Gestión de la LOPD

A todas las empresas, personas físicas o administraciones públicas que sean titulares de ficheros que contengan datos de carácter personal. Sin embargo, no será de aplicación a los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.

Constituye un dato de carácter personal, cualquier información concerniente a personas físicas identificadas o identificables,  tanto la relativa a su identidad (como nombre y apellidos, domicilio, filiación,  etc.) como la relativa a su existencia y ocupaciones (estudios, trabajo,  enfermedades, etc.) Sólo pues los datos de personas físicas, y no en cambio los  datos de personas jurídicas, como empresas, sociedades, instituciones, etc.

La protección de datos de carácter personal me obliga a respetar el derecho a la intimidad y la privacidad de las personas titulares de los datos que tengo recogidos y almacenados en mis ficheros. Para ello debo cumplir las obligaciones formales y sustantivas que la normativa indicada impone  a quienes tratan datos de carácter personal, y respetar y facilitar el ejercicio  de los derechos que la misma normativa reconoce a sus titulares.

Si, la nueva Ley, ampliada por  el RDMS 1720/2007 sobre las nuevas normas de seguridad en la protección de  datos, contempla tanto a los ficheros automatizados como a los contemplados en papel.

Todo conjunto organizado de datos de carácter  personal, cualquiera que sea la forma o modalidad de su creación, almacenamiento, organización y acceso, constituye lo que la ley llama fichero.
Esto significa que la ley afecta no sólo a los datos tratados electrónicamente (bases de datos informáticas), sino también a los almacenados en papel (archivadores con fichas de datos ordenadas), siempre que los mismos formen un conjunto organizado.

Es aquella persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. Es decir, el titular o “dueño” del fichero.
Esta figura se equipara a la del responsable del tratamiento.

1.  Inscribirlos en el Registro General de Protección de Datos.
2. Crear y mantener actualizado un documento de seguridad.
3. Tener cuando sea preciso el consentimiento de los titulares.
4. Informar a los titulares de la creación y finalidad del fichero.
5. Guardar secreto y mantener la confidencialidad de los datos recogidos.
6. Adoptar las medidas de seguridad exigidas por la legislación.
7. Permitir a los titulares de los datos el ejercicio de sus derechos.

La Ley obliga a las organizaciones que sean titulares de datos de carácter personal a elaborar e implantar un Documento de Seguridad que describa los procesos que garantizan el acceso controlado a dichos datos según el nivel de seguridad que por su naturaleza a cada uno se le atribuye.

La ley entiende por tratamiento de datos de carácter personal cualquier operación y procedimiento técnico, de carácter automatizado o no, que permita su recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Las operaciones de  tratamiento más habituales son:

La recogida organizada de datos.

La conservación y mantenimiento actualizado y exacto de los datos.

La cesión de los datos a otras personas o entidades.

La LOPD entiende por encargado del tratamiento la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. Encargados del tratamiento serían, por ejemplo, todas aquellas empresas o profesionales que, para prestarnos un servicio contratado, traten con los datos de nuestros ficheros (asesoría laboral, contable, etc.).

La inscripción de los ficheros de datos personales es el deber que tengo de notificar a la Agencia de Protección de Datos la existencia y creación de los ficheros de los que sea responsable. Dentro de la APD, el Registro General de Protección de Datos es el órgano que tiene por objeto la inscripción de los ficheros.

El titular de los datos personales almacenados en mis ficheros tiene una serie de derechos con respecto al tratamiento de los mismos. Esos derechos son:

• Impugnación de valoraciones.
• Consulta al Registro General.
• Derecho de acceso a sus datos.
• Derecho de rectificación de sus datos.
• Derecho de cancelación de sus datos.
• Derecho de oposición al tratamiento.

Tanto por denuncia de los titulares de los datos, como de oficio, puedo ser inspeccionado por la Agencia Española de Protección de Datos, que, si comprueba el incumplimiento de las obligaciones impuestas por la normativa, o la vulneración de derechos de los titulares de los datos, puede iniciar un expediente sancionador, e imponer multas cuyo importe puede ascender a seiscientos mil euros (600.000 €). Se establecen una serie de sanciones a los responsables de los ficheros y a los encargados del tratamiento de los ficheros que contengan datos de carácter personal. Estas se clasifican en leves, graves y muy graves, atendiendo a la infracción cometida.

Garantía jurídica. Dado que estos procesos de formación están enmarcados en una normativa legal, es necesario disponer de evidencia de su realización así como de su gestión y control. Adicionalmente, estas evidencias permiten a la Organización disponer de elementos de prueba en caso de conflictos en materia de protección de datos entre la Organización y sus usuarios (empleados, agentes, colaboradores) de datos personales y de sus sistemas de información.

Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el artículo 28 de la Ley Orgánica 5/1992, deberán reunir, además de las medidas de nivel básico, las calificadas como de nivel medio.

Tipo de datos

Comisión infracciones penales y administrativas. Información de hacienda pública. Información de servicios financieras. Información sobre evaluación de personal (curriculum).

Medidas de seguridad obligatorias

• Medidas de seguridad nivel básico
• Responsable de seguridad
• Auditoría bianual
• Medidas adicionales de identificación y autenticación de usuarios
• Control de acceso físico

Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas de nivel alto.

Tipo de datos

Ideología. Religión. Creencias. Origen racial. Salud. Vida sexual

Medidas de seguridad obligatorias

• Medidas de seguridad de nivel básico y medio
• Seguridad en la distribución de soportes
• Registro de accesos
• Medidas adicionales de copias de respaldo
• Cifrado de telecomunicaciones

Multa de 60.101,21 € a 300.506,05 €

Multa de 300.506,05 € a 601.012,10 €