Algunos interrogantes en torno a la protección de datos de carácter personal.
Algunos interrogantes en torno a la protección de datos de carácter personal.
Introducción.
La protección de la intimidad y el secreto de las comunicaciones son derechos constitucionalmente reconocidos, cuya relevancia nadie pone en duda. Se encuentran entre los considerados derechos fundamentales, en relación con los que el artículo 10.1 de la CE señala que «la dignidad de la persona, los derechos inviolables que le son inherentes, el libre desarrollo de la personalidad, el respeto a la ley y a los derechos de los demás son fundamento del orden político y de la paz social´´ y, en el artículo 18.4 de la CE se establece que «la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos´´.
En este contexto, nace la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo, la LOPD) con la finalidad garantizar una serie de derechos a las personas físicas, titulares de los datos, tales como el derecho a ser informado de cuándo y por qué se tratan sus datos de carácter personal, el derecho a acceder a los mismos y, en caso necesario, el derecho a la modificación o supresión de los éstos o el derecho a la oposición a su tratamiento.
II. Preguntas-respuesta básicas en torno a la protección de datos de carácter personal.
A continuación vamos a tratar de dar respuesta a algunos de los interrogantes más importantes que se plantean en materia de protección de datos de carácter personal:
1º) ¿EN QUÉ CONSISTE EL DERECHO FUNDAMENTAL DE PROTECCIÓN DE LOS DATOS DE CAR¡CTER PERSONAL?
El derecho fundamental a la protección de datos de carácter personal es un derecho independiente del derecho al honor y a la intimidad familiar y personal, al domicilio y a las comunicaciones; se trata de un derecho con caracteres propios, que no se presenta ya como instrumental del resto de derechos, sino como un derecho independiente, cuyo límite se encuentra, precisamente, en el juego del resto de los derechos fundamentales y bienes jurídicos constitucionalmente protegidos.
ALGUNAS DEFINICIONES B¡SICAS EN MATERIA DE PROTECCIÓN DE DATOS DE CAR¡CTER PERSONAL
Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento de los datos personales.
Afectado o interesado: persona física o titular de los datos que sean objeto del tratamiento.
Procedimiento de disociación: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada e identificable.
Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.
Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta del interesado.
Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación.
2º) ¿QUÉ DEBEMOS ENTENDER POR «DATO DE CAR¡CTER PERSONAL´´?
De acuerdo con el artículo 3.a) de la LOPD, por dato de carácter personal debemos entender «cualquier información concerniente a personas físicas identificadas o identificables´´. Más explícito es el artículo 1 del Real Decreto 1332/1994, de 20 de junio, al disponer que son datos de carácter personal «toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recogida, registro, tratamiento o transmisión concerniente a una persona física identificada o identificable´´. Este amplio concepto, permite incluir como datos de carácter personal el D.N.I. o N.I.F., los números de la Seguridad Social o de la mutualidad, el nombre y apellidos, la dirección, el teléfono, el lugar y la fecha de nacimiento, el sexo o la nacionalidad. Ahora bien, no se incluyen en este concepto los datos referidos a personas jurídicas, ya que lo que se protege con esta normativa es la intimidad y el honor de las personas físicas.
3º) ¿QUÉ SUJETOS EST¡N OBLIGADOS A CUMPLIR LA NORMATIVA SOBRE PROTECCIÓN DE DATOS DE CAR¡CTER PERSONAL?
La LOPD define, en su artículo 3.d), como sujeto al que son directamente aplicables sus disposiciones la figura del «responsable del fichero o tratamiento´´, a aquella «persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento´´, que será, en nuestro caso, el abogado o el titular del despacho profesional en cuestión. Como contraposición de esta figura aparece la del «afectado o interesado´´, que será, según el artículo 3.e) de la LOPD, aquella «persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo´´, esto es, el cliente del abogado.
¿QUIÉN ES QUIÉN EN MATERIA DE PROTECCIÓN DE DATOS DE CAR¡CTER PERSONAL?
Declarante: Es la persona física que presenta la solicitud de inscripción de los ficheros ante el RGPD, mediando entre el responsable del fichero y la AEPD, (puede coincidir con el responsable del fichero).
Encargado del mantenimiento: Sólo se habla de esta figura respecto del censo promocional, luego parece que dicho encargado sería el Instituto Nacional de Estadística y los órganos equivalentes de las Comunidades Autónomas.
Encargado del tratamiento: Es la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
Interesado o Afectado: Es la persona física titular de los datos que sean objeto de tratamiento.
Representante del responsable del tratamiento: Los responsables del tratamiento que no estén establecidos en el territorio de la Unión Europea y que utilicen en el tratamiento medios situados en territorio español, para fines distintos a los de trámite o tránsito, deben designar un representante en España. Este representante responderá por las infracciones que el responsable del fichero cometa según la legislación española, sin perjuicio de las acciones que pudieran emprenderse contra este último.
Responsable de Seguridad: Es la persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.
Responsable del fichero o del tratamiento: Es la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
Responsable del
mantenimiento: Aparece en la LOPD relacionado con el censo promocional y los listados de los Colegios Profesionales pero, también parece ser la misma persona o entidad que el responsable del tratamiento.
Titular del fichero: Parece tratarse de la misma persona que el responsable del fichero.
Usuario: Es el sujeto o proceso autorizado para acceder a datos o recursos.
Fuente: Deloitte & Touche
4º) ¿CU¡L ES EL RÉGIMEN JURÍDICO EN MATERIA DE PROTECCIÓN DE DATOS DE CAR¡CTER PERSONAL?
La columna vertebral de la regulación del derecho fundamental a la protección de datos de carácter personal está integrada por las siguientes normas:
RÉGIMEN JURÍDICO EN MATERIA DE PROTECCIÓN DE DATOS DE CAR¡CTER PERSONAL
Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas.
Directiva 95/46/CE del Parlamento y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
Directiva 97/66/CE del Parlamento Europeo y del Consejo de 15 de diciembre de 1997, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones.
Convenio 108/81/CE del Consejo, de 28 de enero, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal.
Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD)
Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal (RMS).
Instrucciones dictadas por la AEPD desde el año 1995 y los diferentes Documentos del Grupo del artículo 25 de la Directiva 95/46/CE.
5º) ¿CU¡LES PUEDEN CONSIDERARSE LOS PRINCIPIOS RECTORES EN MATERIA DE PROTECCIÓN DE DATOS DE CAR¡CTER PERSONAL?
La LOPD establece en su Título II bajo la expresión «Principios de la protección de datos´´ los siguientes apartados: a) Calidad de los datos (artículo 4 de la LOPD); b) Consentimiento del afectado (artículo 6 de la LOPD); c) Datos especialmente protegidos (artículo 7 de la LOPD); d) Datos relativos a la salud (artículo 8 de la LOPD); e) Seguridad de los datos (artículo 9 de la LOPD); « Deber de secreto (artículo 10 de la LOPD); g) Comunicación de datos (artículo 11 de la LOPD); h) Acceso a los datos por cuenta de terceros (artículo 12 de la LOPD). Ahora bien, podríamos resumir estos derechos y obligaciones en los siguientes:
PRINCIPIOS EN MATERIA DE PROTECCIÓN DE DATOS DE CAR¡CTER PERSONAL
A) Principio de finalidad y adecuación del tratamiento: cualquier sujeto, ya sea persona física o jurídica, que ocupe la posición de responsable del fichero y asuma la recogida, almacenamiento, archivo o agrupación de datos de personas físicas, deberá hacerlo en aras a una finalidad concreta, explícita y legítima, que será la que determine el tratamiento.
B) Principio de libre disposición y control sobre sus datos por el afectado: el eje central del principio de libre disposición y control de sus datos por el afectado lo encontramos en dos derechos consecutivos y complementarios: el derecho de información del interesado, que se convierte en deber ineludible del responsable del fichero; y, el del consentimiento del interesado, que constituye la autorización para realizar el tratamiento, con el contenido del que el interesado ha sido informado.
C) Principio de veracidad y exactitud de los datos: el responsable del fichero tiene la obligación de mantener los datos exactos y verdaderos en la medida en que es el propio artículo 4.3 de la LOPD el que señala que «los datos de carácter personal serán exactos y puestos al día de forman que respondan con veracidad a la situación actual del afectado´´.
D) Principio de licitud y legalidad del tratamiento: cualquier tratamiento de datos debe cumplir con las exigencias contenidas en la normativa sobre protección de datos de carácter personal, esto es, con lo previsto tanto en la LOPD como en su legislación complementaria; de ahí que sea el propio principio de licitud y legalidad del tratamiento el que nace con la finalidad de garantizar la efectividad del derecho a la protección de datos de carácter personal.
E) Principio de seguridad y confidencialidad del tratamiento: los principios de seguridad y confidencialidad del tratamiento imponen al responsable del fichero un deber de diligencia dirigido a evitar que los datos escapen de su esfera pudiendo llegar a manos de personas no autorizadas, o a perderse o destruirse.
F) Principio de control administrativo: el cumplimiento de los principios anteriormente expuestos, según se deduce del artículo 37 de la LOPD, queda en manos de la Agencia Española de Protección de Datos (AEPD), ente de derecho público, con personalidad jurídica propia y plena capacidad tanto pública como privada, que actúa con plena independencia de las Administraciones públicas en el ejercicio de sus funciones, ya que a este órgano le corresponde velar por la aplicación de la normativa y por el respeto a los derechos de los afectados por el tratamiento.
6º) ¿CU¡LES SON LOS PRINCIPALES DERECHOS QUE TIENEN LOS TITULARES DE LOS DATOS DE CAR¡CTER PERSONAL?
Los afectados o interesados por el tratamiento de sus datos, ostentan los derechos de acceso, rectificación, cancelación y oposición.
¿QUÉ DERECHOS OTORGA LA NORMATIVA DE PROTECCIÓN DE DATOS A LOS USUARIOS?
– Derecho de información. Artículo 5 LOPD.
– Necesidad de solicitud de su consentimiento. Artículo 6 LOPD.
– La impugnación de valoraciones Artículo 13 LOPD.
– Derecho de consulta al Registro General de Protección de Datos Artículo 14 LOPD.
– Derecho de acceso, rectificación y cancelación de datos Artículos 15, 16 y 17 LOPD.
– Derecho de oposición. Artículo 17 LOPD.
– Tutela de los derechos. Artículo 18 LOPD.
– Derecho de indemnización. Artículo 19 LOPD.
CARACTERES COMUNES A LOS DERECHOS DEL AFECTADO
a) Los derechos indicados son personalísimos, por lo que, en principio, solamente podrían ser ejercitados por el afectado frente al responsable del fichero.
b) Los derechos se configuran como independientes, de forma que no será necesario el ejercicio del derecho de acceso como previo al de los derechos de rectificación y cancelación.
c) Su ejercicio será gratuito, sin que quepa exigir contraprestación alguna por parte del responsable del fichero.
7º) ¿QUÉ PARTICULARIDADES PRESENTA EL DERECHO DE OPOSICIÓN?
Según el artículo 6.4 de la LOPD, «en los casos en que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá el tratamiento de los datos relativos al afectado´´.
CARACTERES DEL DERECHO DE OPOSICIÓN
Que se ejercerá en los supuestos en que el tratamiento no requiera el consentimiento del afectado.
Que se alegue un motivo fundado y legítimo, basado en una situación personal del afectado, que justifique la exclusión del tratamiento de sus datos.
Que la Ley no impida el ejercicio de este derecho.
8º) ¿ES POSIBLE LA CESIÓN DE DATOS DE CAR¡CTER PERSONAL A TERCEROS?
Sí, siempre que se cumpla con lo previsto en el artículo 11 de la LOPD, los datos objeto de almacenamiento o tratamiento sólo podrán ser comunicados o cedidos a terceros, si la cesión tiene por objeto el cumplimiento de fines directamente relacionados con las funciones de la entidad que los cede, y siempre con el previo consentimiento del afectado titular de dichos datos.
9º) ¿EN QUÉ CASOS NO ES NECESARIO PRESTAR EL CONSENTIMIENTO PARA DICHA CESIÓN?
No se hace necesario el consentimiento del afectado para la cesión de sus datos de carácter personal en los siguientes supuestos:
a) Cuando la cesión esté autorizada en una ley.
b) Cuando se trate de datos recogidos de fuentes accesibles al público.
c) Cuando la comunicación a terceros sea legítima esto es, cuando se limite a la finalidad que la justifica.
d) Cuando la comunicación o cesión de datos tenga como destinatario al Defensor del Pueblo (u órgano autonómico equivalente), al Ministerio Fiscal, a los Jueces o tribunales o al Tribunal de Cuentas (o institución autonómica con funciones análogas), en el ejercicio de sus funciones.
e) Cuando la cesión de datos se dé entre Administraciones Públicas, y tenga como finalidad el tratamiento posterior de estos con fines históricos, estadísticos o científicos.
« Cuando la cesión lo sea de datos personales relativos a la salud, y sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios de epidemias de acuerdo con la legislación sobre sanidad, ya sea autonómica o estatal.
10º) ¿QUÉ MEDIDAS DEBEN ADOPTAR LAS EMPRESAS PARA CUMPLIR CON LA LOPD?
1º) Proteger los derechos de los afectados: Disponer de los medios para que los afectados puedan ejercer sus derechos de acceso, rectificación, cancelación y oposición.
2º) Registro de ficheros: Notificar la existencia, creación y modificación de los ficheros que contengan datos de carácter personal en el Registro General de Protección de Datos
3º) Elaboración del Documento de Seguridad: Elaborar, mantener y aplicar un documento de seguridad de los datos de carácter personal.
4º) Adopción de otras medidas de seguridad: Pertinentes en función del tipo de dato de que se trate.
ADAPTACIÓN A LA LOPD EN 4 PASOS
1. Asesoramiento jurídico y diagnosis inicial de cumplimiento legal.
Asesoramiento jurídico en materia de protección de datos de carácter personal (ejecución de los derechos de acceso, cancelación, rectificación y oposición, interposición de denuncias ante la Agencia de Protección de Datos, comprobación del cumplimiento/incumplimiento de legislación vigente en materia de protección de datos de carácter personal).
Diagnosis inicial con carácter presencial para determinar el número de ficheros existentes, su clasificación en función de su contenido y finalidad.
2. Alta en el RGPD de la AEPD.
Redacción de toda la documentación necesaria para la inscripción de ficheros en el Registro General de Protección de Datos (RGPD), dependiente de la Agencia Española de Protección de Datos (AEPD).
3. Redacción y elaboración del Documento de Seguridad en cumplimiento del Reglamento de Medidas de Seguridad (RMS), para los ficheros que contengan datos de carácter personal en cualquiera de sus niveles.
Redacción del Documento de Seguridad y de las medidas de seguridad exigidas por el RMS en cualquiera de sus niveles de protección.
Establecimiento de las medidas de seguridad tanto técnicas como administrativas necesarias para garantizar la seguridad de los ficheros, los lugares de tratamiento, locales, equipos informáticos, sistemas informáticos y personas que intervengan en cualquier fase del tratamiento de los datos de carácter personal.
4. Privacidad.
Establecimiento de una adecuada Política de Privacidad para aquellas empresas que recogen datos de carácter personal en sus actividades.
11º) ¿CU¡NDO HAY QUE DECLARAR UN FICHERO QUE CONTIENE DATOS DE CAR¡CTER PERSONAL A LA AEPD Y A TRAVÉS DE QUÉ MEDIOS?
Cualquier persona o entidad que vaya a proceder a crear un fichero de datos personales ha de notificarlo de forma previa a la AEPD. Esta notificación se cursará, a través del modelo oficial, por escrito, en soporte informático o a través de la página web de la AEPD.
12º) ¿QUÉ MEDIDAS DE SEGURIDAD LAS EMPRESAS DEBEN PONER EN PR¡CTICA EN CUMPLIMIENTO DE LA LOPD?
El RMS clasifica las medidas a aplicar en tres niveles: básico, medio y alto. Dichos niveles, se establecen atendiendo a la naturaleza de la información tratada, en función de la necesidad de garantizar la confidencialidad e integridad de dicha información, esto es, el nivel de seguridad que debe guardar el responsable del fichero viene establecido en función de los datos personales objeto de tratamiento. No obstante, los niveles de seguridad regulados se entenderán como mínimos exigibles sin perjuicio de ulteriores regulaciones y de la aplicación de la legislación específica aplicable en cada materia, que puede exigir medidas adicionales.
El artículo 4 del RMS determina a qué tipo de datos corresponde aplicar cada nivel de seguridad. Así, todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico ñque será lo habitual en el caso de los despachos profesionales- Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, los ficheros relativos a solvencia patrimonial y crédito y los ficheros que contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo habrán de guardar además de las medidas de nivel básico las de nivel medio. Y por último, los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud, vida sexual, afiliación sindical así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas, deberán reunir además de las medidas de seguridad de nivel básico y medio, las de nivel alto:
1º) De nivel básico: A) Documento de seguridad (artículo 8 del RMS). A la hora de crear el documento de seguridad, es importante tener presente que este debe contener obligatoriamente los aspectos a los que se refiere el artículo 8 del RMS. Cada uno de los aspectos enumerados debe estar definido claramente dentro del documento y en lo posible se evitarán referencias a normas o procedimientos externos.B) Funciones y obligaciones del personal (artículo 9 del RMS).C) Registro de incidencias (artículo 10 del RMS).D) Identificación y autenticación (artículo 11 del RMS).E) Control de acceso (artículo 12 del RMS).F) Gestión de soportes (artículo 13 del RMS).G) Copias de respaldo y recuperación (artículo 14 del RMS).
2º) De nivel medio: además de las medidas de tipo Básico: A) Documento de seguridad (artículo 15 del RMS; B) Responsable de seguridad (artículo 16 del RMS).C) Auditoría (artículo 17 del RMS).D) Identificación y autenticación (artículo 18 del RMS).E) Control de acceso físico (artículo 19 del RMS).F) Gestión de soportes (artículo 20 del RMS).G) Registro de incidencias (artículo 21 del RMS).H) Pruebas con datos reales (artículo 22 del RMS).
3º) De nivel alto: además de las medidas de tipo Medio: A) Distribución de soportes (artículo 23 del RMS). B) Registro de accesos (artículo 24 del RMS).C) Copias de respaldo y recuperación (artículo 25 del RMS). D) Telecomunicaciones (artículo 26 del RMS).
NIVELES DE SEGURIDAD
1) NIVEL B¡SICO
TIPO DE DATOS
í¯ Nombre
í¯ Apellidos
í¯ Direcciones de contacto (tanto físicas como electrónicas)
í¯ Teléfono (tanto fijo como móvil)
í¯ Nº cuenta corriente
í¯ Otros
MEDIDAS DE SEGURIDAD OBLIGATORIAS
í¯ Documento de seguridad
í¯ Régimen de funciones y obligaciones del personal
í¯ Registro de incidenciasIdentificación y autenticación de usuarios
í¯ Control de acceso
í¯ Gestión de soportes
í¯ Copias de respaldo y recuperación
2) NIVEL MEDIO
TIPO DE DATOS
í¯ Nombre
í¯ Apellidos
í¯ Direcciones de contacto (tanto físicas como electrónicas)
í¯ Teléfono (tanto fijo como móvil)
í¯ Nº cuenta corriente
í¯ Otros
MEDIDAS DE SEGURIDAD OBLIGATORIAS
í¯ Comisión infracciones penales
í¯ Comisión infracciones administrativas
í¯ Información de Hacienda Pública
í¯ Información de servicios financieros MEDIDAS DE SEGURIDAD OBLIGATORIAS
í¯ Medidas de seguridad de nivel básico
í¯ Responsable de Seguridad
í¯ Auditoría bianual
í¯ Medidas adicionales de Identificación y autenticación de usuarios
í¯ Control de acceso físico
í¯ Medidas adicionales de gestión de soportes
í¯ Registro de incidencias
í¯ Pruebas sin datos reales
3) NIVEL ALTO
TIPO DE DATOS
í¯ Ideología
í¯ Religión
í¯ Creencias
í¯ Origen racial
í¯ Salud
MEDIDAS DE SEGURIDAD OBLIGATORIAS
í¯ Medidas de seguridad de nivel básico y medio
í¯ Seguridad en la distribución de soportes
í¯ Registro de accesos
í¯ Medidas adicionales de copias de respaldo
í¯ Cifrado de telecomunicaciones
13º) ¿QUÉ INFRACCIONES Y SANCIONES SE RECOGEN EN LA LOPD?
La LOPD, siguiendo una buena técnica legislativa, no ha tipificado ningún tipo de delito sino que ha remitido a sus sedes jurisdiccionales respectivas, penal y civil, las sanciones correspondientes a ambos tipos de responsabilidades. Así pues, quien se crea perjudicado en sus intereses por una actuación ilícita en el ámbito de la protección de datos de carácter personal y, pueda demostrar que se le ha causado un daño podrá presentar la correspondiente demanda ante la jurisdicción civil solicitando una indemnización por daños y perjuicios. De igual forma, la vulneración del derecho a la intimidad en sus aspectos más graves se remite a la sede penal y, así, es en el Código Penal donde figuran tipificados este tipo de delitos.
La LOPD establece una serie de sanciones económicas para los titulares de los ficheros para los casos en que los responsables de los mismos y los encargados de su tratamiento incurran en infracciones.
Infracción Sanción
Leve de 600 € a 60.000 €
Grave de 60.000 € a 300.000 €
Muy grave de 300.000 € a 600.000 €
14º) ¿QUÉ SUCEDE SI NO SE NOTIFICA LA CREACIÓN, MODIFICACIÓN O SUPRESIÓN DE UN FICHERO EN TIEMPO Y FORMA?
La falta de inscripción de un fichero en la AEPD constituye una falta leve, sancionable con una multa, pudiendo llegar a constituir una falta grave, si el responsable del fichero hubiera sido requerido por el Director de la AEPD para que efectuase dicha inscripción y no lo hubiera hecho o cuando no hubiera remitido a la AEPD las notificaciones de modificación de un fichero.
15º) ¿CÓMO SE ARTICULA EL PROCEDIMIENTO SANCIONADOR EN MATERIA DE PROTECCIÓN DE DATOS DE CAR¡CTER PERSONAL?
El procedimiento sancionador se iniciará mediante acuerdo de la AEPD. Siempre de oficio, por propia iniciativa o bien por denuncia de cualquier persona afectada por la conducta del responsable del fichero. En dicho acuerdo la AEPD designará un instructor y un secretario, identificándose a la persona o personas presuntamente responsables con concreción de los hechos que se le imputen, infracción a la que dan lugar y sanción que le corresponda, pudiendo incluirse en la misma, la adopción de medidas provisionales.
Dentro de los quince días siguientes a la notificación del acuerdo de incoación del expediente, el instructor ordenará de oficio la práctica de cuantas pruebas y actos de instrucción sean adecuados para esclarecer los hechos y determinar las responsabilidades susceptibles de sanción. En idéntico plazo, el presunto responsable podrá formular las alegaciones y proponer las pruebas que considere convenientes.
Transcurrido este último plazo, el instructor acordará la práctica de las pruebas que estime pertinentes, a cuyo efecto concederá un plazo de treinta días, transcurrido el cual el expediente se pondrá a disposición del presunto responsable para que, en el plazo de quince días, formule nuevas alegaciones y aporte la documentación que estime de interés en su defensa.
Finalizada la función instructora, el instructor formulará propuesta de resolución motivada en la que se incluirá la infracción y sanción a imponer y en cuantía de acuerdo a los criterios marcados en la LOPD, notificándola al presunto responsable para que en el plazo de 15 días pueda formular nuevas alegaciones si lo estima oportuno. Finalizado este plazo, la propuesta y el expediente se elevarán al Director de la Agencia de Protección de Datos, que antes de dictar resolución podrá proponer que se lleven a cabo cuantas actuaciones considere necesarias en plazo de quince días. En los diez días siguientes a la expiración de este último plazo el Director de la AEPD dictará resolución precisando los hechos imputados, la infracción cometida y precepto en el que se incluye, el responsable de la misma y la sanción impuesta, además de las medidas provisionales que considere oportunas. Esta resolución agota la vía administrativa y contra la misma se podrá interponer recurso contencioso-administrativo.
Además, según establece el artículo 49 de la LOPD, «en los supuestos, constitutivos de infracción muy grave, de utilización o cesión ilícita de los datos de carácter personal en que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que la Constitución y las leyes garantizan, el Director de la Agencia de Protección de Datos podrá, además de ejercer la potestad sancionadora, requerir a los responsables de ficheros de datos de carácter personal, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilícita de los datos´´.
En este sentido, como establece el citado artículo 49 de la LOPD, «si el requerimiento fuera desatendido, la Agencia de Protección de Datos podrá, mediante resolución motivada, inmovilizar tales ficheros a los solos efectos de restaurar los derechos de las personas afectadas´´.
III. Conclusiones finales.
ASPECTOS A RECORDAR…
1. La normativa española en materia de protección de datos de carácter personal, esto es, fundamentalmente la LOPD, es una de las normativas europeas más restrictivas y complejas en esta materia ya que, prácticamente cualquiera que desarrolle una actividad, sea cual sea, debe cumplir con la normativa vigente.
2. La complejidad y el carácter restrictivo de la LOPD implican, en ocasiones, la imposibilidad de su cumplimiento. Así, ni siquiera algo tan evidente y fácil de realizar como es la inscripción de los ficheros en el RGPD de la AEPD se efectúe, como consecuencia del desconocimiento generalizado que existe acerca de la normativa en materia de protección de datos de carácter personal.
3. La LOPD obliga a los responsables de los ficheros a la adopción de las medidas de seguridad técnicas y organizativas que correspondan al tipo de datos personales contenidos en los ficheros:
– Inscripción de los ficheros en el RGPD.
– Redacción del Documento de seguridad.
– Redacción de cláusulas de protección de datos.
– Auditoría de seguridad
– Demás medidas de seguridad de índole técnica y organizativas necesarias para garantizar la seguridad de los datos objeto de tratamiento.
– Redacción de los contratos, formularios y cláusulas necesarias para la recogida de datos, los tratamientos por terceros y las cesiones o comunicaciones de datos.
4. Se debe intentar concienciar a los interesados y/o afectados para que establezcan una política de seguridad de forma que se establezcan unos mecanismos y procedimientos mediante los cuales se salvaguarden sus sistemas informáticos y la información que en ellos se contiene.
IV. PARA SABER M¡S:
AA.VV., Guía práctica de la Ley Orgánica de Protección de datos, edición en cd-rom, Deloitte & Touche, 2002.
¡LVAREZ CIVANTOS, Oscar José, Normas para la implantación de una eficaz protección de datos de carácter personal en empresas y entidades, Editorial Comares, Granada, 2001.
CASTAÑEDA GONZ¡LEZ, Alberto, BONADEO FIOONI, Rodrigo y S¡NCHEZ ECHEVARRÍA, Jesús, Guía práctica de Protección de Datos de Carácter Personal, Ediciones Experiencia, Barcelona, 2002.
DEL PESO NAVARRO, Emilio, Ley de Protección de Datos. La nueva LORTAD, Ediciones Díaz de Santos, Madrid, 2000.
DEL PESO, E. y RAMOS, M. A., LORTAD. Reglamento de seguridad, Díaz de Santos, Madrid, 1999.
ORTEGA GIMÉNEZ, Alfonso, «La Protección de Datos de carácter personal y los Abogados en España´´ en Revista Jurídica TOGA, Número 4, 2005, Editorial Navarcorp, Pamplona, pp. 26-45.
ORTEGA GIMÉNEZ, Alfonso, «La protección de datos de carácter personal en Internet (con especial referencia a la transferencia internacional de datos)» en uaipit.com -Portal de la Universidad de Alicante sobre Propiedad Industrial e Intelectual y Sociedad de la Información-, 2003.
ORTÍ VALLEJO, Antonio y GUTIÉRREZ JEREZ, Luis Javier, Legislación sobre datos de carácter personal, Tecnos, 2º edición, Madrid, 2000.
RUIZ CARRILLO, Antonio, La protección de los datos de carácter personal, Editorial Bosch, Barcelona, 2001.
V. Enlaces web recomendados.
Agencia Española de Protección de Datos (AEPD):
http://www.agpd.es
Comisión Europea- Protección de Datos:
http://europa.eu.int/comm/internal_market/en/dataprot/index.htm
Datos personales:
http://www.datospersonales.com
Portal de la Universidad de Alicante sobre Propiedad Industrial e Intelectual y Sociedad de la Información ñUAIPIT-:
http://www.uaipit.com
...