Nota Informativa 2/2016. LOPD Obligaciones. Día Europeo de la Protección de Datos (II)
Día Europeo de la Protección de Datos (II)
Hoy, 28 de enero, es el día de la Protección de Datos en Europa y se trata de una jornada impulsada por la Comisión Europea, el Consejo de Europa y las autoridades de Protección de Datos de los estados miembros de la Unión Europea, con el objetivo de promover el conocimiento entre los ciudadanos acerca de cuáles son sus derechos y responsabilidades en materia de protección de datos.
Con motivo de este día, queremos aprovechar para recordar cuales son las medidas que debe adoptar toda persona física o jurídica que trate datos personales, y que vienen impuestas por la Ley Orgánica de Protección de Datos.
- Nivel de seguridad: Lo primero es determinar qué tipo de datos se tratan, ya que éstos determinarán el nivel de seguridad exigible: básico, medio o alto. Atendiendo nivel de seguridad aplicable, se aplicarán unas medidas de seguridad u otras, aunque las del nivel básico serán aplicables a todos los niveles.
- Inscripción de ficheros en el Registro de la Agencia Española de Protección de Datos: se deberán inscribir todos los ficheros que contengan datos de carácter personal y su incumplimiento puede conllevar una sanción, aunque sea leve, de entre 900 y 40.000 euros.
- Elaboración del Documento de Seguridad: dicho documento contiene todas las medidas de seguridad, técnicas y organizativas, para garantizar la seguridad de los datos. Las medidas de seguridad serán distintas en función de los datos tratados.
- Consentimiento y deber de información para el tratamiento de datos: la regla general es la obtención del consentimiento previo para el tratamiento de los datos del cliente, aunque existen excepciones como son la existencia de precontratos o una relación negocial. No obstante, de lo que no está exento el responsable del tratamiento es informar sobre la existencia de un fichero, de sus derechos, de la identidad del responsable y del destino de sus datos.
- Calidad de los datos: el tratamiento y recogida de datos debe adecuarse al principio de calidad. Es decir, el responsable deberá cumplir unos requisitos:
- Se prohíbe la recogida de datos por medios fraudulentos o ilícitos.
- Los datos deben recogerse para unos fines concretos, y no podrá utilizarse para un fin distinto del que se le ha informado al interesado.
- Los datos recogidos deben ser proporcionados con la finalidad concreta.
- Los datos deben ser exactos.
- Derechos ARCO: se deberá establecer un procedimiento para que los interesados puedan ejercer sus derechos de acceso, rectificación, cancelación y oposición. Además, se deberá hacer un seguimiento sobre estos procedimientos ya que su incumplimiento u obstaculización suponen una infracción grave que puede alcanzar los 300.000 euros.
- Acceso a datos por cuenta de terceros: cuando un tercero tenga que tener acceso, para un fin concreto, a los datos personales que se tengan en poder, deberá estar, obligatoriamente, regulado en un contrato por escrito.
- Envío de publicidad: para el caso de las compañías que envíen publicidad a sus clientes, será necesario contar con el consentimiento de éstos. No obstante, existen excepciones y será distintos si la publicidad se envía por email o por vía postal.
- Página web: si la empresa cuenta con una página web deberá adaptarla a la Ley Orgánica de Protección de Datos y a la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico, incluyendo los textos legales que se exigen por ley.
- Auditoria: esta obligación sólo viene impuesta a aquellos ficheros de nivel medio y alto, y deberá hacerse cada dos años. Esta auditoría consiste en verificar el cumplimiento de las medidas de seguridad de los datos.
Las medidas aquí expuestas son las que toda empresa debe implementar para cumplir con la Ley Orgánica de Protección de Datos y que, a pesar de ser un gran desconocido para muchos, cada vez son más las empresas y particulares los que se interesan por conocer cuáles son sus obligaciones y también sus derechos.
Marina Balduz
Abogada