La pequeña y mediana empresa, los autónomos y los profesionales liberales que sometan a tratamiento datos personales de sus clientes, pacientes, empleados, proveedores, Curriculum Vitae que reciban o cualquier otro tratamiento, tienen obligación de cumplir con los requisitos que impone la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

De ahí que encuentren dificultades a la hora de proponerse adaptar una pequeña y mediana empresa a la LOPD. Por una parte, el Asesor o Gestor laboral y contable por lo general no está al día en los nuevos aspectos que tienen que ver con las Nuevas Tecnologías y el Derecho, de modo que no puede afrontar una asesoría informática, ni siquiera dar un consejo. Desde este punto de vista, deja a sus clientes desatendidos.

Los profesionales de la Asesoría empresarial deben convencerse definitivamente de la importancia decisiva que tiene este aspecto, ya que se está ante aspectos de obligado cumplimiento, las multas se están llevando a cabo, y no quedan ninguna entidad fuera del ámbito de aplicación de la normativa de protección de datos. Al menos, los Asesores y Gestores deberían informar a sus clientes de la existencia de una Ley que obliga a implementar una serie de requisitos que de no cumplirse podría incoarse un procedimiento sancionador por parte de la Agencia Española de Protección de Datos.

Por otra parte entran en juego las sociedades de abogados y consultores en protección de datos, capaces de afrontar proyectos de Auditoría y de Adaptación a la LOPD. Salvo excepciones, los honorarios que estas grandes sociedades requieren son inaccesibles para la pequeña y mediana empresa.

A lo anterior se suma la falta de concienciación de la empresa en las nuevas materias que trae consigo la sociedad de la información, por esa falta de información y la dificultad de comprensión de los conceptos básicos en protección de datos.

Todas estas razones hacen que en la actualidad cerca del 90 por ciento del tejido empresarial español no se encuentre adaptado a la Ley de Protección de Datos. La empresa que no se encentra adaptada a la LOPD supone una serie de circunstancias:

• Que posiblemente no garantice el derecho fundamental de protección de datos de sus clientes, empleados, etc.
• Que puede realizar cesiones de datos a terceros sin conocer el riesgo que esta comunicación de datos comporta.
• Que está asumiendo un continuo riesgo de sanciones por parte de la Agencia Española de Protección de Datos por incumplir las obligaciones que impone la normativa.

Normalmente las personas dan sus datos en casi todas las entidades donde acuden en busca de productos o servicios. Las entidades valoran mucho los datos personales ya que un dato es un cliente, y poder valorar su comportamiento, cuantas veces acude o qué productos compra es valiosa información para adaptar sus ofertas a los hábitos de consumo. Lo mismo ocurre con el envío de cartas o de publicidad. En el momento de entregar los datos, pocas entidades informan en materia de protección de datos. Ya se está empezando a introducir en los formularios cláusulas de datos personales, en las que informan a los interesados, pero ¿cumplen estas entidades con las demás obligaciones?

Las personas deben saber que la empresa a quien entregamos nuestros datos nos debe de informar acerca de que va a introducir nuestros datos en un fichero, que los va a tratar conforme a una finalidad, y nos garantiza los derechos de acceso, cancelación, oposición y rectificación que se ejercitan ante la empresa, no ante la Agencia Española de Protección de Datos.

LAS OBLIGACIONES DE LA EMPRESA

La pequeña y mediana empresa puede recibir las mismas sanciones que la gran multinacional que no somete los datos a las obligaciones de la LOPD. Por tanto, está obligada a cumplir con una serie de requisitos:

• Notificación de los ficheros al Registro General de Protección de Datos, de la Agencia de Protección de Datos
• Documento de Seguridad, con procedimientos técnicos y organizativos que aseguren que se cumplen las medidas de seguridad correspondientes en cada caso.
• Tratar los datos conforme al principio de calidad de los datos
• Cumplir con el derecho de información
• Recabar el consentimiento cuando sea necesario.
• Garantizar los derechos de acceso, cancelación, rectificación y oposición a los afectados.

Una vez que la pequeña entidad cumpla con estos requisitos, habrá disminuido el riesgo de sanción de una manera notable. Además, las entidades pequeñas y medianas no deben de pasar por alto estas exigencias, ya que las multas oscilan entre los 600 y los 600.000 Euros, lo que significa que una sanción en este sentido pueda ser determinante para la pequeña entidad.

LAS SANCIONES

El no cumplir con los requisitos anteriores es una infracción. Las infracciones pueden ser leves, graves y muy graves y llevan consigo sanciones que son leves, graves y muy graves.
Infracciones leves: No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda; no proporcionar la información que solicite la Agencia de Protección de Datos en el ejercicio de las competencias que tiene legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos; no solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave; proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artículo 5 de la LOPD; incumplir el deber de secreto establecido en el artículo 10 de la LOPD, salvo que constituya infracción grave. Las infracciones leves se sancionan con una multa de 600 a 60.000 Euros.
Infracciones graves: proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el «Boletín Oficial del Estado» o diario oficial correspondiente; proceder a la creación de ficheros de titularidad privada o iniciar la recogida de datos de carácter personal para los mismos con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad; proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible; tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la LOPD o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave; el impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada; mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que ampara la LOPD; la vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo; mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen (Real Decreto 994/1999, de 11 de junio); no remitir a la Agencia de Protección de Datos las notificaciones previstas en la LOPD o en sus disposiciones de desarrollo, así como no proporcionar en plazo a la Agencia cuantos documentos e informaciones deba recibir o sean requeridos por aquél a tales efectos; la obstrucción al ejercicio de la función inspectora; no inscribir el fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando haya sido requerido para ello por el Director de la Agencia de Protección de Datos; incumplir el deber de información que se establece en los artículos 5, 28 y 29 de la LOPD, cuando los datos hayan sido recabados de persona distinta del afectado. La sanción para este tipo de infracciones es de 60.000 a 300.000 Euros.
Infracciones muy graves: la recogida de datos en forma engañosa y fraudulenta; la comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas; recabar y tratar los datos de carácter personal a los que se refiere el apartado 2 del artículo 7 de la LOPD cuando no medie el consentimiento expreso del afectado; recabar y tratar los datos referidos en el apartado 3 del artículo 7 de la LOPD cuando no lo disponga una Ley o el afectado no haya consentido expresamente, o violentar la prohibición contenida en el apartado 4 del artículo 7 de la LOPD; no cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia de Protección de Datos o por las personas titulares del derecho de acceso; la transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos; tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales; la vulneración del deber de guardar secreto sobre los datos de carácter personal a que hacen referencia los apartados 2 y 3 del artículo 7 de la LOPD, así como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas; no atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición; no atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero. Las sanciones que llevan consigo estas infracciones oscilan entre los 300.000 y los 600.000 Euros.
Conviene repetir que las sanciones se pueden imponer a todos los que cometan una infracción, sea una gran multinacional o un profesional autónomo.