LOPD

Ley Orgánica de Protección de Datos 15/1999 de 13 de diciembre

¿Qué es la LOPD?

Es una ley del año 1999 cuya finalidad es proteger todos los datos de carácter personal que pueda tener una empresa o profesional en su fichero, con el fin de que no sean utilizados inadecuadamente, ni tratados o cedidos a terceros sin consentimiento “inequívoco” del titular.

Su finalidad es proteger el Derecho a la Identidad de las personas físicas.

Introducción a la Ley

Las empresas que tienen ficheros automatizados en los que tratan datos de carácter personal están obligadas a implantar en sus sistemas de tratamiento las medidas de seguridad reguladas en el R.D. 1720/2007.

La jurisdicción competente es la Agencia de Protección de Datos, autoridad de control española, dependiente del “Grupo” de la Comisión del Parlamento Europeo, ente totalmente autónomo e independiente de las instituciones políticas españolas.

¿Qué es la protección de datos de carácter personal?

Es una materia jurídica que desarrolla el artículo 18, 1 y 4 de la Constitución española y consiste en garantizar los derechos fundamentales de los afectados por el tratamiento de datos de carácter personal realizado por terceros.

Su ámbito se extiende a toda información referente a personas físicas identificadas o identificables (art. 2, LOPD) en cualquier tipo de soporte (informático o no) y en todos los ámbitos tanto físicos como informáticos de la empresa (locales, departamentos, archivos, etc.).

Obliga a toda persona que trate los datos de otros y exige que se dé cumplimiento a todos los requisitos de legalidad, legitimación y seguridad que establecen la Directiva 46/95, la Ley 15/1.999 de 13 de diciembre, el R.D. 994/1.999 de 11 de junio y demás normativa de aplicación.

A quién afecta esta ley

A cualquier empresa o profesional que disponga de un conjunto organizado de datos (fichero automatizado) o documental o de otro tipo (archivo) que puedan ser asociados a personas físicas. Por ejemplo los datos del personal que trabaja en la empresa.

¿Qué son datos de carácter personal?

Dato de carácter personal es toda información sobre una persona física identificada o identificable (el nombre, la matrícula del coche de una persona, la dirección, los datos laborales, el curriculum vitae etc.). Un fichero o un archivo de datos de carácter personal es un conjunto organizado de datos, bien sea manual, informático o en otro soporte

¿Qué hay que hacer?

Para cumplir la ley hay que adaptar la forma de trabajar de la empresa, en lo que se refiere al tratamiento de datos de carácter personal, a los requerimientos que establece la normativa vigente, que básicamente se puede resumir en tres apartados, que son:

  • Legalizar el Fichero en la Agencia Central de Protección de Datos.
  • Tener y aplicar el Documento de Seguridad, que debe cumplir con los requisitos legales. Todos los ficheros que no se hallen declarados ante la Agencia Central de Protección de Datos, se consideran ficheros de nueva creación y el plazo para disponer del Documento de Seguridad de dichos ficheros ya ha expirado.
  • Obtener la legitimación de todos los datos de carácter personal que posea la empresa y todos los nuevos que entren, es decir, tener el consentimiento de los afectados.

Legalizar los ficheros ante la Agencia Central de Protección de Datos.

¿Qué es el Registro de Ficheros? Es un Registro Público donde se inscribe el nombre del fichero, el responsable con su dirección y los fines y utilidades del fichero.

¿Para qué sirve? Sirve para que todos los afectados tengan la oportunidad de acceder a los ficheros privados y públicos para conocer qué datos suyos hay en el fichero y si sus datos han sido incluidos con o sin su consentimiento y/o conocimiento, aparte de poder solicitar la cancelación de los mismo en el fichero. Además, para que la Agencia pueda regular y fiscalizar el cumplimiento de la Ley.

¿Cómo hay que declarar el fichero? Rellenando unos formularios oficiales facilitados por la propia Agencia.

¿Qué es el Documento de Seguridad?

Es un reglamento de régimen interior que regula los accesos, el tratamiento (recogida, uso, archivo, conservación y aplicaciones) y la administración de los datos de carácter personal que se disponen en el fichero de la empresa, y que son tratados por su interés.

¿Quién está implicado en este Documento? Todo el personal de la empresa ( del fichero ), tanto el que tiene acceso a la información como sólo aquél que sólo tiene acceso físico a los lugares en donde se encuentra la información o a los soportes que la contienen.

¿Quién tiene responsabilidad y hasta dónde llega? Según el artículo 43 de la Ley Orgánica 15/1999 de 13 de diciembre, responden todos los responsables y encargados del tratamiento de los datos. Llega hasta el total del sistema sancionador previsto en el artículo 44 de la misma ley.

¿Se ha de registrar en algún sitio? NO. El Documento de Seguridad ha de quedar en poder del responsable de los datos o del fichero a disposición de la inspección de la Agencia Central de Protección de Datos.

¿Qué son los niveles de seguridad? Son categorías de protección. Consisten en proteger los datos más sensibles según el grado de confidencialidad de los datos.

¿Cuáles son los niveles de seguridad que prescribe la ley ? Son tres: el Básico ( para todos los datos de carácter personal); el Medio ( para datos referentes a solvencia patrimonial y crédito, antecedentes administrativos, penales, civiles y datos con los que se puede tener idea de la personalidad del afectado) y Alto (para datos de salud, ideología, política, religión y otras análogas).

¿Qué es la Legitimación?

La Legitimación es la obtención del consentimiento expreso e inequívoco del interesado para disponer y tratar sus datos de carácter personal.

¿Qué son los derechos del afectado?

El afectado es la persona física cuyos datos se tratan en el fichero. Tiene los siguientes derechos:

  • Acceso, la persona tiene derecho a acceder a sus datos.
  • Modificación, la persona debe poder modificar sus datos si no son correctos.
  • Oposición, la persona se puede negar a que sean utilizados sus datos, pero puede ser que conlleven una paralización de servicios que se le ofrecen.
  • Cancelación, la persona puede solicitar la cancelación de sus datos.

¿Qué puede pasar?

El incumplimiento de la ley implica multas administrativas, sin posibilidad de recurrirlas, que están entre las 900 € y 600.000 €.

Por ejemplo:
No tener legalizado el Fichero de datos de carácter personal comporta una falta leve sancionable con multa, que puede ascender desde 900 € hasta 40.000 €. Incumplir la obligación de disponer del Documento de Seguridad puede ser sancionado con una multa entre 40.001 y 300.000 € (art. 45 LOPD).

Además, en la auditoria contable ya correspondiente desde el año 2000 el auditor está obligado a anotar la incidencia con una reserva al alcance o mención de al menos 60.000 € en el informe de auditoria que emita del ejercicio.

En las auditorias de calidad (ISO, TÜV, AENOR, etc), se dejará constancia del riesgo así como el incumplimiento de las medidas básicas de seguridad para el tratamiento de la información.