La protección de datos es un derecho fundamental, reconocido en la Carta de Derechos Fundamentales de la Unión Europea, en nuestra Constitución (art. 10 y 18.4 CE) y en la Ley Orgánica 15/1999 de Protección de Datos (LOPD). Toda persona tiene derecho a controlar sus datos y todo aquel que trate datos de carácter personal está obligado a garantizar el derecho a la protección de éstos.
El Responsable de un fichero o tratamiento -que lo es cualquier entidad, persona u órgano administrativo que decide sobre la finalidad, el contenido y el uso del tratamiento de los datos personales- queda obligado al cumplimiento de lo establecido en la LOPD. Los datos personales que debe proteger son, por ejemplo, los de sus clientes, proveedores, personas de contacto, empleados, etc. Recuerde que las imágenes también son datos personales, por lo que deberá tener en cuenta sus obligaciones respecto de la Videovigilancia. Precisamente la Videovigilancia es uno de los principales motivos de reclamación ante la AEPD1.
Obligaciones generales del Responsable del Fichero:
• Ficheros: creación de ficheros de datos personales y notificación para su inscripción en el Registro de la Agencia.
• Información al titular de los datos: de la finalidad de la recogida y tratamiento de sus datos, del fichero/s en los se incluyen, etc.
• Consentimiento: obtención del consentimiento para el tratamiento de los datos personales.
• Derechos ARCO: facilitar y garantizar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.
• Deber de Secreto: obligación de guardar secreto profesional sobre los datos para todos los que intervengan en cualquier fase del tratamiento.
• Deber de Seguridad: creación de documentos de seguridad y la aplicación de las medidas de seguridad necesarias.
1 Junto con la difusión de datos en Internet y la inclusión indebida en listas de morosidad.
• Cesión o comunicación de datos: conocer los requisitos para poder ceder datos de carácter personal de sus clientes, empleados, etc.
• Acceso a datos y Encargado de tratamiento. Dar cumplimiento al artículo 12 LOPD; suscribir acuerdo con el Encargado de Tratamiento.
• Los datos se deben mantener actualizados y cancelarlos si ya no son necesarios.
En el caso de que dispongan de página Web, no deben olvidar -a parte otras obligaciones previstas en la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI)- la Política de Privacidad, ya que el web corporativo puede resultar otra vía para la recogida de datos de carácter personal y en ella se deben implementar las medidas necesarias para garantizar la protección de datos personales.
El envío de Comunicaciones comerciales a través de correo electrónico (o medios de comunicación electrónica equivalentes regulados por la LSSI) necesitan del consentimiento de la persona. Se debe ofrecer al destinatario la posibilidad de oponerse a su envió a través de un procedimiento sencillo y gratuito.
Recordatorio importante: el caso de cesión de los TC2 y nóminas de los trabajadores de las subcontratas a las empresas contratistas. La comunicación de estos se encuentra amparada por la LOPD, pero debe recordarse que el acceso por parte del contratista debe limitarse a los datos de los trabajadores subcontratados y no a cualesquiera trabajadores de la empresa subcontratada, por lo que el subcontratista no podrá ceder documentos en el que aparezcan todos los trabajadores, sino sólo aquellos trabajadores de la empresa subcontratada que presten sus servicios en la empresa principal. La empresa subcontratista debe cumplir con la obligación de información, respecto de los trabajadores subcontratados, de la cesión de sus datos a la empresa contratista atendiendo al hecho que el artículo 5.1 a) de la LOPD impone al Responsable del fichero el deber de informar acerca de los destinatarios de las cesiones de datos que se hubieran producido.
Los particulares conocen su derecho fundamental a la protección de datos y por ello no dudan en denunciar ante la AEPD cuando sienten que éste ha sido vulnerado. Pero, ¿son las entidades realmente conscientes de que deben garantizar este derecho?, ¿están preparadas para afrontar las sanciones de la AEPD? Para observar por qué pueden ser sancionadas podemos tomar como ejemplos: mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad (infracción grave con sanción de 60.000 a 300.000 euros) y la comunicación o cesión de los datos de carácter personal fuera de los casos en que estén permitidas (una infracción muy grave con sanción de 300.000 a 600.000 euros).
Marta Algueró Sales
Joaquim Altafaja Diví
Área de Nuevas Tecnologías y Derecho