La Protección de Datos de Carácter Personal (el cumplimiento de la Ley 15/1999, de 13 de diciembre, de Datos de Carácter Personal, también denominada LOPD):

 

            I. Introducción:
El Derecho, en pro de defender los derechos fundamentales de la persona, ha decidido incluir dentro de sus múltiples ramas un complicado campo jurisprudencial: la protección de datos.
La expresión, que puede dar lugar a equívocos, no pretende dar a entender que el Derecho dispone de una rama legal para proteger los datos sino todo lo contrario. El Derecho pretende dar protección al titular de esos datos. Y más aún si cabe, esos datos no son información cualquiera, sino datos de carácter personal.
A pesar de la inclusión en Derecho de esta nueva rama, la materia es excesivamente reciente y no dispone de una elevada tradición doctrinal. Esto no implica que dicha rama jurídica no disponga de un apoyo sólido que promulgue la defensa de la protección de datos de la persona. En efecto, el apoyo que permite el crecimiento desmesurado de dicha rama es una norma de rango legal, denominada Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), la cual directa o indirectamente nos afecta queramos o no, a todos nosotros.
Así pues, el objeto de la LOPD, regulado en su artículo 1, es claro: garantizar el derecho al honor e intimidad personal y familiar en lo concerniente al tratamiento de datos personales. Es, como bien dice dicho artículo, una garantía de protección. Un derecho de protección a nuestro honor e intimidad.


           
II. ¿Cuál es la principal obligación de la LOPD?
Toda persona o entidad que disponga o vaya a disponer de datos de carácter personal de terceras personas dispone de lo que se llama ‘fichero de Datos de Carácter Personal’. Un dato o conjunto de datos ya es considerado como ‘Fichero’, el cual debe notificarse obligatoriamente a la  Agencia Española de Protección de Datos (AEPD).
Entre la información que debe suministrarse, destaca la siguiente:

  • Identificación del responsable del fichero (persona física o jurídica, pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento).
  • Identificación del fichero, sus finalidades y los usos previstos.
  • Sistema de tratamiento (uso de los datos) empleado en su organización.
  • Colectivo de personas sobre el que se obtienen los datos.
  • Procedimiento y procedencia de los datos.
  • Categorías de datos.
  • Servicio o unidad de acceso.
  • Indicación del nivel de medidas de seguridad básico, medio o alto exigible.
  • En su caso, la identificación del encargado del tratamiento en donde se encuentre ubicado el fichero.
  • Los destinatarios de cesiones y transferencias internacionales de datos.

            La no notificación de la existencia de un fichero supondría una infracción leve o grave, tal y como señala el artículo 44 de la LOPD, quedando sujeto al régimen sancionador previsto en la LOPD.

 

          III. ¿Quiénes están obligados a notificar ficheros?
Los responsables del mismo. En el caso de existir varios responsables, habrá que realizar tantas notificaciones como número de responsables exista.


IV. ¿Qué formas hay de realizar la notificación?

Existen dos formas:

  • El sistema NOTA (NOtificación Telemática a la AEPD).
  • Sistema de notificación vía formato PDF, que permite el intercambio de información entre diferentes plataformas.

            El sistema NOTA es, como bien dice su nombre, un programa o sistema informático que permite mandar directamente por vía internet (vía telemática) los datos que conciernen a la notificación de un fichero, en este caso, de titularidad privada.  Además el formulario interactivo permite la presentación telemática de notificaciones CON y SIN CERTIFICADO DE FIRMA ELECTRÓNICA.
Aclaración: No hay que confundir dichos datos con los datos del propio fichero. Mediante este programa únicamente se avisa/notifica a la AEPD de la existencia de un nuevo fichero de datos personales.
            El sistema NOTA comprende dos modalidades de presentación a la AEPD.

            1ª MODALIDAD:

Por un lado, el formulario normal (es decir, el formulario vacío a rellenar por los usuarios) y el formulario predeterminado (aquel formulario donde ciertas partes se encuentran directamente rellenadas y que corresponden a datos relacionados con la gestión de comunidades de propietarios, clientes, oficinas de farmacia, gestión escolar, nóminas y recursos humanos de titularidad privada, gestión del padrón, económica o de control de acceso en el caso de ficheros de titularidad privada).
Formulario normal Formulario vacío a rellenar por el usuario.
Formulario predeterminado A rellenar, en nuestro caso, únicamente para datos que conciernen a clientes, proveedores, empleados…etc.
            El formulario ha de presentarse de acuerdo a las instrucciones que le acompañan.

            2ª MODALIDAD:

De forma complementaria a la notificación mediante el sistema NOTA, la AEPD pone a disposición de los responsables de los ficheros un sistema de notificación basado en un formato estándar que permita el intercambio de información entre diferentes plataformas (formato XML). Para ello se pueden consultar las normas que deberán cumplir las aplicaciones desarrolladas por terceros para que puedan presentar válidamente las notificaciones al RGPD (Registro General de Protección de Datos).         


            V. ¿Existen otras obligaciones de la LOPD?

Hay que dejar constancia de lo estipulado en el artículo 60.3 del RLOPD, mediante el cual se especifica que: <<La inscripción de un fichero en el Registro General de Protección de Datos, no exime al responsable del cumplimiento del resto de las obligaciones previstas en la LOPD, y demás disposiciones reglamentarias.>>
Por ejemplo:
1) Redacción/Actualización de un modelo denominado “Documento de Seguridad”, documento interno obligatorio en cualquier organización en el que deben recogerse entre otros elementos, el tipo de     datos, la identificación del encargado del tratamiento, las medidas y procedimientos de seguridad aplicables, las obligaciones y funciones del personal, o las medidas adoptadas en el tratamiento, transporte y destrucción de datos de carácter personal. Voluntariamente pueden realizarse otros documentos complementarios denominados ‘Informes de situación’.
2) Elaboración de los llamados Contratos de encargo de tratamiento, que se dan cuando un tercero, ajeno a la organización, presta servicios a ésta por cuenta de la misma.
3) Regulación de los supuestos de cesión o comunicación de datos de carácter personal: consentimiento, excepciones, comunicación de datos entre organismos públicos y privados… etcétera.
4) Regulación de los Ficheros de solvencia patrimonial y crédito así como el tratamiento de la publicidad y prospección comercial.
5) Regulación de ciertos tratamientos sectoriales: videovigilancia, comercio electrónico, Internet… etcétera.
6) Establecer diferentes medidas de seguridad aplicables a ficheros y tratamientos automatizados y no automatizados.
7) Regular la entrega, documentación y mantenimiento de la normativa relativa a la Protección de Datos de Carácter Personal.
8) Auditorías realizadas por especialistas en LOPD.
9) Etcétera.


           
VI. ¿Qué infracciones se pueden cometer si no se cumplen las obligaciones estipuladas por la LOPD?
Las infracciones se clasifican como leves, graves y muy graves.

Infracciones Leves

  • No atender por motivos formales a la solicitud del interesado de rectificación o cancelación de los datos, cuando legalmente proceda. El responsable está obligado a hacer efectivo este derecho en el plazo máximo de 10 días desde que recibe la solicitud.
  • No proporcionar colaboración a la AEPD sobre aspectos no sustantivos de la protección de datos, necesarios para el desempeño de sus funciones.
  • No solicitar la inscripción del fichero (sin que haya sido requerido por el Director de la AEPD).
  • Proceder a la recogida de datos de los afectados sin informar a los interesados de la existencia del fichero; del carácter obligatorio o facultativo de las respuestas a las preguntas que le sean formuladas, así como de las consecuencias de la negativa a responder; de sus derechos y de la identidad y dirección del responsable del fichero.
  • Incumplir el deber de secreto, salvo que constituya infracción grave.


Infracciones Graves

  • Crear ficheros públicos o proceder a la recogida de datos sin autorización de una disposición general publicada en el BOE o en el Diario oficial correspondiente.
  • Crear ficheros privados o proceder a la recogida de datos con una finalidad diferente de la que constituya el objeto legítimo de la empresa (datos pertinentes, adecuados y no excesivos).
  • Proceder a la recogida de datos sin el consentimiento expreso de los afectados cuando sea necesario (no se requiere el consentimiento expreso: cuando los datos se recojan para el ejercicio de las funciones propias de la Administración; cuando se refieran a las partes de un contrato o precontrato de una relación laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de datos tenga por finalidad proteger un interés vital del interesado; y cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o del tercero a quien se comuniquen los datos).
  • Tratar o usar los datos conculcando los principios y garantías establecidos en esta Ley, cuando no constituya infracción muy grave.
  • Impedir u obstaculizar el ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información solicitada por el interesado (el interesado tiene derecho a solicitar y obtener información sobre sus datos que figuren en ficheros y a oponerse al tratamiento de los mismos con fines de prospección comercial y de publicidad).
  • Mantener datos inexactos o no efectuar las rectificaciones y cancelaciones que legalmente procedan.
  • La vulneración del deber de secreto cuando se refiera a ficheros que recogen datos sobre la comisión de infracciones penales o administrativas, de la Hacienda pública, de servicios financieros, de prestación de servicios de solvencia patrimonial y crédito y, en general, que contengan un conjunto de datos suficientes para obtener una evaluación de la personalidad del individuo.
  • Mantener los ficheros sin las debidas medidas de seguridad.
  • No remitir a la AEPD las notificaciones previstas en esta Ley o sus disposiciones de desarrollo y los documentos e informes que ésta les requiera.
  • La obstrucción al ejercicio de las actuaciones inspectoras.
  • No inscribir el fichero en el Registro de Protección de Datos cuando haya sido requerido por el Director de la APD.
  • Incumplir el deber de información al afectado cuando los datos se hayan obtenido de una persona distinta. Cuando la información se obtiene de un tercero el interesado debe ser informado de forma expresa dentro de los tres meses siguientes al registro de los datos. Asimismo, en los casos de prestación de servicios sobre solvencia patrimonial y créditos podrá pedir información sobre los datos, evaluaciones y comunicaciones efectuadas en los seis meses anteriores. Si proceden de fuentes accesibles al público hay que informar del origen de los datos, de la identidad del responsable y de los derechos que asisten al afectado.


Infracciones Muy Graves

  • La recogida de datos de forma engañosa y fraudulenta (por medios desleales, fraudulentos e ilícitos).
  • La comunicación o cesión de datos fuera de los casos en que esté permitido (a un tercero sin el consentimiento del interesado). La APD podrá acordar la inmovilización de los ficheros.
  • Recabar y tratar datos especialmente protegidos (ideología, afiliación sindical, religión y creencias) sin consentimiento expreso del interesado. Se exceptúan los ficheros de este tipo mantenidos por los partidos políticos, sindicatos, iglesias, confesiones y comunidades religiosas, asociaciones, fundaciones y otras entidades sin ánimo de lucro, en cuanto a los datos de sus miembros o asociados. Si se ceden a un tercero se requiere consentimiento expreso del interesado.
  • Recabar y tratar datos especialmente protegidos (origen racial, salud y vida sexual) cuando no lo disponga una ley o el interesado no haya consentido expresamente.
  • Crear ficheros con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, creencias, religión, origen racial o étnico y vida sexual.
  • No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido por el Director de la APD o por las personas titulares del derecho de acceso. Si el requerimiento no fuese atendido la APD podrá inmovilizar los ficheros.
  • La transferencia temporal o definitiva de datos de carácter personal que hayan sido tratados o recogidos con finalidad de ser destinados a países que no otorguen un nivel de protección equivalente al nuestro (se necesita autorización del Director de la AEPD).
  • Tratar los datos de forma ilegítima o sin respetar los principios y garantías que sean de aplicación cuando se vulnere algún derecho fundamental (sobre todo honor e intimidad personal y familiar).
  • La vulneración del deber de secreto cuando los datos revelen la ideología, la afiliación sindical, la religión, las creencias, el origen étnico o racial, la salud y la vida sexual.
  • No atender u obstaculizar de manera sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.
  • No atender de forma sistemática el deber legal de notificación de la inclusión de los datos en el Fichero.


           
VII. ¿Qué sanciones nos pueden imponer por el incumplimiento de las obligaciones establecidas en la LOPD?
Sanciones

  • Leves. Las infracciones leves serán sancionadas con multa de 601,01 € a 60.101,21 €.
  • Graves. Las infracciones graves serán sancionadas con multa de 60.101,21 € a 300.506,05 €.
  • Muy graves. Las infracciones muy graves serán sancionadas con multa de 300.506,05 € a 601.012,10 €.

            La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de negligencia y de culpabilidad presentes en la concreta actuación infractora.

            VIII.
Servicios prestados por la Asesoría A. Melic, S.L.P. en materia de Protección de Datos de Carácter Personal.
La asesoría puede prestarle los siguientes servicios relacionados con la prevención del blanqueo de capitales si Usted es un sujeto obligado:
1. Presentación de notificaciones a la Agencia Española de Protección de Datos de Carácter Personal sobre la inscripción, supresión o modificación de Ficheros de titularidad privada relativos a clientes, proveedores, empleados, huéspedes, comunidades de propietarios, video-vigilancia… etcétera.
2. Redacción del ‘Documento de Seguridad’, con toda la información necesaria sobre las medidas de seguridad adoptadas para la protección de los datos contenidos en determinado Fichero.
3. Redacción de Informes de situación, contratos de tratamiento de datos de carácter personal; cláusulas de protección de datos personales, políticas de privacidad; avisos legales… etcétera.
4. Confección de un manual personalizado en materia de protección de datos de carácter personal, de acuerdo a las necesidades del cliente.
5. Resolución de cualquier duda que disponga en materia de protección de datos de carácter personal. Disponemos de una base de datos actualizada y un amplio soporte doctrinal.
En cualquier caso, si desea información más extensa sobre la materia o dispone de alguna cuestión adicional, puede ponerse en contacto con la asesoría y le responderemos lo más rápido posible para solventar su duda.

 


Google Maps


Ver mapa más grande

Redes Sociales

Contacto

Av. Francisca Millán Serrano
(Antigua Av. Radio Juventud)
nº 37 50012 Zaragoza
Teléfono: (976) 32 44 15
Fax: (976) 53 56 97
contacto@asesoriamelic.com