La ley de datos personales en España (LOPD)

Documento con un escudo, que podría simbolizar la ley de datos personales

Al menos en España, para nuestra comodidad solemos aglutinar los diversos textos legales sobre la protección de datos personales en la expresión ley de datos.

La legislación sobre datos personales

De acuerdo con la Carta de los Derechos Fundamentales de la Unión Europea (art. 8), la Constitución Española de 1978, la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y el Reglamento sobre su desarrollo, publicado en el Real Decreto 1720/2007, el ciudadano posee la facultad de controlar sus datos personales y la capacidad para disponer y decidir sobre ellos.

En estas y otras normas, se describen los derechos y deberes de usuarios y gestores de los datos respectivamente.

La autoridad de control independiente es la Agencia Española de Protección da Datos (AEPD).

Qué se entiende por dato personal

Estas reglas consideran dato personal a cualquier información concerniente a una persona física identificada o identificable, por ejemplo: nombre, número de teléfono, residencia, huella digital, dirección de email e incluso la IP.

Alguien está elaborando un fichero cuando compila un conjunto organizado de datos de carácter personal, cualquiera que sea la forma o modalidad de su creación, almacenamiento, organización y acceso. Esta acción (automatizada o no) requiere cumplir las obligaciones señaladas en las susodichas normas, salvo que sea en el ejercicio de actividades exclusivamente personales o domésticas (art. 2.2, LOPD). Las sanciones por una infracción leve parten de los 600 € y una muy grave puede llegar a ser de 600.000 €.

Figuras en la gestión de datos personales

El responsable de un fichero o tratamiento de datos personales es la entidad, persona u órgano administrativo que decide sobre la finalidad, el contenido y el uso del tratamiento de los datos.

El encargado del tratamiento es una persona física o jurídica, pública o privada, u órgano administrativo, que, solo o conjuntamente con otros, trata los datos personales por cuenta del responsable del tratamiento o fichero, como consecuencia de la existencia de una relación jurídica que los vincula para un servicio (que tendrá que estar regulada en un contrato donde se especifique básicamente que se cumplirá con lo dictado por las leyes). No obstante, “no se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento” (art. 12).

Principales obligaciones para gestionar datos personales

Antes de empezar a recibir datos, el responsable de un fichero (incluidos los de titularidad privada) tiene que notificar su existencia inscribiéndolo en el Registro General de Protección de Datos. Este procedimiento gratuito puede desarrollarse bien por vía telemática, por correo o en persona. La activación tarda semanas. Ante esta misma institución se deberá actualizar o darse de baja.

Los datos que se soliciten a los usuarios han de ser pertinentes (para determinado propósito, no pudiendo utilizarse para ningún otro), no excesivos y veraces (exactos y actuales). Se suprimirán en cuanto dejen de ser necesarios, siempre y cuando no tengan que conservarse o permanecer bloqueados por la naturaleza del fichero (por ejemplo, un expediente académico) o por razones legales.

Cuando a alguien se le pidan los datos personales debe informársele previamente de modo expreso, preciso e inequívoco (en un apartado como “Política de privacidad”) sobre:

– el fichero donde se almacenan sus datos y su tratamiento, su finalidad, los destinatarios (para facilitarlos a un tercero —cesionario— se necesita también autorización) y la identidad y dirección del responsable o su representante,

– las consecuencias de la negativa a suministrar esos datos

– y cómo ejercer sencillamente y gratis los derechos de acceso, rectificación, cancelación y oposición  a los datos (derechos ARCO).

La autorización para ceder los datos personales

El tratamiento de los datos de carácter personal requiere el consentimiento (revocable) inequívoco del afectado, a no ser que los recaben Administraciones públicas para funciones propias de su competencia, que el interesado sea parte en un pre/contrato (negocial, laboral, administrativo), que la información figure en fuentes accesibles al público (la guía telefónica) o que acceder a detalles sobre él tenga por objetivo proteger un interés vital (como la salud o la seguridad).

Como ejemplo, en el blog de Lecturalia informan al usuario de manera concisa sobre la gestión de sus datos antes de enviar cada comentario.

Si los datos no se obtienen del interesado, ha de notificársele a este en los siguientes tres meses cómo realizarán la gestión.

Por cierto, los ciudadanos pueden pedir apuntarse en ficheros de exclusión del envío de comunicaciones comerciales, conocidos como listas Robinson, con el fin de no recibir publicidad por vía telefónica, electrónica o postal.

Cuando cabe la posibilidad de que el interesado sea menor de 14 años, la información debe expresarse de manera que la comprendan y para la obtención de sus datos se precisa del permiso debidamente acreditado de un tutor legal.

La seguridad de los ficheros con datos de carácter personal

El responsable del fichero ha de implantar medidas de seguridad con el fin de garantizar la integridad, disponibilidad y confidencialidad de los datos (el deber de secreto persiste después de finalizar las relaciones). A cada tipo de dato personal le corresponde un nivel de seguridad de los tres posibles: básico (todos), medio (infracciones, circunstancias financieras, gestión, mutuas, personalidad y comportamiento) y alto (entre otros, están la ideología, creencias, origen racial, salud o vida sexual).

Cuando se traten datos de nivel de seguridad medio, según el art. 96 del RDLOPD, los sistemas de información e instalaciones han de someterse, al menos cada dos años, a una auditoría (interna o externa) que verifique su cumplimiento.

El responsable de los datos está obligado a redactar un texto interno, actualizado, que podría ser requerido por la AEPD en cualquier momento. En el Documento de Seguridad debe constar su ámbito de aplicación (qué recursos son los protegidos), cómo se garantizará el nivel de seguridad exigido (medidas, normas, procedimientos, estándares), las funciones y obligaciones del personal que trate los datos, la estructura de los ficheros y los sistemas de información que los tratan, los procedimientos de notificación, gestión y respuesta ante las incidencias, los procedimientos de realización de copias de respaldo (semanales) y recuperación de datos, las medidas para el transporte de los soportes, su destrucción o reutilización.

>> Guía de seguridad de datos. Aquí encontraremos un modelo del documento de seguridad.

Tratar los datos personales en otro país

Cuando se transmitan datos entre países para su tratamiento no se precisa ningún trámite a mayores, siempre y cuando tenga lugar dentro del territorio del Espacio Económico Europeo (EEE), con los países calificados como con nivel de protección adecuado  o sea uno de los diez supuestos que prevé la ley. Una de estas excepciones es “cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista”. En cualquier otro caso, para una transferencia internacional de datos habrá que obtener la autorización del Director de la Agencia Española de Protección de Datos.

 

Esta entrada puede presentar alguna laguna o error, por lo que, si deseas proceder correctamente, es aconsejable que leas la legislación y/o contactes con un profesional.

***

En techleo por ahora no se incluye la opción de comentarios porque intuyo que gestionarlos, directamente en WordPress o mediante Disqus, conllevaría algunos de los trámites y desafíos técnicos descritos en este artículo. Es una pena.

***

 

Enlace de interés:

 

A %d blogueros les gusta esto: