Home  /  Alberto Berdión  /  Análisis: Ley Orgánica de protección de datos. Obligaciones del uso de datos de carácter personal

Análisis: Ley Orgánica de protección de datos. Obligaciones del uso de datos de carácter personal

image_pdfimage_print

Los interrogantes acerca de las garantías que rodean a la protección de datos personales cobran creciente relevancia en una sociedad como la actual donde es fácil obtener información de todo y de todos. No obstante, ¿Cuándo estamos hablando propiamente de datos de carácter personal? Y, ¿qué obligaciones tienen aquéllos que manejan este tipo de datos?

Datos de carácter personal.

Cuando hablamos de la protección de datos de las personas, estamos haciendo referencia a un derecho fundamental que se le reconoce a todos los individuos (el derecho a la intimidad y el honor), que implica la correlativa existencia de una potestad de control sobre el uso de dichos datos que merece la protección del ordenamiento jurídico.

La CE señala en su articulo 18: “la Ley limitará el uso de la informática para garantizar el honor  y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.

Fruto de este mandato constitucional es la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, la cual tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades publicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. Dicha Ley Orgánica vino a adaptar nuestro ordenamiento a lo dispuestos en la Directiva 95/46/CE del Parlamento Europeo y del Consejo. Igualmente cabe mencionar el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal.

La ley señala que se entenderán por datos de carácter personal cualquier información concerniente a personas físicas identificadas o identificables. Es decir, se trata de cualquier tipo de información (ya sea fotográfica, alfabética, acústica, numérica, etc.) de un individuo, ya sea sobre su identidad (su nombre, su apellido, sus filiación, su domicilio, etc.) como sobre su existencia u ocupaciones (trabajo, estudios, etc.). Así, una dirección de correo electrónico, el DNI, información de tipo administrativo, etc. son considerados datos de carácter personal.

Los datos de las personas jurídicas, como puedan ser su domicilio social o su CIF, no tienen la consideración de datos de carácter personal y por lo tanto no entran dentro de su ámbito de aplicación.

En cuanto a quiénes quedan sujetos a lo establecido en la Ley, la LOPD, esta obliga a todas las personas, físicas y jurídicas, ya sean privadas o públicas siempre que disponga de datos de carácter personal, imponiéndoles una serie de requisitos y obligaciones en función de los datos que tengan en su poder

Quedarán por tanto sometidos a sus obligaciones tanto los  responsable de los ficheros o tratamientos o como los encargados del tratamiento, según los casos. A estos efectos, la LOPD define:

  • al responsable del fichero o tratamiento como persona física o jurídica, de naturaleza publica o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
  • y al encargado del tratamiento como la persona física o jurídica, autoridad  pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.

La Agencia Española de Protección de Datos (“AEPD”), ente de derecho publico, es la encargada para, entre otros cometidos, velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos y demás obligaciones de aquellos que dispongan de los datos referidos.

Obligaciones a tener en cuenta.

Las obligaciones derivadas del manejo de datos de carácter personal pueden resumirse de la siguiente forma:

Calidad de datos: se exige que los datos sean adecuados a la finalidad que motiva su recogida. Así, solo podrán recogerse para su tratamiento cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explicitas y legitimas para las que se hayan obtenido. Asimismo, dichos datos habrán de ser exactos y puestos al día.

Deber de información: los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco de la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de recogida de éstos y de los destinatarios de la información, de la posibilidad de  ejercitar los derechos de acceso, rectificación, cancelación y oposición, entre otros aspectos. En el caso de que la recogida se haya realizado sin el conocimiento del interesado se le deberá informar en el plazo de 3 meses.

Tratamiento y cesión: debiéndose distinguir entre

Tratamiento: el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado. No obstante, se prevén ciertos casos especiales (Funciones propias de Administraciones Publicas, que se busque proteger un interés vital para el interesado, etc.) donde no será preciso dicho consentimiento, habiendo sido, además, recientemente flexibilizado este aspecto siempre que sea necesario para la satisfacción del interés legitimo del responsable del tratamiento o de terceros receptores de los datos, y siempre que no prevalezca el interés o los derechos y libertades del interesado,  como consecuencia de la Sentencia del Tribunal Supremo de 8 de febrero de 2012. Se considerará consentimiento toda manifestación de voluntad, libre, inequívoca, especifica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

Cesión: si la misma comporta identificación de concretas personas físicas constituye una comunicación de datos de carácter personal, entendiéndose como tal toda revelación de datos realizada a persona distinta del interesado.

Los datos de carácter personal objeto del tratamiento solo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. Al igual que en el tratamiento, existen determinados supuestos  donde dicho consentimiento no será preciso.

 Deber de colaboración con la agencia: tal y como se ha señalado antes, la AEPD tiene entre otras funciones velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación. Para el cumplimiento de dicha función, se podrán inspeccionar ficheros, recabar cuantas informaciones se precisen o incluso solicitar la exhibición o envío de documentos y datos. Es decir, deberá colaborarse con la AEPD, puesto que podrá considerarse falta leve el no proporcionar la información solicitada, no hacerlo en plazo u obstruir el ejercicio de la función inspectora.

Deber de guardar secreto: quienes intervengan en cualquier fase del tratamiento de los datos, deberán guardar secreto sobre los mismos, subsistiendo la obligación aun después de finalizar su relación con el responsable del fichero.

Atención de los derechos de los ciudadanos: deben distinguirse:

  • Derecho de acceso: los interesados tendrán derecho a solicitar y obtener gratuitamente información de sus datos sometidos a tratamiento, el origen de dichos datos así como las comunicaciones realizadas o que se prevén hacer de los mismos.  Este derecho de acceso solo podrá ser ejercitado a intervalos inferiores a 12 meses, salvo interés legítimo. El responsable del fichero resolverá sobre la petición de acceso en el plazo máximo de 1 mes.
  • Derecho de rectificación y cancelación: el responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de 10 días. Se prevén ciertas limitaciones de este derecho cuando pueda impedir o dificultar el cumplimiento de ciertas funciones de las Administraciones públicas o la Defensa Nacional.
  • Derecho de oposición: trae su origen de la propia Directiva 95/46/CE antes mencionada. Y tiene dos manifestaciones:
    1. reconocer el derecho del interesado al que asiste un interés legítimo a oponerse al tratamiento de sus datos en aquellos supuestos en que no sea preciso recabar su consentimiento.
    2. reconocer el derecho “opt-out” o derecho a no ser incluido en los datos obtenidos de fuentes accesibles al publico y empleados con fines de publicidad o prospección comercial.

Inscripción de los ficheros: siempre que se proceda al tratamiento de datos personales que suponga la inclusión de dichos datos en un fichero (entendiendo por tal el conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso), el fichero se encontrará sometido a la LOPD, siendo obligatoria su inscripción en el Registro General de Protección de Datos. La notificación de los ficheros habrá de ser previa a la creación de los mismos.

Tanto para inscribir, como para suprimir o modificar la inscripción de un fichero, se deberá cumplimentar el modelo establecido en la Resolución  de 12 de julio  de 2006, de la AEPD. También el formulario electrónico de Notificaciones Telemáticas a la AEPD permite la presentación de notificaciones a través de Internet

Medidas de seguridad: se impone al responsable del fichero adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, perdida, tratamiento o acceso no autorizado.

Las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican en tres niveles: básico, medio y alto, según el tipo de datos de carácter personal a tratar. Con el objeto de facilitar a los responsables de los ficheros la adopción  de las pautas de seguridad señaladas, se ha elaborado un modelo de “documento de seguridad”, que puede servir de guía para los responsables.

Vistas las obligaciones, no cabe sino destacar que el tema de la protección de datos esta adquiriendo creciente interés por parte de las empresas habida cuenta de las importantes sanciones que llega a imponer la AEPD ante el incumplimiento de lo señalado en el ordenamiento jurídico, sanciones que pueden oscilar desde los 60.000 Euros por faltas leves como podría ser el no declarar un fichero, hasta los 600.000 Euros en el caso de faltas de mayor trascendencia como seria el ceder datos personal de los afectados sin su consentimiento.

No se trata de una obligación que afecte exclusivamente a las grandes empresas. Por ejemplo ¿sabía el lector que facilitar los datos de sus trabajadores a una asesoría o gestoría constituye una cesión ilegal de datos si no se toman las medidas adecuadas. Es un ámbito más en el que la creciente complejidad de  la sociedad obliga a contra con un asesoramiento experto.

Además,  expuestas las obligaciones que pretenden garantizar la privacidad de los datos personales, cabe preguntarse si tienen efectiva vigencia en nuestra vida cotidiana y se cumplen por parte de aquellos individuos que manejan estos datos tan sensibles para la vida de las personas.

Por ejemplo, en el caso de los ficheros de solvencia patrimonial que, muy a menudo, una vez adquiridos por los bancos, quedan cristalizados, de manera que la rectificación obtenida ante el responsable del fichero no tiene efectividad alguna en la práctica puesto que el afectado sigue figurando en los registros de la mayor parte de las entidades a los que se dirige para obtener un crédito.

Es también el caso de “Internet” donde los ecos de una inserción se conservan de forma indefinida y haga lo que haga el interesado. Esto permite que se pueda disponer de información prácticamente inmediata sobre el DNI y la dirección de personas físicas mediante las publicaciones de multas, juicios o ejecuciones en los diferentes boletines oficiales (es la propia Administración quien en este caso genera el problema), independientemente de lo lesivo que pueda resultar, además, para la fama del individuo el que su nombre aparezca asociado a estas circunstancias. En este tema se están dando pasos mediante la supresión de determinados datos y el paso a soportes no procesables, pero queda un largo camino por recorrer.

También por este motivo, para defender nuestros derechos es importante cuando llega el caso contar con un asesoramiento experto.

 ALBERTO BERDIÓN | Socio Director 

Tagged with:     ,

About the author /


Post your comments

Your email address will not be published. Required fields are marked *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Alta en Newsletter

Contacto

Iberislex, Servicios Empresariales

Paseo de la Habana, 152 (Madrid)

911 837 283

iberislex@iberislex.com

Síguenos

Análisis Alberto Berdión

NOVEDADES SOBRE LA FACTURA ELECTRÓNICA. NUEVO REGLAMENTO ESPECÍFICO.
Posted in: Administrativo, Alberto Berdión, Fiscal Tags: , , , , , , , ,

Ya ha sido publicado, mediante el Real Decreto 1007/2023 de 5 de diciembre de 2023, el Reglamento específico que regula la obligación de expedir factura electrónica a todos los empresarios o profesionales (hasta ahora solo era obligatorio cuando se trataba de facturas emitidas a las administraciones públicas). Como ya comentamos en su momento el artículo […]

Read More
Acceso al área clientes

Contacto

Iberislex, Servicios Empresariales

Paseo de la Habana, 152 (Madrid)

911 837 283

iberislex@iberislex.com