Regulación sobre protección de datos Regulación sobre protección de datos No hay duda de la importancia que las tecnologías de la información y de la comunicación han alcanzado en los últimos años. Las llamadas TIC (Tecnologías de la Información y de la Comunicación) han entrado en nuestra sociedad de un modo extremadamente acelerado, produciendo una auténtica revolución de la información, del mismo modo que en su día fue la revolución industrial; amenazando con transformar por completo nuestra idea de sociedad y de las estructuras que la conforman. La enorme capacidad de tratamiento y transmisión de la información que ofrecen las nuevas tecnologías hacen más apremiante la necesidad de proteger los derechos fundamentales del individuo, en concreto los contemplados en el artículo 18 de la Constitución, el derecho al honor, a la intimidad personal y familiar y a la propia imagen. La Constitución Española, en su artículo 18.4, emplaza al legislador/a a limitar el uso de la informática para garantizar el honor, la intimidad personal y familiar de los/as ciudadanos/as y el legítimo ejercicio de sus derechos. Asimismo, el derecho a la protección de datos personales ha sido calificado por el Tribunal Constitucional como un derecho fundamental. Un primer intento fue la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal (LORTAD), que vino a tratar de llenar la laguna legal existente en esta materia. La LORTAD solo era aplicable a los ficheros automatizados, sin embargo con la Ley Orgánica 15/99, de 13 de diciembre, (que derogó a la LORTAD) sobre Protección de Datos de Carácter Personal (LOPD), actualmente en vigor, el objeto se ha ampliado a los no automatizados también. El ámbito de aplicación de esta Ley afecta a los datos registrados en soporte físico susceptibles de tratamiento con independencia de que se trate de ficheros automatizados o no automatizados. Pág 1 de 9 Regulación sobre protección de datos La LOPD tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas. El fín de esta Ley es que los datos de carácter personal objeto de tratamiento no puedan utilizarse para finalidades incompatibles con áquellas para la que los datos se hubieran recogido. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos. La Ley habla de finalidades incompatibles, la LORTAD hablaba de finalidades distintas. A estos efectos la Agencia de Protección de Datos (APD) interpreta incompatible como distinto La LORTAD no hacía referencia al consentimiento ni a sus requisitos, sin embargo la LOPD establece que el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco, es decir, expreso o tácito, del afectado, salvo que la ley disponga otra cosa. Principios de la LOPD La Ley Orgánica de Protección de Datos consagra los siguientes principios: • Los datos objetos de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. • Introduce la regulación del derecho de información cuando los datos no han sido recabados del propio/a interesado/a. • También se introduce el derecho de oposición previa petición y sin gastos, al tratamiento de los datos que les conciernan, en cuyo caso serán dados de baja del tratamiento, cancelándose las informaciones que sobre ellos figuren en aquél, a su simple solicitud. • Incluye dentro de los datos especialmente protegidos, los referidos a la afiliación sindical. • No se considerará cesión de datos, el acceso a los datos de un tercero cuando dicho acceso es necesario para la prestación de un servicio al responsable del tratamiento. Esto soluciona los problemas que surgen con ocasión de la prestación de servicios por externalización o «outsourcing». Pág 2 de 9 Regulación sobre protección de datos Funcionamiento La Ley otorga una serie de derechos a los/as afectados/as por el tratamiento de sus datos: • Derecho de información. A la hora de prestar nuestro consentimiento en la recogida de datos personales nos asiste un derecho de información por el que se nos debe informar de modo expreso, preciso e inequívoco, de la existencia de un fichero, de la finalidad de la recogida de los datos, del carácter obligatorio o facultativo de su respuesta, de las consecuencias de la obtención o de la negativa de suministrar los datos, de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición y, finalmente, de la identidad y del responsable del tratamiento. Desgraciadamente esta obligación de información no siempre se cumple. • Derecho de acceso. Todo/a interesado/a tiene derecho a que el/la responsable del fichero o tratamiento le facilite el acceso a sus ficheros y obtener gratuitamente la información que solicite mediante la mera consulta por medio de la visualización o por escrito. • Derecho de Rectificación y Cancelación. Cualquier tipo de datos que no se ajusten a la LOPD o resulten inexactos o incompletos deberán ser rectificados o cancelados por el responsable del fichero cuando así lo exija el interesado. También es gratuito. • Derecho a ser indemnizado. Si como consecuencia del incumplimiento de los preceptos establecidos en la LOPD por el/la responsable del fichero o del tratamiento, la persona cuyos datos han sido objeto de tratamiento sufre algún daño o lesión en sus bienes o derechos, como la violación del derecho constitucional a la intimidad, tendrá derecho a indemnización. Pág 3 de 9 Regulación sobre protección de datos Niveles de protección los datos La LOPD organiza la protección de los datos en función de varios niveles y en función de la calidad de los datos que se manejen se deberá recurrir a distintos tipos de protección. 1. Nivel básico: todos los ficheros que contengan datos de carácter personal. 2. Nivel medio: todos los ficheros que contengan datos relativos a: • La comisión de infracciones administrativas o penales. • Hacienda Pública. • Servicios financieros. • La prestación de servicios de información sobre solvencia patrimonial y crédito. • Los datos suficientes para permitir obtener una evaluación de la personalidad del individuo. 3. Nivel alto: todos los ficheros que contengan datos acerca de: • Ideología. • Religión. • Creencias. • Origen racial. • Salud. • Vida sexual. • Los que contengan datos recabados con fines policiales sin consentimiento de las personas afectadas Pág 4 de 9 Regulación sobre protección de datos Medidas de seguridad exigibles por cada nivel Nivel básico Las medidas de seguridad exigidas en el nivel básico son: 1. Documento de seguridad. 2. Registro de incidencias. 3. Identificación y autenticación. 4. Control de acceso. 5. Gestión de soportes. 6. Copias de respaldo y recuperación. Nivel medio Las medidas de seguridad exigidas en el nivel medio, además de las indicadas para el nivel básico, son: 1. Limitación del número de intentos reiterados de acceso fallidos. 2. Designación de un/a Responsable de seguridad. 3. Control de acceso físico a los locales donde se encuentren ubicados los sistemas de información con datos de carácter personal. 4. Realización de una auditoría interna o externa, al menos cada dos años. Nivel alto Las medidas de seguridad exigidas en el nivel alto, además de las indicadas para el nivel básico y el medio, son: 1. Distribución mediante cifrado de datos. 2. De cada acceso se guardarán, como mínimo, la identificación del/de la usuario/a, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. 3. Cifrado de datos si se transmiten a través de redes de comunicación. Pág 5 de 9 Regulación sobre protección de datos Para cualquiera de los niveles, las medidas de seguridad, en general, que se deben cumplir son: 1. Las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de redes de comunicaciones deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local. 2. La ejecución de tratamiento de datos de carácter personal fuera de los locales de la ubicación del fichero deberá ser autorizada expresamente por el responsable del fichero y, en todo caso, deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado. Aplicación El Reglamento de Seguridad (R.D. 994/99) establece la obligación de las empresas de poner en marcha diversas medidas destinadas a garantizar la protección de datos, afectando a sistemas informáticos, archivos de soportes de almacenamiento, personal, procedimientos operativos, etc. Para adaptarse a las exigencias de la Ley, las organizaciones o empresas deben realizar los siguientes pasos: • Identificar los ficheros de datos que se manejan y determinar el nivel de seguridad aplicable. • Redactar el Documento de Seguridad en el que se recojan las medidas adoptadas en función del nivel correspondiente (el documento de seguridad ha de estar a disposición de la Agencia de Protección de Datos). • Redactar y aplicar las cláusulas y contratos que sean necesarios en caso de tener que recabar el consentimiento de los afectados o que exista tratamiento de datos por terceros. • Notificar a la Agencia de Protección de Datos la existencia del fichero. • Algunas de las consideraciones que debe tener un/a usuario/a a la hora de facilitar sus datos personales en un sitio web son: • Debe solicitar el consentimiento previo de los/as usuarios/as en caso de cesión, venta o intercambio de información contenida en los ficheros. • Debe advertir de la utilización de «cookies» (herramienta informática que un sitio web puede incluir para conocer datos del equipo del/de la usuario/a y de su comportamiento durante la visita a dicho sitio). Pág 6 de 9 Regulación sobre protección de datos • En caso de cambiar su política de confidencialidad, deben avisar a los/as usuarios/as mediante correo electrónico o mediante un anuncio en sus páginas. • Deben identificarse los responsables de: la página la base de datos, dirección y teléfono. • Debe determinar cuál es la finalidad de los datos obtenidos del/de la usuario/a. • Debe determinar el mecanismo de seguridad establecido para los/as usuarios/as, (mediante un nombre y una clave que es personal y secreta, por ejemplo). • Debe declarar el derecho de los/as usuarios/as a ejercer los derechos de acceso, rectificación, modificación y cancelación de sus datos y el mecanismo para hacerlo. • Debe hacer referencia a la cesión de los datos a terceros y garantizar el nivel de seguridad que ofrecen esos terceros. Pág 7 de 9 Regulación sobre protección de datos Agencia de Protección de Datos http://www.agpd.es Es el Ente Público encargado de velar por el cumplimiento de la legislación en materia de protección de datos personales. Como autoridad de control, configurada como un órgano que actúa con independencia de las Administraciones Públicas, es controlador y fiscalizador de la aplicación de la Ley y posee capacidad investigadora y sancionadora. La APD tiene la facultad de imponer sanciones pecuniarias, proceder a la inmovilización de ficheros e incluso iniciar actuaciones disciplinarias contra funcionarios/as públicos/as. La Agencia dispone del Registro General de Protección de Datos para velar por la publicidad de la existencia de los ficheros de datos de carácter personal y para hacer posible el ejercicio de los derechos de información, oposición, acceso, rectificación y cancelación de datos. Según la Ley, cualquier persona podrá conocer, recabando a tal fin la información oportuna del Registro, la existencia de tratamientos de datos de carácter personal, sus finalidades y la identidad del/la responsable del fichero o tratamiento. La consulta será gratuita. Pág 8 de 9 Regulación sobre protección de datos Infracciones y sanciones La LOPD contempla una larga serie de actuaciones consideradas como infracciones que pueden dar lugar a sanciones consistentes en multas elevadas. A modo de ejemplo, mencionamos algunos casos en los que habría lugar a sanción, clasificados por nivel de infracción: 1. Leves Las infracciones leves serán sancionadas con multas de 601 a 60.101 euros. Las siguientes infracciones se consideran leves: • No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda. • No solicitar la inscripción del fichero de datos de carácter personal en el registro General de Protección de datos (puede llegar a ser infracción grave). 2. Graves Las infracciones graves serán sancionadas con multas de 60.101 a 300.056 euros. Las siguientes infracciones se consideran graves: • Proceder a la creación de ficheros de titularidad privada o iniciar la recogida de datos de carácter personal con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad. • Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible. 3. Muy graves Las infracciones muy graves serán sancionadas con multa de 300.506 a 601.012 euros. Las siguientes infracciones se consideran muy graves: • La recogida de datos en forma engañosa y fraudulenta. • La comunicación o cesión de los datos de carácter personal, fuera de los casos en que están permitidas. • La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que proporcionen un nivel de protección equiparable sin la autorización del Director de la Agencia de Protección de Datos. Pág 9 de 9