Para que un empresario pueda cumplir con las garantías que establece la Ley Orgánica de Protección de Datos (LOPD) en cuanto a protección de la intimidad y demás derechos fundamentales de los ciudadanos, deberá seguir unas normas de actuación.
La Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, de 13 de diciembre, es un norma de ámbito nacional que garantiza y protege, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente su honor e intimidad personal y familiar.
Por tener rango de Ley Orgánica, todas las entidades, tanto privadas como públicas, que traten con datos personales en el desarrollo de su actividad, están obligadas a cumplirla.
¿Qué obligaciones tienen que cumplir las empresas?
Todo empresario está obligado a cumplir con las siguientes obligaciones establecidas en la LOPD, por ser el responsable del fichero, al decidir sobre la finalidad, el contenido y el uso del tratamiento de los datos personales.
Se deberán notificar los ficheros ante el Registro General de Protección de Datos, para que se proceda a su inscripción y, por tanto, sean públicos y accesibles para su consulta por cualquier interesado.
Se puede hacer de forma telemática a través del sistema NOTA.
Deberán ser adecuados y veraces, obtenidos lícita y legítimamente y tratados de modo proporcional a la finalidad para la que fueron recabados.
Ha de garantizarse siempre el cumplimiento de los deberes de secreto y seguridad.
Se informará a los titulares de los datos personales, de modo expreso, preciso e inequívoco, de la finalidad de dicha recogida y de los destinatarios de la información.
Asimismo, es necesario el consentimiento inequívoco del afectado para el tratamiento de sus datos personales, con las excepciones previstas en la LOPD.
Atención de los derechos de los ciudadanos
Se facilitará y garantizará el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.
En cuanto a terceros que le presten servicios, y ello conlleve el acceso a datos personales, deberá asegurarse que ellos también cumplan con la LOPD.
Datos especialmente protegidos
Son aquellos que revelan la ideología, afiliación sindical, religión y creencias o aquellos otros que hacen referencia al origen racial, a la salud y a la vida sexual.
Únicamente podrán utilizarse dichos datos cuando exista un consentimiento previo expreso, debiendo estar protegidos con medidas de seguridad de nivel alto.
Se adoptarán las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado. Se elaborará para ello un “Documento de seguridad” que podrá tener un nivel básico, medio o alto, en función del nivel de seguridad de cada uno de los ficheros.
Estas medidas de seguridad se desarrollan en el Real Decreto-ley 1720/2007.
¿Qué infracciones y sanciones pueden derivarse de su incumplimiento?
La Agencia Española de Protección de Datos es la encargada de ejercer la potestad inspectora y sancionadora respecto de las reclamaciones por el incumplimiento de la LOPD.
Las infracciones se califican en tres niveles (leves, graves o muy graves) dependiendo no sólo del tipo de derecho personal que hubiese sido afectado, sino también dependiendo entre otros, de la reincidencia, intencionalidad o daños y perjuicios causados.
Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.
“Las infracciones se califican en tres niveles (leves, graves o muy graves)”
Un ejemplo de dichas infracciones sería no solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, o no informar al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos sean recabados por el propio interesado.
Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros.
Entre ellas nos encontramos la obstaculización del ejercicio de los derechos de acceso, rectificación, cancelación y oposición; o no recabar el consentimiento de las personas afectadas, cuando sea necesario, excepto en el caso de aquellos que se deban efectuar a la Administración tributaria.
Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros, como en el caso de recogida de datos de forma engañosa o fraudulenta; o no cesar en el tratamiento ilícito de datos de carácter personal cuando existiese un previo requerimiento del Director de la Agencia Española de Protección de Datos para ello.
A pesar de esto, hay casos en los que se produce una “reducción” en la sanción, aplicándose la que correspondería a un tipo de infracción menor. Esto ocurriría, por ejemplo, en caso de que el infractor haya reconocido espontáneamente su culpabilidad o cuando se regularice la situación de forma diligente.
Existen también situaciones en las que nunca se llegaría a abrir un expediente sancionador: cuando se cometiera una infracción leve o grave; o si el infractor no hubiese sido sancionado o apercibido con anterioridad.
Según el director de la Agencia Española de Protección de Datos, José Luis Rodríguez Álvarez, en el Curso “Retos de la protección de datos” celebrado en la UIMP la semana pasada, el nivel de protección de datos en Europa es “el más avanzado del mundo”, señalando también el “período crítico” presente, ”en el que es preciso afrontar importantísimos retos para mantener el nivel de protección alcanzado”.
Deja un comentario