El 19 de abril de 2008 entró en vigor el Reglamento de desarrollo de la Ley Orgánica 15/1999 de protección de datos personales, aprobado por Real Decreto 1720/2007. El nuevo reglamento desarrolla varios aspectos pendientes de la mencionada ley, y tiene como objetivo ofrecer mayor seguridad jurídica a empresarios y personas físicas en el ámbito de los datos personales.
¿Qué es la LOPD?
Se trata de una Ley Orgánica que articula el derecho fundamental a la protección de los datos personales, derecho reconocido en la Carta Europea de los Derechos Fundamentales así como en la Constitución Española. Este derecho nos permite a todas las personas controlar quién tiene nuestros datos y qué pueden hacer con ellos: cargar un recibo a nuestra cuenta, enviarnos comunicaciones publicitarias, hacer un perfil de consumo, notificarnos por SMS, valorar nuestra candidatura para un trabajo, etc. Para garantizar el derecho a la protección de nuestros datos, toda entidad que trate datos personales deberá cumplir los requisitos que la LOPD y su reglamento establecen.
¿Quién tiene que adecuarse a la LOPD?
Cualquier empresa, profesional liberal, organización sin ánimo de lucro o administración pública.
· Que tenga trabajadores (tratamiento de datos del personal para fines laborales)
· Que utilice cámaras de vigilancia (tratamiento de la imagen para fines laborales)
· Que tenga clientes, usuarios, socios, pacientes, etc.
Prácticamente cualquier actividad profesional o empresarial implica la conexión con datos de personas, y por tanto debe tener en cuenta lo establecido en la LOPD.
Novedades recogidas en el nuevo reglamento
· Consentimiento para el tratamiento de los datos de menores. Los menores, a partir de los 14 años pueden consentir al tratamiento de sus datos.
· Consentimiento tácito. Para los casos en los que la ley no exige un consentimiento expreso, se establece los pasos a seguir para obtener el consentimiento tácito.
· Consentimiento para otras finalidades. Cuando se solicite el consentimiento de un cliente para finalidades que no guarden relación directa con el servicio contratado se le deberá permitir que manifieste expresamente su negativa.
· Prueba de consentimiento para el tratamiento de los datos. Deberá conservarse prueba del cumplimiento del deber de informar así como del consentimiento.
· Tratamiento de datos recabados de terceros en campañas publicitarias. Se establecen nuevos requisitos en el caso de campañas de publicidad y prospección.
· Reglamentación del derecho de oposición. El Reglamento establece la manera en que deberán atenderse las solicitudes de oposición al tratamiento de los datos.
· Supervisión del encargado del tratamiento. Deberá velarse activamente por que la entidad contratada cumpla todo lo exigido en el Reglamento.
· Subcontratación. Deberá autorizarse a la empresa contratada para realizar el tratamiento en caso de que ésta desee a su vez subcontratar alguna parte del trabajo.
· Medidas seguridad para soporte papel. Se recogen medidas de seguridad para los datos almacenados en papel, encaminadas a impedir el acceso de personal no autorizado.
· Cambio en los niveles de seguridad. Siguen existiendo tres niveles de seguridad, en función de la confidencialidad de los datos: nivel básico, medio y alto si bien habrá cambios en los niveles de los ficheros existentes actualmente.
· Documento de seguridad. Deberá ampliarse el documento de seguridad para recoger las medidas aplicadas a los datos guardados en papel.
· Fuentes accesibles al público. El nuevo reglamento concreta las fuentes accesibles al público que se puede utilizar (censo promocional, listados de colegios profesionales, etc.)
¿Qué para sí incumplo la LOPD?
· No ofrezco a mis clientes las garantías mínimas en relación al tratamiento de sus datos.
· Estoy desprotegido ante el robo de datos por parte de mis trabajadores o personal externo.
· Puedo ser sancionado, en caso de denuncia o inspección, con multas de 600€ a 600.000€. Las multas dependen de la gravedad de la falta, no del volumende mi empresa.
Para minimizar el riesgo de sanciones, así como para adaptarse de la manera más eficiente posible, es recomendable contar con el asesoramiento de una empresa o profesional especializado en materia de protección de datos personales.
Algunos ejemplos de sanciones
· Cámaras de vigilancia.
o infracción: no notificar a la Agencia de Protección de Datos la creación de un fichero de vídeo vigilancia mediante cámaras y no adecuar las mismas a todos los requisitos de la LOPD.
o quién puede denunciar: cualquier persona que vea que he instalado cámaras, ya sea un trabajador, cliente, usuario o cualquier que pase por el lugar donde existen las cámaras.
o Sanción: infracción leve (600€ a 6.000€) por no inscribir el fichero y por no proporcionar información suficiente. Infracción grave (6.000€ a 300.000€) por no legitimar el consentimiento para el tratamiento o por vulnerar el principio de seguridad de la LOPD.
· Documentación en soporte papel.
o Infracción: no adaptar los procedimientos de seguridad a lo establecido en el RD 1720/2007, con un plazo límite para adaptarse de octubre de 2009 o abril de 2010 en función del tipo de datos.
o quién puede denunciar: cualquier afectado que considere vulnerada la confidencialidad de los datos por un incorrecta custodia de los mismos.
o sanción: infracción grave (6.000€ a 300.000€) por incumplir el principio de seguridad de la LOPD.
· Extrabajadores.
o infracción: cualquier mal uso que realice el trabajador en relación a los datos a los que tenía acceso.
o quién puede denunciar: cualquier persona que conozca que se han divulgado sus datos.
o sanción: infracción leve (600€ a 6.000€) por incumplir el deber de secreto exigido por la LOPD.
· Envío de publicidad.
o infracción: envío electrónico no solicitado previamente por el destinatario.
o quién puede denunciar: cualquier persona que haya recibido email o SMS con publicidad.
o sanción: infracción de la LSSICE, con multas de hasta 30.000€.
· Candidatos de empleo.
o infracción: pasar currículos a otras empresas del mismo grupo, sin consentimiento del interesado.
o quién puede denunciar: cualquier candidato de empleo que conozca la cesión de sus datos.
o sanción: infracción muy grave de la LOPD (300.000€ a 600.000€) por cesión inconsentida de datos.