 |
|
|
| |
|
|
 |
| |
|
|
| |
| |
1- ¿Qué obligaciones, de
forma resumida, tiene un empresario en
materia de protección de datos?
|
|
|
|
Depende en gran medida
del número de ficheros de datos
de carácter personal que el empresario
tenga y del grado de sensibilidad de
los mismos (no es lo mismo un dato que
haga referencia a los nombres y apellidos
que los datos referentes a la afiliación
sindical y/o bajas laborales producidas).
De forma resumida, las obligaciones
son las siguientes:
|
|
|
|
•
|
Inscribir
los ficheros en la Agencia de Protección
de Datos. |
|
•
|
Solicitar
el consentimiento de los interesados
a la hora de obtener los mismos. |
|
•
|
Suscribir
contratos de encargado de tratamiento
con empresas que traten datos de
carácter personal por cuenta
del responsable (gestorías,
asesorías…). |
|
•
|
Facilitar
los derechos de acceso, modificación,
cancelación y oposición
a los interesados. |
|
•
|
Hacer
que mis empleados firmen acuerdos
de confidencialidad respecto a los
datos que tratan. |
|
•
|
Documentar
todas las medidas que se implanten
en materia de Protección
de Datos, ya
que el empresario será quien
deba probar que cumple con un determinado
precepto ante la Agencia Española
de Protección de Datos |
|
•
|
Implantar
un Documento de Seguridad. Mantenerlo
debidamente actualizado. |
|
•
|
Definir
y documentar las funciones y obligaciones
del personal. |
|
•
|
Implantar
un sistema de identificación
y autenticación en los sistemas
de información que traten
datos de carácter personal. |
|
•
|
Implantar
un sistema de gestión de
soportes. |
|
•
|
Nombrar
a un Responsable de Seguridad. Medida
no aplicable en todos los casos. |
|
•
|
Someterse
a una auditoría bienal. Medida
no aplicable en todos los casos. |
|
•
|
Implantar
un registro de accesos a datos que
contengan información de
carácter personal. Medida
no aplicable en todos los casos. |
|
•
|
Implantar
un Registro de Incidencias. |
|
•
|
Hacer
copias de seguridad de los datos,
al menos semanalmente. |
|
•
|
Etiquetar
los soportes que contengan datos
de carácter personal. |
|
| |
|
|
|
|
|
|
|
|
| |
|
2-¿Qué entenderemos respecto
a un dato de carácter personal?
|
|
|
|
Según la Ley 15/99 (en adelante
LOPD, Ley Orgánica de Protección
de Datos), entendemos por dato de carácter
personal "cualquier información
concerniente a personas físicas
identificadas o identificables".
Un fichero con datos de empresas y datos
de contacto de esas empresas sería
un fichero con datos de carácter
personal. Un registro de empleados de
mi empresa es un fichero con datos de
carácter personal. No lo es un
fichero con datos de la contabilidad
de mi empresa, si no existen registros
de personas.
|
| |
|
|
|
|
|
|
|
|
| |
|
3-¿Si no tengo datos que hagan
referencia a personas físicas me
afecta la normativa? |
|
|
|
En este caso no existiría ningún
tipo de obligaciones en esta materia.
No obstante, la experiencia nos dice
que esto es muy difícil que ocurra
ya que en la mayoría de las ocasiones
existirán datos de contacto,
clientes o personal laboral. La realidad
es que si tenemos un dato que haga referencia
a una persona hace que tengamos que
cumplir con la LOPD y con el resto de
disposiciones, por lo que casi seguro
que estaremos obligados.
|
| |
|
|
|
|
|
|
|
|
| |
|
4-¿Puedo solicitar todos los datos
que quiera a mis clientes? |
|
|
| La
LOPD establece que "los datos de
carácter personal solo se podrán
recoger para su tratamiento, así
como someterlos a dicho tratamiento, cuando
sean adecuados, pertinentes y no excesivos
en relación con el ámbito
y las finalidades determinadas, explícitas
y legítimas para las que se hayan
obtenido". Habitualmente se tiende
a recoger mucha mas información
de la que se necesita. Esto podría
ocasionar que nos sancionaran por vulnerar
el art. 4 LOPD, artículo donde
se vertebra el "Principio de Calidad
de los Datos". De hecho, las sanciones
por vulneraciones de este precepto son
muy comunes. |
| |
|
|
|
|
|
|
|
|
| |
|
5-Si voy a recabar los datos de un cliente,
¿debo informarle de algo? |
|
|
El
artículo 5 establece con todo detalle
el derecho que asiste a toda persona cuyos
datos van a ser incorporados a un fichero
de ser informada de todos los aspectos
que conciernen al almacenamiento de sus
datos personales y el tratamiento al que
serán sometidos. Más concretamente,
los interesados deberán ser informados
"de modo expreso, preciso e inequívoco"
de los siguientes aspectos: a. De la existencia
de un fichero o tratamiento de datos de
carácter personal, de la finalidad
de la recogida de
éstos y de los destinatarios de
la información. b. Del carácter
obligatorio o facultativo de su respuesta
a las preguntas que le sean planteadas.
c. De las consecuencias de la obtención
de los datos o de la negativa a suministrarlos.
d. De la posibilidad de ejercitar los
derechos de acceso, rectificación,
cancelación y oposición.
De la identidad y dirección del
responsable del tratamiento o, en su caso,
de su representante."
Por tanto, es imperativo incluir los correspondientes
avisos legales en los formularios de recogida
de datos. También es importante
aprovechar otros documentos (facturas,
presupuestos, contratos) para informar
y pedir consentimientos para el tratamiento
de datos de carácter personal. |
| |
|
|
|
|
|
|
|
|
| |
|
6-No tengo datos de carácter informatizado
porque carezco de ordenadores. ¿Me
afecta la normativa igualmente? |
|
|
Nos remitimos a anteriores respuestas
en el sentido de la obligatoriedad de
cumplir con la Ley si tengo un solo dato
de carácter personal. En cualquier
caso, existen ciertas obligaciones para
los datos en soporte papel. La LOPD establece
que se aplicará a todos los ficheros
sin restricción alguna, independientemente
del soporte en el cual sean tratados. |
| |
|
|
|
|
|
|
|
|
| |
|
7-Tengo pocos ordenadores en mi negocio,
y además creo que no tengo datos
de carácter personal. ¿Me
afecta la normativa de todas formas? |
|
|
| Nos
remitimos a anteriores respuestas en el
sentido de la obligatoriedad de cumplir
con la Ley si tengo un solo dato de carácter
personal. La LOPD se aplicará independientemente
del número de registros que tengamos,
o del carácter automatizado o no
de los ficheros. |
| |
|
|
|
|
|
|
|
|
| |
|
8-No tengo demasiados datos y además
creo que son de nivel básico, porque
solo tengo información referida
a nombre, apellidos, o dirección
de mis clientes y/o empleados. En tal
caso, ¿estoy especialmente obligado
a cumplir con la LOPD? |
|
|
Si. La experiencia
nos dice que no en todos los casos el
empresario es consciente del grado de
sensibilidad de los datos que tiene. Por
ejemplo, existen datos de afiliación
sindical, bajas laborales, datos de carácter
sanitario o Currículums Vitae que
hace que las empresas estén específicamente
obligadas a cumplir con esta Ley. En todo
caso, si existen informaciones meramente
identificativas se estará ante
la obligación de cumplir con la
LOPD y además de implantar parte
de las medidas de seguridad. |
| |
|
|
|
|
|
|
|
|
| |
|
9-¿Debo inscribir mis ficheros
en la Agencia Española de Protección
de Datos? ¿Desde cuándo?
|
|
|
| Los
ficheros han de inscribirse en un momento
previo a su creación. Cabe reseñar
que la inscripción de los ficheros
en la AEPD (Agencia Española de
Protección de Datos) no garantiza
el cumplimiento con la Ley, sino que solo
acredita que se ha cumplido con este concreto
deber. Por otro lado, decir que ante la
AEPD no tenemos que mandar los ficheros
con los datos de carácter personal,
sólo proceder a rellenar los formularios
preparados al efecto o seguir las instrucciones
del software que la Agencia ha puesto
a disposición de manera gratuita. |
| |
|
|
|
|
|
|
|
|
| |
|
10-¿Qué pasa si no cumplo
con la normativa de protección
de datos? |
|
|
| Existe
un riesgo de sanción. En nuestro
país tenemos el régimen
sancionador mas alto de Europa, con sanciones
que oscilan entre los 600 y los 600.000
€. Las inspecciones que la APD realiza
pueden ser de oficio o a instancia de
parte. Desde el año 92 la Agencia
viene sancionando tanto a organismos públicos
como privados, independientemente del
volumen de facturación de la empresa
o del objeto social de la misma. Se ha
sancionado a videoclubs, médicos,
diputaciones, ayuntamientos, distribuidoras,
entidades financieras, clínicas
etc…
|
| |
|
|
|
|
|
|
|
|
| |
|
11-¿Puede un cliente descontento
y/o empleado denunciar a mi empresa ante
la Agencia Española de Protección
de Datos? |
|
|
| Es
uno de los casos mas frecuentes. Los clientes
y/o empleados descontentos son conscientes
de esta norma y de los derechos que les
asisten, y dado el alto grado de incumplimiento
entre las empresas, muchos de ellos instan
a la AEPD para ejercitar derechos que
le son reconocidos y que no son satisfechos
en las debidas condiciones. |
| |
|
|
|
|
|
|
|
|
| |
|
12-¿Tengo alguna obligación
respecto a la gestoría que está
tratando informatizadamente los datos
de mis empleados? |
|
|
La
realización de tratamientos por
cuenta de terceros debe estar regulada
en un contrato que deberá constar
por escrito o en alguna otra forma que
permita acreditar su celebración
y contenido, estableciéndose expresamente
que:
|
| |
|
•
|
El
encargado del tratamiento (gestoría)
sólo tratará los datos
según las instrucciones del
responsable. |
|
•
|
No
los aplicará con fines distintos,
ni los comunicará a terceros. |
|
•
|
Las
medidas de seguridad que debe adoptar.
|
|
| |
|
|
|
|
|
|
|
|
| |
|
13-¿Tengo alguna obligación
respecto a la empresa que gestiona el
hosting de mi páginaweb? |
|
|
| Nos
remitimos a la respuesta dada anteriormente. |
| |
|
|
|
|
|
|
|
|
| |
|
14-Puedo ceder los datos a terceros? Qué
requisitos se pide para poder cederlos?
|
|
|
Por
regla general, los datos de carácter
personal solo pueden ser cedidos con el
consentimiento del interesado, y siempre
para funciones legítimas del cedente..
Sin embargo, la regla general está
sometida a muchas y variadas excepciones.
La LOPD define la cesión o comunicación
como toda revelación de datos realizada
a una persona distinta del afectado o
interesado.
Si mi empresa quiere ceder a un tercero
los datos personales almacenados en los
ficheros, debe cumplir dos requisitos
como regla general:
1. Informar al titular de los datos
del tipo de actividad a la que se dedica
el tercero o la finalidad para la que
este tercero va a tratar sus datos.
2. Obtener el consentimiento previo
del afectado.
Aún así, la LOPD prohíbe
las cesiones caprichosas, es decir, aquellas
que no tengan que ver con fines legítimos,
directamente relacionados con la razón
por la que fueron recabados. También
son cesiones legales las comunicaciones
de los datos personales que están
amparadas por una ley que autoriza la
cesión. En este supuesto, la empresa
no tiene la obligación de informar
ni de obtener el consentimiento previo
del titular de los datos.
Por citar dos ejemplos, constituyen cesiones
legales la comunicación de los
datos de los trabajadores que mi empresa
realiza a la seguridad social, o los datos
que me soliciten los Juzgados o Tribunales. |
| |
|
|
|
|
|
|
|
|
| |
|
15-¿La Agencia Española
de Protección de Datos puede inspeccionar
mi negocio sin que haya denuncia de por
medio? |
|
|
| En
muchas ocasiones, la APD realiza inspecciones
sectoriales para comprobar el grado de
cumplimiento en determinados sectores.
Han sido inspeccionados los sectores hotelero,
financiero o empresas que se dedican al
comercio electrónico. |
| |
|
|
|
|
|
|
|
|
| |
| |
|
16-¿Qué pasa si no me someto
a una auditoría cada dos años?
|
|
|
|
El no cumplir con
alguna de las medidas del Real Decreto
994/1999 está tipificado como
"falta grave", con una sanción
que oscilará entre los 60.000
y los 300.000 €. Una de esas obligaciones
es la referida a la "auditoría
bienal".
|
| |
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
