LOPD ¡¡ATADO Y BIEN ATADO!!
6, 16 de 2005-05-16 de 2005
La LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL 15/1999, de 13 de diciembre, (en adelante LOPD) nació con el objetivo de garantizar la protección de nuestra intimidad frente a los abusos que se puedan producir en el tratamiento de los datos personales que estén en algún fichero (sea de titularidad pública o privada).
Esta Ley viene a ampliar el apartado 4º del art. 18 de la Constitución Española:
“La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”
y constituye la norma principal sobre la materia en nuestro país.
Independientemente de otros conceptos y para realizar una somera introducción a la LOPD, diremos que los principios que rigen todo tratamiento de datos personales y que son de obligado cumplimiento (título II ) son:
Calidad de datos (Art. 4 LOPD). La aplicación de este principio supone que, los datos de carácter personal, sólo podrán recogerse cuando sean adecuados, pertinentes y no excesivos para el cumplimiento de las finalidades del fichero. Es decir, los datos que se recogen han de guardar proporcionalidad con el uso que se vaya a dar al fichero.
Estos datos habrán de ser exactos y mantenerse actualizados. Así mismo, serán borrados cuando dejen de ser necesarios o pertinentes.
Derecho de información en la recogida de datos (Art. 5). Siempre que se recopilen datos personales, el interesado deberá de ser debidamente informado (de modo expreso, preciso e inequívoco):
De la existencia de un fichero en el que se van a tratar sus datos, su finalidad y los destinatarios de la información.
Del carácter obligatorio o facultativo de sus respuestas a las preguntas planteadas.
De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
De la posibilidad de ejercitar sus derechos de acceso, rectificación, cancelación y oposición.
De la identidad y dirección del responsable del fichero.
Consentimiento (Art. 6). Este principio va íntimamente ligado al anterior, ya que permite al afectado controlar el uso de sus datos personales.
La LOPD dice:”El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.
Datos especialmente protegidos (Art. 7). Tienen esta consideración aquellos que hacen referencia a ideología, afiliación sindical, religión o creencias, origen racial, salud y vida sexual.
La LOPD señala la necesidad de proteger, de manera especial, estos datos porque un mal uso de esta información puede causar lesiones en otros derechos fundamentales del individuo (igualdad, no discriminación, libertad religiosa, etc.).
Como consecuencia de esta protección, se prohíbe la creación de ficheros que tengan la finalidad exclusiva de almacenar este tipo datos. Igualmente, se exige el consentimiento expreso (en algunos casos, por escrito), así como el establecimiento de medidas especiales de seguridad.
Por último, cuando se cometen infracciones con este tipo de datos, aumenta un grado la gravedad de las mismas.
Seguridad de los datos (Art. 9). El responsable del fichero deberá adoptar las medidas, técnicas y organizativas, necesarias para garantizar la seguridad de los datos personales integrados en los ficheros, evitando que puedan perderse, alterarse ser usados por personas no autorizadas.
Estas medidas se adoptarán teniendo en cuenta el estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos.
El Real Decreto 994/1999, de 11 de junio, desarrolla la implantación de las citadas medidas de seguridad.
Deber de secreto (Art. 10). “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal, están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero”.
Comunicación de datos (Art. 11). Se refiere al cumplimiento de ciertas obligaciones en el caso de que se produzca una cesión de datos (revelación de éstos a persona distinta del interesado). Para que se pueda realizar una cesión, habrán de confluir los siguientes elementos:
Se ha de hacer para cumplir unos fines directamente relacionados con las funciones legítimas del cedente y del cesionario.
Ha de existir un consentimiento previo del interesado.
Que el afectado esté informado de la identidad del cesionario y de la finalidad de la cesión.
Naturalmente, existen unas excepciones reguladas por Ley.
Acceso a datos por cuenta de terceros (Art. 12). Es el acceso permitido a terceros, que no tienen la condición de responsable del fichero, usuario o interesado, sin que por ello se produzca una cesión o comunicación de datos.
Se contempla la posibilidad de que los ficheros puedan ser tratados por personas distintas de la organización del responsable del fichero. Esta tercera persona se convierte en encargado de tratamiento y presta servicios a dicho responsable (un caso típico es el del gestor que maneja las nóminas de una empresa).
La relación con el encargado de tratamiento deberá de estar regulada por un contrato en el que se detallen las obligaciones y prohibiciones en cuanto al tratamiento de los datos de carácter personal.
Como hemos visto, un tratamiento inadecuado de datos personales, puede conducir a la comisión de una serie de infracciones (tipificadas en el Título VII de LOPD) que conllevan unas sanciones de 600 € a 600.000 €, en función de la gravedad de las mismas.
Para evitar parte de estas infracciones, conviene estipular por escrito toda relación con la obtención, utilización y cesión de los datos. Es decir:
A la hora de recabar datos, que el afectado firme que ha sido informado convenientemente según los arts. 5, 6 y 7 de LOPD.
Respecto a la seguridad, habrán de constar las medidas tomadas, obligaciones del personal, etc.
Toda comunicación y cesión de datos, así como los accesos por terceros, deberán contar con el consentimiento del individuo y figurar en un contrato.
Si, para empezar, tenemos estos principios ATADOS Y BIEN ATADOS, ya estamos en camino de evitarnos un dispendio en multas que no podemos hacer frente.
El resto de obligaciones para cumplir con la normativa de la LOPD, ya lo iremos viendo.
Diciembre / 2004 Javier Pérez
SERVITONER INFORMATICA, S.L.
Torrejón de Ardoz (Madrid)
Esta Ley viene a ampliar el apartado 4º del art. 18 de la Constitución Española:
“La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”
y constituye la norma principal sobre la materia en nuestro país.
Independientemente de otros conceptos y para realizar una somera introducción a la LOPD, diremos que los principios que rigen todo tratamiento de datos personales y que son de obligado cumplimiento (título II ) son:
Calidad de datos (Art. 4 LOPD). La aplicación de este principio supone que, los datos de carácter personal, sólo podrán recogerse cuando sean adecuados, pertinentes y no excesivos para el cumplimiento de las finalidades del fichero. Es decir, los datos que se recogen han de guardar proporcionalidad con el uso que se vaya a dar al fichero.
Estos datos habrán de ser exactos y mantenerse actualizados. Así mismo, serán borrados cuando dejen de ser necesarios o pertinentes.
Derecho de información en la recogida de datos (Art. 5). Siempre que se recopilen datos personales, el interesado deberá de ser debidamente informado (de modo expreso, preciso e inequívoco):
De la existencia de un fichero en el que se van a tratar sus datos, su finalidad y los destinatarios de la información.
Del carácter obligatorio o facultativo de sus respuestas a las preguntas planteadas.
De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
De la posibilidad de ejercitar sus derechos de acceso, rectificación, cancelación y oposición.
De la identidad y dirección del responsable del fichero.
Consentimiento (Art. 6). Este principio va íntimamente ligado al anterior, ya que permite al afectado controlar el uso de sus datos personales.
La LOPD dice:”El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.
Datos especialmente protegidos (Art. 7). Tienen esta consideración aquellos que hacen referencia a ideología, afiliación sindical, religión o creencias, origen racial, salud y vida sexual.
La LOPD señala la necesidad de proteger, de manera especial, estos datos porque un mal uso de esta información puede causar lesiones en otros derechos fundamentales del individuo (igualdad, no discriminación, libertad religiosa, etc.).
Como consecuencia de esta protección, se prohíbe la creación de ficheros que tengan la finalidad exclusiva de almacenar este tipo datos. Igualmente, se exige el consentimiento expreso (en algunos casos, por escrito), así como el establecimiento de medidas especiales de seguridad.
Por último, cuando se cometen infracciones con este tipo de datos, aumenta un grado la gravedad de las mismas.
Seguridad de los datos (Art. 9). El responsable del fichero deberá adoptar las medidas, técnicas y organizativas, necesarias para garantizar la seguridad de los datos personales integrados en los ficheros, evitando que puedan perderse, alterarse ser usados por personas no autorizadas.
Estas medidas se adoptarán teniendo en cuenta el estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos.
El Real Decreto 994/1999, de 11 de junio, desarrolla la implantación de las citadas medidas de seguridad.
Deber de secreto (Art. 10). “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal, están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero”.
Comunicación de datos (Art. 11). Se refiere al cumplimiento de ciertas obligaciones en el caso de que se produzca una cesión de datos (revelación de éstos a persona distinta del interesado). Para que se pueda realizar una cesión, habrán de confluir los siguientes elementos:
Se ha de hacer para cumplir unos fines directamente relacionados con las funciones legítimas del cedente y del cesionario.
Ha de existir un consentimiento previo del interesado.
Que el afectado esté informado de la identidad del cesionario y de la finalidad de la cesión.
Naturalmente, existen unas excepciones reguladas por Ley.
Acceso a datos por cuenta de terceros (Art. 12). Es el acceso permitido a terceros, que no tienen la condición de responsable del fichero, usuario o interesado, sin que por ello se produzca una cesión o comunicación de datos.
Se contempla la posibilidad de que los ficheros puedan ser tratados por personas distintas de la organización del responsable del fichero. Esta tercera persona se convierte en encargado de tratamiento y presta servicios a dicho responsable (un caso típico es el del gestor que maneja las nóminas de una empresa).
La relación con el encargado de tratamiento deberá de estar regulada por un contrato en el que se detallen las obligaciones y prohibiciones en cuanto al tratamiento de los datos de carácter personal.
Como hemos visto, un tratamiento inadecuado de datos personales, puede conducir a la comisión de una serie de infracciones (tipificadas en el Título VII de LOPD) que conllevan unas sanciones de 600 € a 600.000 €, en función de la gravedad de las mismas.
Para evitar parte de estas infracciones, conviene estipular por escrito toda relación con la obtención, utilización y cesión de los datos. Es decir:
A la hora de recabar datos, que el afectado firme que ha sido informado convenientemente según los arts. 5, 6 y 7 de LOPD.
Respecto a la seguridad, habrán de constar las medidas tomadas, obligaciones del personal, etc.
Toda comunicación y cesión de datos, así como los accesos por terceros, deberán contar con el consentimiento del individuo y figurar en un contrato.
Si, para empezar, tenemos estos principios ATADOS Y BIEN ATADOS, ya estamos en camino de evitarnos un dispendio en multas que no podemos hacer frente.
El resto de obligaciones para cumplir con la normativa de la LOPD, ya lo iremos viendo.
Diciembre / 2004 Javier Pérez
SERVITONER INFORMATICA, S.L.
Torrejón de Ardoz (Madrid)
