Lo que debes saber sobre la LOPD

Introduce un texto aquí...

Conforme lo establecido en el art. 18.4 de la Constitucion Española "la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos". Para cumplir la finalidad de lo estipulado en este articulo nace la Ley Orgánica 5/1992 de Regulación del Tratamiento de Datos de Carácter Personal, 29 de Octubre del año 1992 (LORTAD), referida unicamente al soporte digital, esta vigente por un periodo de siete años en el régimen jurídico español. La Directiva 95/45/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, es traspuesta al ordenamiento nacional español mediante la Ley 10/1997, de 24 de abril, sobre derechos de información y consulta de los trabajadores en las empresas y grupos de empresas de dimensión comunitaria, dando lugar a la vigente Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, de 13 de Diciembre (LOPD), posteriormente desarrollada y complementada por el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal (RLOPD).

La LOPD, con un ámbito de aplicación más amplio que la Ley, abarcando todo tipo de soportes físicos en los que se almacenan ficheros de datos personales.

DEFINICIONES

Dato de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables.

Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.

Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento.

Encargado del tratamiento: La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.

Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

Cesión o comunicación de datos: Toda revelación de datos realizada a una persona distinta del interesado.


OBJETO DE LA LEY

La LOPD tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.

ÁMBITO DE APLICACIÓN

La LOPD es de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado, en los siguientes supuestos:

a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.

b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.

c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

Se establecen excepciones de aplicacion en el art. 2.2 de la LOPD:

a) Los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.

b) Los ficheros sometidos a la normativa sobre protección de materias clasificadas.

c) Los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia de Protección de Datos.


PRINCIPIOS DE PROTECCION DE DATOS

  • El principio de calidad de los datos: es decir, los datos recogidos han de ser los estrictamente necesarios en relación con el objeto u objetos para los que se procesen en relación con el objeto u objetos para los que se procesen. Ademas, los mismos sólo pueden ser utilizados para el fin que motive su recogida, no pudiendo destinarlos a una finalidad diferente.

  • El principio de información en la recogida de datos: El responsable del fichero debe informar a los afectados en el momento de la recogida de los datos de los siguientes puntos:

  1. Que sus datos van a ser almacenados en un fichero, la finalidad para la que se recogen y los destinatarios de la información.

  2. Si es obligatoria o no su respuesta a las distintas preguntas que se le planteen.

  3. Las consecuencias de la obtención de los datos o de su negativa a suministrarlos.

  4. La posibilidad de ejercitar sus derechos de acceso, rectificación, cancelación y oposición.

  5. La identidad y dirección del responsable del fichero.

La información que se debe facilitar a los ciudadanos será expresa, precisa e inequívoca.

  • El principio de consentimiento: La LOPD exige la prestación del consentimiento previo e inequívoco del afectado para el tratamiento de sus datos, recayendo sobre el responsable del fichero la obligación de obtener el consentimiento del interesado. La solicitud de dicho consentimiento debe ir referida a un tratamiento o serie de tratamientos concretos, delimitando la finalidad para la que se recaba, así como de las restantes condiciones que concurran en el tratamiento. Dicho consentimiento debe otorgarse de forma libre, inequívoca, específica e informada, pudiendo manifestar el consentimiento de forma expresa o tácita, si bien no podrá entenderse prestado de forma presunta. Además, recae sobre el responsable del fichero la prueba de la existencia del consentimiento del afectado.

  • El principio de datos especialmente protegidos: El tratamiento especial de determinados datos, esto es, aquellos relativos a ideología, afiliación sindical, religión o creencias, origen racial, salud y vida sexual, se constituye en un principio más del tratamiento de datos personales. Esta especial protección se fundamenta en los Artículos 10 y 16.2 de la Constitución Española y en el Convenio Europeo para la Protección de los Derechos de las Personas con respecto al tratamiento automatizado de datos de carácter personal, firmado en Estrasburgo el 28 de enero de 1981 (ratificado por España en fecha 27 de enero de 1982), y se justifica en el hecho de que, debido a la información a la que se refiere este tipo de datos, el tratamiento indebido de los mismos, además de lesionar el derecho fundamental a la protección de datos, podría dañar otros derechos fundamentales.

  • El principio de seguridad de los datos: El responsable del fichero, y, en su caso, el encargado del tratamiento, deberan adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos personales integrados en los ficheros, evitando que éstos puedan perderse, alterarse, usarse o ser accesibles por personas no autorizadas. Las medidas de seguridad se adoptarán teniendo en cuenta el estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. Las medidas de seguridad de los ficheros automatizados y no no automatizados (manuales) se regulan en el Real Decreto 1720/2007, de 21 de diciembre, que distingue entre medidas de seguridad de nivel básico, medio y alto.

  • Deber de secreto: Este deber es una obligación que corresponde al responsable del fichero, al encargado de tratamiento, si lo hubiera, y a todos aquellos que intervengan en cualquier fase de tratamiento de datos de carácter personal, manteniendose incluso una vez finalizada la relación que permitió el acceso al fichero.

  • El principio de comunicación de datos: La comunicación o cesión de datos personales tiene lugar cuando los datos del afectado o interesado se comunican a un tercero. Para que se produzca la cesión de datos personales se requiere que esta sea realizada para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario asi como el consentimiento previo del interesado. Sin embargo, existen una serie de supuestos regulados en la LOPD en relación con los cuales no es necesario el consentimiento previo citado: por un lado cuando la cesión esté autorizada por una norma con rango de ley y, por otro, cuando se traten datos recogidos de fuentes accesibles al público.

  • El principio de acceso a datos por cuenta de terceros: El acceso a datos por cuenta de terceros es el acceso permitido a terceros que no tienen la condición de responsable del fichero, usuario o interesado, sin que por ello se produzca una cesión o comunicación de datos. Es la posibilidad de que los datos personales puedan ser tratados por personas distintas de los usuarios de la propia organización del responsable del fichero, por encargo de éste., convirtiendose en este caso en encargado de tratamiento , y prestando servicios al responsable del fichero, siempre que dichos servicios tengan como objeto una finalidad lícita y legítima.

TIPOS DE DATOS Dependiendo del grado de "sensibilidad" de la información personal contenida en cada fichero, se definen tres niveles de seguridad. Cada uno de estos niveles se corresponde con la exigencia de determinadas medidas de seguridad que debe cumplir el responsable del fichero.

Básico: aplicable a todos los ficheros que contengan datos de carácter personal.

Medio: aplicable a todos los ficheros que traten datos de carácter personal y contengan información sobre infracciones administrativas o penales, o para cualquier fichero que contenga un conjunto de datos que permita definir o evaluar la personalidad de un individuo.

Alto: aplicable a todos los ficheros que traten datos de carácter personal y contengan información sobre ideología, religión, creencias, afiliación sindical, origen racial, salud, vida sexual, o con fines policiales. Se establecen excepciones en la asignación del nivel alto en función de la finalidad, permitiendo aplicar el nivel básico en los casos recogidos en el Artículo 81 del RLOPD.

El responsable de estos datos y de su tratamiento será la persona que decida sobre la finalidad, el contenido y el uso del tratamiento de los datos personales. Y por tanto será sobre quién recaerán las obligaciones establecidas por la LOPD, y quien deberá hacer que se cumpla la Ley.


MEDIDAS DE SEGURIDAD

Cada uno de los niveles descritos anteriormente se corresponde con la exigencia de determinadas medidas de seguridad que debe cumplir el responsable del fichero, diferentes en funcion de que el tratamiento de los datos sea este automatizado o no. Estas son algunas de ellas:

  • Medidas de seguridad de nivel basico:

  1. Elaboración del Documento de Seguridad.

  2. Plan de incidencias y registro de las mismas.

  3. Identificación y autentificación de los usuarios.

  4. Control de accesos.

  5. Gestión de soportes.

  • Medidas de seguridad de nivel medio:

  1. Documento de Seguridad.

  2. Responsable de seguridad.

  3. Auditorías.

  4. Identificación y autentificación de los usuarios.

  5. Diseño de sistemas de control.

  6. Gestión de soportes.

  7. Protocolos de copias de seguridad.

  8. Pruebas con datos ficticios o con altas medidas de seguridad.

  • Medidas de seguridad de nivel alto:

  1. Distribución de soportes y encriptación para transporte de datos.

  2. Copias de seguridad en lugares físicos diferentes. Cifrado.

  3. Establecimiento de mecanismos de cifrado de datos a través de las redes.


INFRACCIONES Y SANCIONES

La LOPD determina una serie de infracciones cuya comisión es sancionada con multas de cuantía variable en función del tipo de infracción en la que incurran los responsables de los ficheros o encargados del tratamiento de los datos. estos son algunos ejemplos:

  1. Infracciones leves: no remitir a la Agencia Española de Protección de Datos las notificaciones previstas en la LOPD o Reglamento de desarrollo; no solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos; el incumplimiento del deber de información a quienes se les soliciten datos personales, y la transmisión de datos a un encargado del tratamiento sin cumplir los requisitos establecidos en el art. 12 de la LOPD.

  2. Infracciones graves: tratar o recabar datos de carácter personal sin recabar el consentimiento del afectado; la vulneración del deber de guardar secreto; el impedimento u obstaculización al ejercicio de los derechos de acceso, rectificación, cancelación u oposición por parte de los afectados; la obstrucción del ejercicio de la función inspectora; o la comunicación o cesión de datos de caácter personal sin contar con legitimación para ello.

  3. Infracciones muy graves: la recogida de datos de forma engañosa o fraudulenta; la cesión de datos personales a terceros fuera de los casos permitidos por la ley; no cesar en el tratamiento ilícito de los datos cuando el responsable sea requerido para ello por el Director/a de la Agencia de Protección de Datos; o la transferencia internacional de datos con destino a paises que no proporcionen un nivel de protección equiparable sin autorización del Director/a de la AEPD.


La LOPD establece una serie de sanciones económicas para los titulares de los ficheros para los casos en que los responsables de los mismos y los encargados de su tratamiento incurran en infracciones.

  1. Las infracciones leves serán sancionadas con multas de 900 a 40.000€.

  2. Las infracciones graves serán sancionadas con multas de 40.001 a 300.000€.

  3. Las infracciones muy graves serán sancionadas con multas de 300.001 a 600.000€.

El tipo de infracción atenderá al nivel de datos afectado (básico, medio o alto).

Y la cuantía de las sanciones se graduará atendiendo a los siguientes criterios:

  • El carácter continuado de la infracción.

  • El volumen de los tratamientos efectuados.

  • La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.

  • El volumen de negocio o actividad del infractor.

  • Los beneficios obtenidos como consecuencia de la comisión de la infracción.

  • El grado de intencionalidad.

  • La reincidencia por comisión de infracciones de la misma naturaleza.

  • La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.

  • La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.

  • Cualquier otra circunstancia que sea relevante para determinar el grado de anti juridicidad y de culpabilidad presentes en la concreta actuación infractora.





¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar
Utilizamos cookies para permitir un correcto funcionamiento y seguro en nuestra página web, y para ofrecer la mejor experiencia posible al usuario.

Configuración avanzada

Puedes personalizar tus preferencias de cookies aquí. Habilita o deshabilita las siguientes categorías y guarda tu selección.