art. 8 del Real Decreto 994/1999, de 11 de junio, del Reglamento de Seguridad, establece que la empresa elaborará e implantará la normativa de seguridad de los datos y ficheros mediante un documento de seguridad de obligado cumplimiento para el personal con acceso a los datos y a los sistemas de información.

•  Garantizar el cumplimiento del derecho de información en la recogida de los datos personales.

•  Garantizar el ejercicio de los derechos (ARCO)  Acceso, Cancelación, Oposición y Rectificación. Elaboración del correspondiente informe.

•  Estudio de los casos de cesión de datos y de acceso a datos por cuenta de terceros: redacción de las cláusulas que permitan garantizar los derechos que establece la ley en los casos de cesión, así como los contratos para aquellos supuestos en que los datos deban ser tratados por terceros (asesores, gestores, empresas de informática, de recursos humanos, prevención de riesgos laborales, etc.).

Al finalizar, se entregará toda la documentación y se explicará a la empresa cómo debe proceder en adelante para cumplir correctamente con todos los procedimientos sobre protección de datos  colaborando en la implantación de las medidas de seguridad y resolviendo cualquier duda que pudiera surgir.

Cámaras de video-vigilancia

Cuando hablamos de datos de carácter personal no solamente hablamos de nombre, apellidos, dirección, e-mail, etc., de una persona, también están incluido en este concepto las imágenes cuando se refieran a personas identificadas o identificables de manera que en el uso de cámaras de video- vigilancia deben aplicarse también los principios vigentes en materia de protección de datos.

De un tiempo a esta parte, es frecuente encontrar cámaras en restaurantes, bares, para el control de acceso a un edificio, en Comunidades de vecinos, pequeños comercios, colegios, empresas, etc. y en la mayoría de los casos no se informa de la existencia de las mismas incumpliendo así los principios de la Ley de Protección de Datos.

Por qué adaptarse a la LOPD

En primer lugar porque la Ley La Ley Orgánica de Protección de Datos de Carácter Personal 15/1999, impone una serie de obligaciones legales para aquellas personas físicas o jurídicas que posean ficheros con datos de carácter personal, sin que dicha Ley recoja ninguna excepción. Ahora bien, de lo dicho anteriormente es fácil deducir también la importancia de este tema aún cuando solo nos limitemos a cumplir la normativa para evitar una sanción millonaria. Es cierto que la importante cuantía de las sanciones constituye ya en sí mismo un motivo suficiente para cumplir la Ley, si bien no hay que olvidar que el mero cumplimiento de la Ley proporcionará tranquilidad a la empresa al evitar o minimizar el riesgo a ser sancionado.

 

Asistencia online Soluciones de impresión Contactanos