ley orgánica de protección de datos - GPD

Anuncio
L E Y O R GÁ NI CA
DE P R O TE C C I Ó N
D E D A TO S
M ÁS T E R D E F O R M A C I Ó N D E L P R O F E S O R AD O
P .I . S . A.
CU RSO 2009 - 2010
Celia Gómez Pérez, Carlos Gómez Torrijos, David Cuadrado Zurdo.
Universidad Complutense de Madrid
[email protected]¸ [email protected], [email protected].
P.I.S.A. - Ley Orgánica de Protección de Datos
1. Resumen .................................................................................................................. 3
1.1. Palabras clave.................................................................................................... 3
2. Contexto del trabajo ................................................................................................. 3
2.1. Estructura de la ley ............................................................................................ 4
2.2. Glosario de términos de la LOPD ....................................................................... 4
3. Introducción............................................................................................................. 6
4. Niveles de seguridad ................................................................................................. 7
4.1. Aplicación de los niveles de seguridad ............................................................... 7
5. La Agencia Española de Protección de Datos ........................................................... 8
6. Derechos .................................................................................................................. 8
7. ¿Cómo cumplir con la LOPD?................................................................................ 11
8. Datos y estadísticas de la LOPD............................................................................. 12
9. Casos de estudio..................................................................................................... 16
10. Conclusiones........................................................................................................ 18
11. Bibliografía .......................................................................................................... 19
2
P.I.S.A. - Ley Orgánica de Protección de Datos
1. Resumen
En este trabajo introduciremos la Ley Orgánica de Protección de Datos (en
adelante L.O.P.D.) a nivel muy básico destacando su contexto histórico, sus objetivos,
definiciones, datos y estadísticas, algunos ejemplos de sentencias y sacaremos algunas
conclusiones sobre dicha ley.
El objetivo de este trabajo es acerar un poco más al usuario de a pie la LOPD ya
que aunque muchas personas han oído hablar de ella son pocas las personas que
conocen a fondo tanto los objetivos como los términos de la propia ley.
También hablaremos de la agencia encargada de velar por el cumplimiento de la
LOPD, la Agencia Española de Protección de Datos (en adelante A.E.P.D.).
Todo ello lo haremos con un lenguaje sencillo y asequible, para todos los
públicos, evitando el farragoso lenguaje judicial y haciendo posible su total percepción
por parte del usuario.
Se ha intentado combinar la teoría de la ley con la aplicación de ejemplos de la
misma para intentar facilitar aún más al usuario su comprensión.
1.1. Palabras clave
- L.O.P.D.
- Datos de carácter personal.
- Derechos.
- Obligaciones.
- Protección de datos.
2. Contexto del trabajo
Este trabajo trata sobre la Ley Orgánica de Protección de Datos de Carácter
Personal (en adelante LOPD) que se introdujo en España el 13 de diciembre de 1999.
Dicha ley surge debido al irresponsable uso de los datos personales por parte de
las empresas ya que la informatización de nuestros datos personales es hoy en día
habitual, debido al rápido avance de las tecnologías.
Las telecomunicaciones actuales permiten una comunicación fácil y rápida entre
las empresas, facilitando el transporte de información entre unas y otras. En muchos
casos esto se realizaba sin el consentimiento de las propias personas, dueñas de los
datos.
Así nace la LOPD que tiene por objeto proteger y garantizar las libertades y los
derechos fundamentales de las personas físicas, su honor e intimidad personal y
familiar.
3
P.I.S.A. - Ley Orgánica de Protección de Datos
2.1. Estructura de la ley
La Ley comprende un total de 49 artículos divididos en 7 Títulos y finaliza con
una serie de disposiciones. Su estructura es la siguiente:
Título I. Disposiciones Generales.
Título II. Principios de la Protección de Datos.
Título III. Derechos de las Personas.
Título IV. Disposiciones Sectoriales.
Capítulo I. Ficheros de Titularidad Pública.
Capítulo II. Ficheros de Titularidad Privada.
Título V. Movimiento Internacional de Datos.
Título VI. Agencia Española de Protección de Datos.
Título VII. Infracciones y Sanciones.
6 Disposiciones Adicionales.
3 Disposiciones Transitorias.
1 Disposición Derogatoria.
3 Disposiciones Finales.
2.2. Glosario de términos de la LOPD
RMS: Abreviatura con que se nombra habitualmente al Reglamento de Medidas
de Seguridad.
AEPD: Nombre con el que familiarmente se conoce a la Agencia de Protección
de Datos.
Dato de carácter personal: Cualquier información concerniente a personas físicas
identificadas o identificables.
Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que
fuere la forma o modalidad de su creación, almacenamiento, organización y
acceso.
Tratamiento de datos: Operaciones y procedimientos técnicos de carácter
automatizado o no, que permitan la recogida, grabación, conservación,
elaboración, modificación, bloqueo y cancelación, así como las cesiones de
datos que resulten de comunicaciones, consultas, interconexiones y
transferencias.
Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza
pública o privada, u órgano administrativo, que decida sobre la finalidad,
contenido y uso del tratamiento.
4
P.I.S.A. - Ley Orgánica de Protección de Datos
Afectado o interesado: Persona física titular de los datos que sean objeto del
tratamiento.
Procedimiento de disociación: Todo tratamiento de datos personales de modo
que la información que se obtenga no pueda asociarse a persona identificada o
identificable.
Encargado del tratamiento: La persona física o jurídica, autoridad pública,
servicio o cualquier organismo que, solo o conjuntamente con otros, trate datos
personales por cuenta del responsable del tratamiento.
Consentimiento del interesado: Toda manifestación de voluntad, libre,
inequívoca, específica e informada, mediante la que el interesado consienta el
tratamiento de datos personales que le conciernen.
Cesión o comunicación de datos: Toda revelación de datos realizada a una
persona distinta del interesado.
Fuentes accesibles al público: Aquellos ficheros cuya consulta puede ser
realizada por cualquier persona, no impedida por una norma limitativa, o sin más
exigencia que, en su caso, el abono de una contraprestación. Tienen
consideración de fuentes de acceso público, exclusivamente, el censo
promocional, los repertorios telefónicos en los términos previstos por su
normativa específica y las listas de personas pertenecientes a grupos de
profesionales que contengan únicamente los datos de nombre, título, profesión,
actividad, grado académico, dirección e indicación de pertenencia al grupo.
Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y
Boletines oficiales y los medios de comunicación.
5
P.I.S.A. - Ley Orgánica de Protección de Datos
3. Introducción
La LOPD se engloba dentro las leyes similares según la siguiente tabla:
El objetivo de la Ley Orgánica es la protección de los datos de carácter personal.

Los datos de carácter personal NO PODRÁN USARSE para finalidades
distintas de aquellas para las que hayan sido recogidos (Art. 4 LOPD).
o Ejemplos:
 La entrega de datos en la Administración para ayudas,
subvenciones y becas:
- En la Administración se deben entregar una serie de
datos para que los empleados puedan solicitar ayudas,
subvenciones y becas. Estos datos también están protegidos por la
Ley. Estos datos solamente se pueden utilizar para dicho fin.
 La entrega de datos en sorteos:
- Estos datos sólo se pueden utilizar para sorteos, salvo
que se indique otra cosa.
 La entrega de datos en empresas:
- Entrega de currículum en las empresas, bolsas de trabajo
(incluyendo hacerlo a través de Internet), etc.

Medidas de protección estrictas para los datos clasificados como especiales:
SALUD, ORIGEN RACIAL O ÉTNICO, VIDA SEXUAL, IDEOLOGÍA,
AFILIACIÓN SINDICAL, RELIGIÓN O CREENCIAS (Art.7.2 y 3 LOPD).
o Ejemplos:
 Datos especialmente protegidos:
o El uso de datos de salud en el trabajo: Los datos relativos
a las bajas médicas son datos especialmente protegidos y
totalmente confidenciales. No se pueden divulgar sin el
expreso consentimiento de la persona.
o Historial médico: Los historiales médicos son datos
también especialmente protegidos y totalmente
confidenciales. Ya se han dado casos de hospitales en los
6
P.I.S.A. - Ley Orgánica de Protección de Datos

que han desaparecido los historiales de los enfermos de
SIDA y hepatitis B, pudiendo verse seriamente
perjudicadas las personas incluidas en esas listas. No se
puede discriminar a una persona, según la Constitución,
por datos de salud.
OBLIGATORIEDAD DEL SECRETO PROFESIONAL referente a la
utilización de datos de carácter personal (Art.10 LOPD).
o Ejemplos:
 Obligatoriedad del secreto profesional:
o El uso fraudulento de los datos personales a los que se
tiene acceso durante el ejercicio de la actividad
profesional La cartera de clientes de las empresas son un
bien muy preciado y que se debe proteger, evitando el
espionaje industrial. Se sabe que hasta la existencia de la
LORTAD, los propios empleados vendían estas listas al
mejor postor, dejando indefenso al dueño de los datos y
dañando a la propia empresa. El uso fraudulento de los
datos de los empleados de la Administración, al no tener
su consentimiento, está penalizado por la Ley.
4. Niveles de seguridad
Las medidas de seguridad exigibles se clasifican en tres niveles: básico, medio y
alto.
Dichos niveles se establecen atendiendo a la naturaleza de la información
tratada, en relación con la mayor o menor necesidad de garantizar la confidencialidad y
la integridad de la información.
4.1. Aplicación de los niveles de seguridad
1.- Todos los ficheros que contengan datos de carácter personal deberán adoptar
las medidas de seguridad calificadas como de nivel básico.
2.- Los ficheros que contengan datos relativos a la comisión de infracciones
administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros
cuyo funcionamiento se rija por el articulo 28 de la Ley Orgánica 5/1992, deberán
reunir, además de las medidas de nivel básico, las calificadas como de nivel medio.
3.- Los ficheros que contengan datos de ideología, religión, creencias, origen
racial, salud o vida sexual así como los que contengan datos recabados para fines
policiales sin consentimiento de las personas afectadas deberán reunir, además de las
medidas de nivel básico y medio, las calificadas como de nivel alto.
4.- Cuando los ficheros contengan un conjunto de datos de carácter personal
suficientes que permitan obtener una evaluación de la personalidad del individuo
deberán garantizar las medidas de nivel medio establecidas en los artículos 17, 18, 19 y
20.
7
P.I.S.A. - Ley Orgánica de Protección de Datos
5.- Cada uno de los niveles descritos anteriormente tienen la condición de
mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias
específicas vigentes.
5. La Agencia Española de Protección de Datos
La Agencia Española de Protección de Datos (en adelante AEPD) es el órgano
de control del cumplimiento de la normativa de protección de datos dentro del territorio
español con carácter general, existiendo otras Agencias de Protección de Datos de
carácter autonómico, en las Comunidades Autónomas de Madrid, Cataluña y en el País
Vasco.
Sus funciones son:
 Velar por el cumplimiento de la legislación sobre protección de datos y
controlar su aplicación, en especial en lo relativo a los derechos de
información, acceso, rectificación, oposición y cancelación de datos.

Atender las peticiones y reclamaciones efectuadas por las personas afectadas

Proporcional información a las personas acerca de sus derechos en materia
de tratamiento de los datos de carácter personal.

Requerir a los responsables y los encargados de los tratamientos, previa
audiencia de éstos, la adopción de las medidas necesarias para la adecuación
del tratamiento de datos a las disposiciones de la LOPD y, en su caso,
ordenar la cesación de los tratamientos y la cancelación de los ficheros,
cuando no se ajusten a sus disposiciones.

Ejercer la potestad sancionadora.
6. Derechos
Cualquier persona tiene derecho a:
1. Solicitar y obtener información de sus datos de carácter personal ante cualquier
empresa u organismo (derecho de acceso).
Ejemplo:
 Cómo solicitar información de sus datos personales ante
cualquier empresa u organismo:
En la página web de la Agencia de Protección de Datos
(AEPD), se facilitan unos modelos de cartas para poder
hacer una solicitud de información ante cualquier empresa
u organismo. http://www.agenciaprotecciondatos.org
Este es un derecho de todas las personas, y las empresas y
organismos están obligados a facilitar dicha información
en un plazo máximo de 10 días. De esta forma podremos
saber si una empresa tiene nuestros datos personales y
cuáles son.
8
P.I.S.A. - Ley Orgánica de Protección de Datos
2. Todas las personas tienen derecho a Rectificar y Cancelar sus datos de carácter
personal (derecho de rectificación y cancelación).
Ejemplo:
 Rectificar los datos personales:
En todas las empresas y organismos debe existir un
procedimiento claro de cómo se pueden rectificar los datos
personales.

Rectificación de datos de empleados:
Todos los empleados deben conocer cómo y a quién
dirigirse para poder cambiar sus datos personales.

Rectificación de datos de clientes:
Normalmente en estos casos suele existir un Call-center
que atienda las llamadas de los clientes. Existirá un
número de teléfono específico para poder realizar los
cambios en los datos personales.
3. Oponerse al envío de publicidad (derecho de oposición).
Ejemplos:
 La recepción o envío de publicidad no solicitada:
En los extractos bancarios, es muy habitual encontrar
publicidad de todo tipo de artículos, desde cadenas de
música, hasta automóviles, que podemos adquirir con unas
condiciones determinadas.
La dirección de correo electrónico también es un dato de
carácter personal protegido por la Ley. No se puede
utilizar esta dirección para envío de publicidad o
información no solicitada o autorizada por su dueño.

La Ley de Protección de Datos especifica que cualquier
persona puede oponerse al envío de publicidad, de forma que
si usted da aviso al banco para no recibir publicidad sino tan
sólo la información estrictamente bancaria, éste debe
respetarlo. Si no respeta su petición, la Agencia de Protección
de Datos (AEPD) se encargará de cursar la sanción
correspondiente.

Lista Robinson:
En la agrupación de empresas de marketing existe una
lista, la lista Robinson, en la que están recogidos los datos
de todas aquellas personas que no desean recibir ningún
tipo de publicidad. Toda empresa u organismo debe
conocer esta información, solicitando esta lista mediante
una suscripción.
4. Tiene derecho a una indemnización en caso de incumplimiento de la ley
(derecho de indemnización).
9
P.I.S.A. - Ley Orgánica de Protección de Datos
Ejemplo de comunicación entre una empresa y un cliente:
Los servicios del portal www.XXXXXXXXXX.com que le prestaba
YYYYYYYYYY, S.L. van a ser prestados por la sociedad ZZZZZZZZZZZ, S.L.
desde la misma página web. Por tanto, la relación contractual que actualmente
mantiene con la antigua propietaria, YYYYYYYYYY, S.L. va a concluir,
comenzando una nueva relación entre usted y ZZZZZZZZZZ, S.L. sujeta a los
mismos términos y condiciones que la anterior. Siempre y cuando nos otorgue su
consentimiento.
En cumplimiento de las disposiciones establecidas en Ley Orgánica de Protección
de Datos de Carácter Personal (LOPD) y las demás disposiciones aplicables, se le
comunica que se va a proceder a la cesión de sus datos personales a la mercantil
YYYYYYYYYY, S.L,. pasando sus datos a formar parte de un fichero
automatizado titularidad de la misma, y siendo tratados por la mercantil de
conformidad con la legislación vigente en materia de protección de datos.
A los efectos de obtener el consentimiento de los usuarios a la cesión de datos antes
referida, por la presente, y de conformidad con lo dispuesto en el artículo 14.2 del
RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de
desarrollo de la LOPD, se le informa de que dispone de un plazo de 30 días a contar
desde la recepción de la presente comunicación, para manifestar su negativa a la
cesión de datos, mediante la remisión de un escrito indicando sus datos
identificativos y su negativa a la cesión, en el plazo indicado y por medio de correo
contra reembolso o por medio de correo electrónico a la dirección
[email protected].
En caso de que en el referido plazo no se reciba ninguna comunicación en sentido
negativo por parte del usuario, se entenderá que presta el consentimiento tácito
previsto en la normativa, y por tanto transcurrido dicho plazo se procederá
automáticamente a la cesión de sus datos a la mercantil YYYYYYYYYY, S.L.
sirviendo esta la presente como comunicación de la primera cesión de datos a la
mercantil YYYYYYYYYY, S.L.con domicilio sito en C/ AAAAAA, nº X,
Polígono Industrial CCCCC, 00000 HHHH (FFFFF), a los efectos del artículo 27 de
la
LOPD.
Para el ejercicio de los derechos de acceso, impugnación, rectificación y/o
cancelación de datos de carácter personal que se contengan en el nuevo fichero
automatizado titularidad de YYYYYYYYYY, S.L., deberán contactar con nosotros
a través de comunicación escrita a la dirección del responsable del fichero, C/
AAAAAA, nº X, Polígono Industrial CCCCC, 00000 HHHH (FFFFF), o por
cualquier otro medio que nos permita reconocer la identidad del Usuario.
10
P.I.S.A. - Ley Orgánica de Protección de Datos
7. ¿Cómo cumplir con la LOPD?
Para cumplir la LOPD y llevar a cabo acciones de prevención ES NECESARIO
realizar un análisis del riesgo en la organización. Se deben considerar: el sector al que
pertenece, los tratamientos que realiza cada departamento, los conocimientos de LOPD
por parte de los responsables, y por supuesto, la sensibilización del personal.
Sin duda, son elementos clave a la hora de prevenir el incumplimiento de la ley:
incidir en la gestión de la LOPD en la organización, incidir en la sensibilización y
responsabilidad de las personas con acceso a datos personales e incidir en acciones
preventivas para evitar sanciones.
Se debe formar y sensibilizar a todos y cada uno de los miembros de la empresa u
organización, mediante la divulgación de las obligaciones del Responsable de Fichero a
través del organigrama de la organización:
• Responsables de Recursos Humanos
• Responsables de Seguridad y Salud laboral
• Responsables de marketing, comercial o publicidad
• Responsables de los Sistemas de Información
Es decir, se debe proceder a la sensibilización de todo el personal con acceso a datos
personales.
Para ello, se debe disponer de una infraestructura organizativa de cumplimiento de la
LOPD tal que cuente con un responsable de Seguridad, un Comité de Seguridad (según
tamaño y complejidad de la organización).
Y se ha de disponer de procedimientos de actuación de manera que aseguren el
cumplimiento de las obligaciones en tanto que responsables de fichero, así se
asegurarán el cumplimiento de los derechos de los afectados. Hay que ajustarse a los
procedimientos obligatorios en el reglamento.
Se deben realizar Revisiones periódicas y actualizaciones del Documento de
Seguridad.
Auditorías centradas en el cumplimiento de la ley y del reglamento.
Disponer de un plan de mejora como consecuencia de la auditoria que incluya la
priorización de las acciones según el riesgo de sanción, el sector al que pertenece y los
tratamientos que realiza la organización.
En definitiva, se debe trabajar con BUENAS PRÁCTICAS.
11
P.I.S.A. - Ley Orgánica de Protección de Datos
8. Datos y estadísticas de la LOPD
¿A cuánto puede remontar una sanción que impone la LOPD?
Existen 3 tipos de sanciones cuya cuantía se gradúa atendiendo a la naturaleza
de los derechos personales afectados, al volumen de los tratamientos efectuados, a los
beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y
perjuicios causados a las personas interesadas y a cualquier otra circunstancia que sea
relevante para determinar el grado de culpabilidad.
Son infracciones leves: Sanciones entre 601,01€ y 60.101,21€




No solicitar la inscripción del fichero en la AEPD.
Recopilar datos personales sin informar previamente
No atender a las solicitudes de rectificación o cancelación
No atender las consultas por parte de la AEPD.
Son infracciones graves: Sanciones entre 60.101,21€ y 300.506,25€









No inscribir los ficheros en la AEPD.
Utilizar los ficheros con distinta finalidad con la se crearon.
No tener el consentimiento del interesado para recabar sus datos personales
No permitir el acceso a los ficheros.
Mantener datos inexactos o no efectuar las modificaciones solicitadas
No seguir los principios y garantías de la LOPD
Tratar datos especialmente protegidos sin la autorización del afectado
No remitir a la AEPD las notificaciones previstas en la LOPD.
Mantener los ficheros sin las debidas condiciones de seguridad.
Son infracciones muy graves: Sanciones entre 300.506,25€ y 601.012,1€










Crear ficheros para almacenar datos que revelen datos especialmente
protegidos.
Recogida de datos de manera engañosa o fraudulenta.
Recabar datos especialmente protegidos sin la autorización del afectado.
No atender u obstaculizar de forma sistemática las solicitudes de cancelación
o rectificación.
Vulnerar el secreto sobre datos especialmente protegidos.
La comunicación o cesión de datos cuando ésta no esté permitida.
No cesar en el uso ilegítimo a petición de la AEPD.
Tratar los datos de forma ilegítima o con menosprecio de principios y
garantías que le sean de aplicación.
No atender de forma sistemática los requerimientos de la AEPD.
La transferencia temporal o definitiva de datos de carácter personal con
destino a países sin nivel de protección equiparable o sin autorización
12
P.I.S.A. - Ley Orgánica de Protección de Datos
Estadísticas:
Informe de la Agencia Española de Protección de Datos (AEPD) sobre sanciones
en 2008:
En 2008, se realizaron 2.362 denuncias de las cuales, destacaron un total de 630
procedimientos sancionadores, casi un 58% más que en 2007, y de ellos, 535
terminaron en multa (un 22,5%), por un importe total de 22,6 millones de euros. Esta
cantidad supuso un incremento de un 15% respecto al año anterior (2007).
Los tipos de sanciones fueron el 18% leves, el 75% graves y el 7% muy graves.
En 2008 se atendieron 1.229 tutelas de derechos (hechos denunciados ante la AEPD) lo
que supuso un incremento del 44% respecto al año anterior. El número de consultas
aumentó un 52,17%
A continuación se muestra un cuadro con los sectores más sancionados generalmente y
el tipo de denuncia más frecuente por la que se sancionan:
13
P.I.S.A. - Ley Orgánica de Protección de Datos
Algunos datos relevantes de 2008:
NÚMERO DE RECLAMACIONES (2008)
Lugar
Sector de actividad económica
Procedimientos resueltos
1
Telecomunicaciones
454
2
Entidades Financieras
382
3
Video-vigilancia
365
NÚMERO DE SANCIONES POR SECTORES (2008)
Lugar
Sector de actividad económica
Procedimientos
resueltos
1
Telecomunicaciones
190
2
Entidades Financieras
111
3
Comunicaciones electrónicas y
spam
39
4
Comercio, transporte y hostelería
31
5
Video-vigilancia
27
14
P.I.S.A. - Ley Orgánica de Protección de Datos
Ranking de sanciones en 2009 (datos hasta Septiembre):
Empresas más sancionadas durante el 2009:
La empresa sancionada con la cuantía más elevada en una multa hasta el
momento ha sido “Saberlotodo” Internet S.L. con 360.607,32 €. 1
1
Sentencia:http://212.170.244.21/portalweb/resoluciones/procedimientos_sancionadores/ps_2007/common/pdfs/PS-000392007_Resolucion-de-fecha-10-08-2007_Art-ii-culo-6.1-LOPD.pdf
Comparativa 2008-2009:
Concluyendo, vemos que el origen de las sanciones depende mayoritariamente de los
tratamientos siguientes:
1. Inclusión en Fichero de morosos (art. 29 RLOPD, sector financiero)
2. Calidad de datos: regida de datos desleal, mantener los datos inexactos, no
cancelar los datos debidamente (sector telecomunicaciones y otros sectores).
3. Consentimiento: falta de consentimiento previo o falta de consentimiento en
la cesión o comunicación de datos (varios sectores).
15
P.I.S.A. - Ley Orgánica de Protección de Datos
4. Publicidad: envío de spam, recepción de publicidad sin consentimiento
(varios sectores)
5. Deber de secreto: revelación de información por parte de personal de la
organización (varios sectores).
6. Seguridad de los sistemas: ataques informáticos, intrusismo, pérdida de
información…
7. Video-vigilancia: falta de información y/o consentimiento (varios sectores).
9. Casos de estudio
Vamos a estudiar la ley y algún cambio producido en la misma, como
consecuencia de las nuevas situaciones que se producen y de las incidencias observadas
en el día a día; para proceder más tarde a ver ejemplos más concretos ó casos de
estudio:
La responsabilidad de los grupos de empresas y la LOPD. Informe 0498/2008
Todas las empresas de un grupo, en cualquiera de las formas de relación
mercantil que mantengan, deben cumplir la LOPD.
Todo NIF tiene una responsabilidad legal de cumplimiento de la LOPD
independientemente de las relaciones fiscales, mercantiles e internacionales que pudiera
tener.
Veamos un paradigma de reparto de responsabilidades
empresas/compañías en cuanto a datos personales:
entre
dos
Responsable de Fichero vs Responsable de Tratamiento
Supongamos la siguiente situación de ejemplo:
Un corredor de seguros extingue unilateralmente su contrato con una empresa
aseguradora, que es la responsable del fichero. El corredor de seguros es, sin embargo,
el responsable de tratamiento de los datos.
La cuestión que se plantea es: ¿Puede tratar los datos de las pólizas de sus clientes?
De acuerdo a la LOPD, debe cancelar sus datos pero significaría la esclavitud
frente a las empresas aseguradoras y la imposibilidad de atender a sus clientes.
Según informe 0463/2009 la solución está en que el corredor de seguros asuma las
obligaciones como Responsable de Fichero y gestione el consentimiento de sus clientes.
Y por último, veamos una cuestión sobre la video-vigilancia y el cambio en la ley
que se ha llevado a cabo respecto a este tema:
Hasta ahora era necesario que la instalación de las videocámaras y sistemas de
vigilancia fueran realizadas por una empresa de seguridad.
A partir de 27 de diciembre de 2009 con la ley 25/2009 49, (Conocida como ley
Ómnibus) la instalación puede realizarla cualquier empresa siempre y cuando no
implique conexión con central de alarma.
16
P.I.S.A. - Ley Orgánica de Protección de Datos
Cambios en las leyes y actualizaciones de las mismas se producen diariamente
en cuanto a protección de datos se refiere. Los ejemplos anteriores son sólo tres
pequeñas muestras de cambios recientes en la legislación.
Ejemplos de sanciones aplicadas:
Existen desde casos de sanciones mínimas a pequeñas empresas hasta casos de
sanciones de elevado coste a pagar por infracciones que se consideran muy graves. Para
comenzar, vamos a detallar una sanción considerada como infracción grave:
Título de la sentencia
Sanción protección de datos.
Año de la sentencia
Madrid, a doce de julio de dos mil seis.
Exposición de los hechos
Un Colegio Profesional de Fisioterapeutas suscribe con una escuela de
osteopatía un convenio por el que le cede a ésta etiquetas con el nombre y dirección de
sus colegiados para que esa escuela les pueda remitir a estos cursos sobre osteopatía.
Leyes aplicadas
Artículo 11 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de
Datos de Carácter Personal (en adelante LOPD), tipificada como infracción muy grave
en el artículo 44.4.b de dicha norma, de conformidad con lo establecido en el artículo
45 de la citada Ley Orgánica
La resolución recurrida considera tal conducta una cesión sin consentimiento del art.11
de la LOPD, calificándola como falta muy grave del art. 44.b) de dicho texto legal; si
bien se aminora la sanción en aplicación del art.45.5 de la misma norma.
Resultado
La sentencia confirma la legalidad del acto recurrido. Partiendo de que no se
discute la cesión de esos datos de los colegiados a un tercero, sin embargo no se ha
acreditado que los mismos hayan autorizado de forma inequívoca esa cesión, pues el
documento de inscripción colegial sólo autorizaba al Colegio para la utilización por éste
de sus datos para temas de fisioterapia, pero no para cederlos a terceros. Por otro lado,
el convenido suscrito no contiene de forma expresa los requisitos del art.12 de la LOPD.
Finalmente, se confirma la culpabilidad del colegio recurrente en la infracción que se le
imputa que además se ha visto atenuada de forma cualificada con la aplicación del
indicado art.45.4 de la LOPD.
Se le impone a dicha entidad una sanción de 60.101,21 euros.
La ley es dura con este tipo de actos y cada día, está siendo más rigurosa en
cuanto su aplicación.
Por otro lado, nos encontramos con casos más comunes en los que la infracción
de la ley es un delito leve, como es este caso que fue publicado en la prensa escrita:
17
P.I.S.A. - Ley Orgánica de Protección de Datos
Multa de 600 euros por dejar a la vista 42 direcciones de correo electrónico
“Cuidado al mandar mensajes masivos: utiliza el campo CCO”
ELPAIS.com - Madrid - 23/02/2007
En este caso, la sanción se debe a que no se trataba de un uso doméstico o
personal del correo, sino que su fin era básicamente lucrativo en tanto que se enviaba un
mensaje promocional de telefonía móvil por encargo de una pequeña empresa conocida
como La Cremallera, que estaba llevando a cabo una campaña para Vodafone.
Uno de los destinatarios de este mensaje sintió que se violaba su intimidad al exponer su
dirección por no haber sido utilizada la opción de copia oculta (CCO). 1
1
Remitirse a http://www.elpais.com/articulo/internet ... unet_3/Tes
Estos son dos simples ejemplos entre los cientos de ellos que se pueden
encontrar cada día en Internet, y que abarcan desde las empresas privadas hasta las
instituciones públicas; desde las más pequeñas a las mayores Compañías y Empresas,
desde una PYME, hasta una gran multinacional. Hay que ser conscientes de que esta ley
nos protege como usuarios en todo ámbito y debemos hacer uso de nuestros derechos y
obligaciones al respecto.
10. Conclusiones
Pese a las infinitas posibilidades que ofrece Internet como infraestructura
económica y cultural para facilitar muchas de las actividades humanas y contribuir a
una mejor satisfacción de nuestras necesidades y a nuestro desarrollo personal, el uso de
Internet también conlleva riesgos.
El avance vertiginoso de la tecnología hace que, por ejemplo, los peligros para
nuestra privacidad sean cada vez más sofisticados e invisibles, hasta tal punto que se
hacen muy difíciles de detectar para la mayoría de usuarios. El uso indiscriminado de
datos personales de usuarios por las empresas, etc. es una práctica muy habitual en los
últimos tiempos; y cada vez más se está logrando con mayor éxito la persecución de
esta violación de privacidad.
Como muestra de la importancia que se está dando (y se le debe de dar) a la
protección de datos, cabe destacar que el Consejo de Europa estableció el 28 de enero
de 2007 como primera jornada dedicada a asuntos vinculados a la privacidad
informática y la protección de datos, y la fecha se volvió un evento anual al que se
unieron en 2008 Estados Unidos y Canadá.
Ante la gravedad de estos riesgos y la relativa novedad que supone Internet en
nuestra sociedad para la mayor parte de los ciudadanos, entendemos que deberían
hacerse campañas informativas a nivel nacional a través de todos los medios de
comunicación.
Al mismo tiempo debe seguir desarrollándose la legislación que regule el uso de
Internet y las medidas policiales dirigidas a la captura de los delincuentes del
ciberespacio. Y desde luego, comercios, gobiernos y organizaciones deben involucrarse
en el tema enseñando a los usuarios de computadoras a proteger su información en
línea, fomentando políticas de salvaguardia de la privacidad.
18
P.I.S.A. - Ley Orgánica de Protección de Datos
11. Bibliografía
http://www.juntadeandalucia.es/empleo/raute/lopd/curso/lopd/quees.htm
BOE
http://www.inter-ius.com/html/modules/news/index.php?storytopic=2 casos reales
http://www.arcanumdata.com/ley-proteccion-datos/ley-proteccion-de-datos_lopd.htm
http://es.wikipedia.org/wiki/LOPD
http://www.lopd-proteccion-datos.com/sanciones-lopd.php
http://jurisprudencia.vlex.es/vid/11-lopd-45-5-12-as-4-24301854#ixzz0dc8HaHFA
http://dialnet.unirioja.es/servlet/articulo?codigo=2937324
http://www.emagister.com/de-8-12-anos-que-peligros-beneficios-tiene-internet-paraninos-cursos-314246.htm#programa
Ley Orgánica de Protección de Datos (Trabajo de Andrés, C. y Núñez, M).
Real Decreto 994/1999 del 11 de Junio.
19
Descargar