En la actualidad es indudable que toda persona física tenga garantizados los derechos a su honor e intimidad, tanto personal como familiar. Aun así, cada vez es más frecuente la aplicación de la famosa LOPD para salvaguardar los datos personales de personas físicas o que las empresas cada vez más busquen proteger los datos de sus clientes.
¿Qué es la LOPD o Ley Orgánica de Protección de Datos?
La Ley Orgánica de Protección de Datos, fue aprobada el 13 de diciembre de 1999 y publicada con efecto inmediato el siguiente día en el Boletín Oficial del Estado (BOE). En mayo del 2016 entró en vigor el Reglamento General de Protección de Datos a nivel europeo. Se trata de una ley creada para proteger los datos de personas físicas y cuenta con las siguientes aplicaciones:
◆ Datos de carácter personal. Tratando información que concierne a cualquier persona física identificada o identificable. Esto se refiere a casos como, por ejemplo, fotografías en las cuales la persona identificada sería aquella que claramente aparece y es reconocible en todo momento. El identificable sería el sujeto del que podemos intuir su fisionomía, rasgos pero no identificarlo con facilidad.
◆ Ficheros entendiendo por ello, todo un conjunto de documentos organizados que incluyen datos de carácter personal, disponibles en cualquiera de las siguientes modalidades: almacenamiento, organización o acceso.
◆ Tratamiento de datos, siendo estas las operaciones y procedimientos en los cuales se permita la grabación, conservación, elaboración, modificación o bloqueo. También las cesiones de datos resultantes de comunicaciones, como consultas o transferencias. Esto siempre requerirá el consentimiento del afectado, salvo otra disposición de la ley.
◆ El consentimiento. Ha de cumplir unas determinadas especificaciones:
- Libre: por propia voluntad.
- Específico: referido a una determinada operación con una determinada finalidad.
- Inequívoco: no pueden ser deducibles los actos del afectado.
- Informado: el afectado ha de conocer de antemano la finalidad y existencia del documento.
◆ Responsabilidad del fichero. Se entiende como responsable del fichero dentro de la LOPD a la persona jurídica o física, sea pública o privada, que decida sobre la finalidad, contenido y uso del tratamiento.
◆ La cesión de datos a terceros, solo podrá ser realizada previo consentimiento del interesado y siempre que el fin esté relacionado directamente con las funciones legítimas por las cuales el sujeto interesado accedió a dejar sus datos.
Principios relevantes de la LOPD
¿Qué datos son protegidos especialmente por la LOPD?
Según el artículo 16 de la Constitución Española en su apartado 2, nadie está obligado a declarar sobre su ideología, religión o creencias. En caso de ser necesario recoger información de este tipo se le comunicará al afectado que está en el derecho de no responder. Existen excepciones para la obtención de estos datos en los siguientes supuestos: afiliaciones a sindicatos, partidos políticos o comunidades religiosas entre otras.
Los datos personales relacionados con origen racial, salud o vida sexual, han de ser tratados o cedidos cuando así lo disponga una ley o el afectado lo consienta expresamente. Los ficheros cuya finalidad exclusiva sea recopilar datos de este tipo quedan prohibidos, con la excepción de documentos sanitarios, siempre siendo tratados como secreto profesional.
Sobre la calidad de los datos
Los datos de carácter personal solo se recogerán para su tratamiento con un objetivo claro, así mismo se aplicarán cuando sean adecuados y pertinentes dejando de lado aquellos que se excedan en la finalidad para la que se han obtenido. Estos datos no pueden ser tratados para finalidades incompatibles con aquellas actividades para los que fueron cedidos o recogidos.
Los datos personales han de ser actualizados coincidiendo en todo momento con la situación actual del afectado (domicilio, estado civil). En el caso en el que los datos no sean exactos o estén incompletos, estos serán cancelados o modificados.
Una vez que la actividad para la que fueron recogidos haya finalizado, serán totalmente cancelados. Si no fuesen cancelados legalmente, lo normal es que estos datos sean archivados, tratándose como ilegalidad la recogida de datos fraudulentos.
Derecho de información
Como hemos mencionado anteriormente, los interesados a los cuales se les solicitan datos personales han de estar previamente informados de la actividad y finalidad por la cual se recogen sus datos.
Éstos suelen ser informados mediante documentos o ficheros, pudiéndolos revocar en todo momento con una causa justificada. Incluso en los casos en los que no es necesario el consentimiento del afectado, existiendo motivos fundamentados y legítimos al uso de sus datos personales.
Datos relativos a la salud
El personal de centros sanitarios y profesionales del sector podrá manejar datos personales, siempre con la finalidad propia de su oficio y bajo secreto profesional, como hemos dicho anteriormente.
Seguridad de los datos
El responsable del fichero ha de adoptar las medidas necesarias para que se pueda garantizar en todo momento la seguridad de los datos de carácter personal según lo establecido en la Ley.
Los ficheros que no reúnan las condiciones de seguridad no podrán albergar datos personales, teniendo a su vez la responsabilidad de mantener esos datos en secreto.
Datos a terceros
La realización de tratamientos de datos por cuenta de terceros deberá estar regulada en un contrato que constará por escrito o en alguna otra forma que permita acreditar su celebración y contenido. En él se estipulan las medidas de seguridad citadas con anterioridad.
En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento. En este caso, tendrá que responder personalmente de las infracciones en que las que hubiera incurrido.
¿Qué derechos tienen las personas en la Ley Orgánica de Protección de Datos (LOPD)?
Todos los ciudadanos tienen el derecho a no verse sometidos a una decisión con un fin jurídico basada únicamente en el tratamiento de datos que evalúan algún aspecto de su personalidad.
En caso de darse actos administrativos o decisiones privadas que se basen en un análisis de su comportamiento, el interesado podrá impugnarlos al ser referentes al tratamiento de datos de carácter personal y ofrezcan una definición de sus características o personalidad.
Por tanto, el afectado tendrá derecho a obtener información del responsable del fichero, sobre los criterios de valoración y el programa utilizados durante el tratamiento que sirvió para adoptar la decisión en la que consistió tal acto. La sentencia ha de dictarse en un periodo inferior o igual a seis meses.
Creación, modificación y suspensión de Ficheros en una LOPD
Podrán crearse ficheros de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos. Aunque principalmente la creación, suspensión o modificación de los ficheros, podrá únicamente llevarse a cabo mediante una disposición general que ha de ser publicada en el BOE o el Diario Oficial correspondiente.
En el caso de las disposiciones de creación o modificación de ficheros han de indicar lo siguiente.
- Finalidad del fichero y su uso.
- Personas o colectivos sobre los que se plantea obtener datos de carácter personal.
- El procedimiento de recogida de datos.
- Estructura básica del fichero y descripción de los datos a obtener.
- Medidas de seguridad indicando nivel (básico, medio o alto exigible).
- Órganos administrativos responsables del fichero.
Los datos serán comunicados entre los órganos administrativos públicos si fuesen necesarios, con finalidad histórica, estadística o científica.
Excepciones a los derechos de acceso rectificación y cancelación
Los responsables de los ficheros de la Hacienda Pública pueden denegar el ejercicio de los derechos a que se refiere el apartado anterior cuando el mismo obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias.
Ocurre lo mismo con algunos cuerpos del Estado, como pueden ser los Cuerpos y Fuerzas de Seguridad, siempre que los fines de éstos sean para investigar sin perjuicio del control en el marco de la legalidad con una actuación administrativa o la obligación de resolver algunas de las peticiones formuladas en su caso por los interesados que corresponden a los órganos jurisdiccionales.
Caso real de sentencia aplicando la LOPD
Un ciudadano denuncia ante la Agencia Española de Protección de Datos que una entidad bancaria con la cual no mantiene relación alguna, había accedido a sus datos personales. A su vez, aportó un documento expedido por la Experian Bureau de Crédito en el que se podía ver qué entidades habían visitado los datos del denunciante en los últimos 6 meses. Gracias a ese documento se confirmó que la denuncia era real y la entidad bancaria achacó el problema a un error en la transcripción del documento de identidad del hombre.
Tras la revisión de la LOPD, se comprobó que exactamente incumplía la parte en la que el titular debía dar su consentimiento para el tratamiento de sus datos personales. El resultado fue una sanción de 40.001€ para la entidad bancaria por vulnerar el artículo 6.1 de la LOPD.
Como hemos visto a lo largo de este post, el tratamiento y posterior aplicación de la Ley Orgánica de Protección de Datos, es un tema delicado de tratar que puede acarrear importantes sanciones en caso de infracción. Por todo ello, no dudes en consultarnos cualquier aspecto en CTMA. Contamos con una dilatada experiencia en el ámbito de la protección de datos para empresas, donde destacan la redacción de contratos o clausulas, además de realizar auditorías según la normativa.