¿CÓMO AFECTA LA LOPD A SU ACTIVIDAD O NEGOCIO?

El ámbito de aplicación de la LOPD abarca a toda persona física o jurídica, que posea ficheros, tanto públicos como privados, que contengan información susceptible de recogida, registro, tratamiento (de cualquier tipo) o transmisión, concerniente a una o más personas físicas.

 

Por lo tanto, todas aquellas empresas que almacenen en sus sistemas informáticos datos personales de clientes, proveedores, socios, administradores, personal, agentes, representantes, pacientes, contribuyentes, asegurados, alumnos, etc., están obligadas al cumplimiento de la LOPD.

 

Naturalmente, las obligaciones legales no serán las mismas para todos aquellos que posean datos de carácter personal, ya que las exigencias variarán en función de los ficheros empleados y de los tipos de datos que contengan. Todo ello realizado siempre con un trato directo y personalizado.

 

NORMATIVA VIGENTE EN PROTECCIÓN DE DATOS

 

Casi todo lo referente a la Ley Orgánica de Protección de Datos puede ser encontrado en los siguientes documentos:

LOPD

Reglamento LOPD

 

GLOSARIO DE TÉRMINOS Y DEFINICIONES

  • Datos de Carácter Personal

Cualquier información concerniente a personas físicas identificadas o identificables. Así, cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo que permita determinar la identidad de una persona desde el punto de vista físico, fisiológico, psíquico, económico, cultural o social se considerará dato de carácter personal. Los datos relacionados con la salud, la ideología, la religión, las creencias, la afiliación sindical, el origen racial o étnico, la vida sexual y las infracciones penales o administrativas deben de estar sujetos a una protección legal especial.

  • Consentimiento

Manifestación de voluntad por parte del titular de los datos, mediante la que consiente el tratamiento de sus datos personales por parte de terceros.

  • Fichero

Todo conjunto organizado de datos de carácter personal, informatizados o no, que permita el acceso a los mismos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. La creación de ficheros que contengan datos de carácter personal, así como su posterior modificación o supresión debe notificarse a la Agencia Española de Protección de Datos.

  • Tratamiento de datos

Cualquier operación o procedimiento técnico, automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones o comunicaciones de datos personales.

  • Cesión o comunicación de datos

Toda revelación de datos realizada a una persona distinta del interesado. P.ej. gestorías, bancos, otras empresas…

  • Incidencia

Cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos personales. Ej.: pérdida de información, accesos no autorizado, uso por terceros de su contraseña, existencia de virus, desaparición de soportes informáticos y, en general, toda situación que pueda comprometer el buen uso y funcionamiento del sistema informático.

  • Responsable del Fichero

Persona física o jurídica, pública o privada, que decida sobre la finalidad, contenido y uso del tratamiento. Generalmente, cualquier empresa que maneje datos de clientes, proveedores, personal, currículum, etc…

  • Responsable de Seguridad

Persona designada por el Responsable del fichero dentro de su organización para coordinar y gestionar todo lo referente a la protección de datos personales.

  • Usuarios de los Ficheros

Personal interno del responsable del fichero que cuenta con acceso a los ficheros que contienen datos personales para el ejercicio habitual de las funciones inherentes a su puesto de trabajo.

 

TIPOS DE DATOS Y NIVELES DE SEGURIDAD

 

Pueden ser:

De carácter identificativo: nombre, DNI, dirección, teléfono, e-mail, ...

Características personales: lugar/fecha de nacimiento, sexo, peso, ...

Circunstancias sociales: aficiones y estilos de vida, tiempo de ocio, ...

Académicos y profesionales: titulación, experiencia profesional, …

Detalles de empleo: profesión, puesto de trabajo, historial, …

De información comercial: actividades y negocios, sector, mercado.

Financieros y de seguros: datos bancarios, nóminas, etc.

De transacciones: préstamos, multas, indemnizaciones.

 

La LOPD clasifica los datos en función del nivel de seguridad que deben cumplir:

 

Nivel básico

Datos personales no considerados de nivel medio o alto.

 

Nivel medio

Infracciones administrativas o penales,

Hacienda Pública,

Servicios financieros,

Solvencia patrimonial y crédito,

Aquellos que, en su conjunto, permitan evaluar la personalidad del individuo.

 

Nivel alto

Ideología, religión, origen racial, salud, vida sexual, y los datos policiales recabados sin consentimiento.

 

OBLIGACIONES LEGALES A CUMPLIR

 

Inscripción de Ficheros, tanto informatizados como en soporte papel, en el Registro General de Protección de Datos de la AEPD (Agencia Española de Protección de Datos).

 

Redacción del Documento de Seguridad, en el que se recojan las normas y procedimientos de seguridad implantados (gestión de soportes, copias de respaldo, gestión de incidencias…).

 

Redacción de contratos de cesión de datos (cuando se comuniquen a terceros), contratos con encargado del tratamiento (cuando se ceden datos personales a gestorías y/o terceros que nos presten sus servicios) y cláusulas de confidencialidad y deber de secreto para todo el personal interno que intervenga en su tratamiento.

 

Facilitar información a los afectados sobre los derechos de acceso, rectificación, cancelación y oposición que pueden ejercer, así como implantar los procedimientos necesarios para atenderlos según los plazos establecidos en la Ley.

 

Adaptación, en su caso, de aquellos documentos empleados para la recogida de datos (cláusulas de protección de datos en formularios donde se recojan datos de carácter personal).

 

Implantación de las medidas de seguridad tanto técnicas (que aseguren un adecuado nivel de protección de los ficheros que contengan datos de carácter personal) como organizativas (asignación de responsabilidades), en función del nivel de seguridad exigido a los ficheros protegidos.

 

Auditoría bianual, obligatoria para ficheros informatizados con niveles de seguridad medio y alto.

 

INFRACCIONES Y SANCIONES PREVISTAS EN LA LOPD

 

El incumplimiento de las medidas obligatorias recogidas en la LOPD se somete a su régimen sancionador, sin duda el más severo de toda la Unión Europea.

Recogido en los Art. 43 y ss., en él se distinguen tres tipos de infracciones: leves, graves y muy graves.

 

Tipos de infracciones leves (con multas de 900 € a 40.000 €):

- No notificar la inscripción de un fichero al Registro General de Protección de Datos.

- No atender la solicitud del interesado sobre sus derechos de rectificación o cancelación.

- Recoger datos de los afectados sin facilitar la información pertinente sobre protección de datos.

Incumplir el deber de secreto establecido en el Art. 10 de la LOPD.

 

Tipos de infracciones graves (con multas de 40.001 € a 300.000 €):

- Recoger datos sin recabar consentimiento expreso del afectado, cuando sea necesario.

- Mantener datos inexactos o no efectuar rectificaciones o cancelaciones cuando procedan.

- Obstaculizar o impedir el ejercicio de los derechos de acceso y oposición, así como la negativa a facilitar la información solicitada.

- Mantener ficheros, programas o equipos con datos de carácter personal que no reúnan las condiciones de seguridad establecidas en el Reglamento.

- La obstrucción al ejercicio de la función inspectora por parte de la Agencia Española de Protección de Datos.

 

Tipos de infracciones muy graves (con multas de 300.001 € a 600.000 €):

- La comunicación o cesión de datos de carácter personal, cuando no estén permitidas.

- No atender u obstaculizar sistemáticamente el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.

- No atender de forma sistemática el deber legal de notificación del fichero al RGPD.

- Tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales.

- La transferencia de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable, sin autorización del Director de la Agencia Española de Protección de Datos.

 

La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad o reincidencia y a los daños y perjuicios causados a los interesados y a terceras personas, para determinar el grado de antijuridicidad y de culpabilidad presentes (Art. 45.4 LOPD).

 

 

 

 

Versión para imprimir Versión para imprimir | Mapa del sitio
<a href="http://...">Aviso legal</a>