Con la LOPD y su Reglamento de desarrollo (RD 1720/2007, de 21 de diciembre), se pretende básicamente garantizar el libre ejercicio de los derechos de acceso, rectificación, cancelación y oposición por los interesados (personas físicas titulares de los datos personales sometidos a tratamiento) y el cumplimiento de los principios de información, consentimiento, finalidad, calidad y seguridad recogidos en la Ley. A través de la LOPD y su desarrollo reglamentario cobra vida el núcleo esencial del derecho fundamental a la protección de los datos de carácter personal definido como el derecho de toda persona física a tener pleno poder disposición sobre sus datos personales, a conocer y consentir las finalidades para las que van a ser objeto de tratamiento por terceros, así como de las cesiones que de dichos datos se vayan a efectuar.

Muchas organizaciones (empresas, profesionales liberales, asociaciones, fundaciones, administraciones públicas, etc) cumplen ya con los principios y derechos recogidos en la LOPD mediante las siguientes acciones:

- Notificando los ficheros de datos personales al Registro General de Protección de Datos, dependiente de la Agencia Española de Protección de Datos (AEPD), institución independiente que vela por la garantía del derecho fundamental a la protección de los datos de carácter personal.

- Informando a los interesados de los pormenores del tratamiento de sus datos de carácter personal y recabando, en su caso, su consentimiento a los tratamientos informados.

- Imponiendo a terceros prestadores de servicios garantías contractuales en el acceso a los ficheros de datos personales o tratamientos a efectuar.

- Recogiendo en un documento de seguridad el elenco de medidas técnicas y organizativas de nivel básico o medio o alto a implementar en los ficheros de datos personales, automatizados o no automatizados, de los que sean responsables o que accedan cuando tengan la cualidad de encargados del tratamiento.

- Garantizado a los interesados el ejercicio de sus derechos de acceso, rectificación, cancelación y oposición mediante procedimiento sencillos y gratuitos.

-Formando a los usuarios de los ficheros de datos personales sobre las medidas de seguridad recogidas en el documento de seguridad y su aplicación en el desarrollo de las funciones que se les asignen.

Dado que estamos en la Era del Conocimiento, de la transmisión de todo tipo de información por las redes de comunicaciones electrónicas, en un mundo global y virtual por el uso de Internet, está claro que el futuro de la protección del derecho fundamental a la protección de los datos de carácter personal pasa por establecer controles y habilitar procedimientos y recomendaciones que permitan a los internautas disfrutar de la red de redes (Internet), sin ver vulnerado este derecho fundamental y el restos de derechos fundamentales que pueden ser potencialmente vulnerados a través de la infracción de las normativas de la protección de datos.

Por ello, desear a la LOPD una larga vida, por ser medio de protección de las personas y contribuir al desarrollo de la calidad de vida de los ciudadanos.

A consecuencia de la vigencia de la Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras, las Comunidades de Propietarios desconocen si dicha Instrucción es aplicable a tratamiento de datos personales derivado de la instalación de cámaras y video porteros en las instalaciones de la Comunidad. Cuando familiares, amigos o “el de la propaganda” llama a nuestro piso a través del video portero y le observamos a través de la cámara instalada en el mismo portal, ¿estamos realizando un tratamiento de datos de carácter personal (la imagen de la persona) sujeto al conjunto de obligaciones y derechos que emanan de dicha Instrucción y de la Ley Orgánica de Protección de Datos de Carácter Personal?

La respuesta a dicha cuestión la encontramos en la propia Instrucción 1/2006 que excluye expresamente de su ámbito de aplicación a las imágenes obtenidas en el ámbito personal y doméstico, entendiéndose por tal el realizado por una persona física en el marco de una actividad exclusivamente privada o familiar.

En consecuencia, en aquellos supuestos en los que la utilización de video portero se limite a su función de verificar la identidad de la persona que llamó al timbre y permitir el acceso a la vivienda, no será de aplicación la normativa de protección de datos.

Sin embargo, si la instalación de las cámaras de video permiten que se reproduzcan y/o graben imágenes de modo constante, y resultan accesibles por Internet o mediante emisiones por la televisión de los vecinos, y en particular cuando el objeto de las mismas alcance al conjunto del patio, las instalaciones y/o a la vía pública colindante, resultará de aplicación la Instrucción 1/2006.

Al margen del tratamiento de imágenes a través de cámaras y videocámaras, todas las Comunidades de Vecinos en el desarrollo de su actividad como comunidad necesitan tratar los datos personales de los vecinos integrantes de la comunidad, bien a través del presidente de turno, bien contratando los servicios de un Administrador de Fincas que actúa en nombre y por cuenta de la comunidad. Este tratamiento de datos personales está sujeto a la Ley Orgánica de Protección de Datos y, por lo tanto, la Comunidad de Propietarios como responsable del fichero de Comunidad debe cumplir con las siguientes obligaciones:

1º.- Inscribir el fichero en el Registro General de Protección de Datos Personales.

2º.- Informar a los vecinos de la existencia del fichero o tratamiento, de la finalidades del mismo, de los destinatarios de la información y de los derechos de acceso, rectificación, cancelación y oposición que le corresponden.

3º.- En caso de que se contrate los servicios profesionales de un Administrador de Fincas proceder a la firma de un contrato haciendo hincapié una de sus cláusulas en el contenido exigido en el artículo 12LOPD y artículo 20 del RLOPD, en quien se delegará, las más de la veces, la llevanza del DOCUMENTO DE SEGURIDAD, que incorpora las medidas técnicas y organizativas que garanticen la seguridad de los datos personales de los vecinos y evite su alteración, pérdida, tratamiento o acceso no autorizado.

4º.- Deberá garantizarse el ejercicio de los derechos de acceso, rectificación, cancelación y oposición de los vecinos, mediante un medio sencillo y gratuito.

Han pasado casi diez años desde la entrada en vigor de la Ley Orgánica de Protección de Datos de Carácter Personal y ya es hora de que las Comunidades de Propietarios se adecuen a la norma.

En diversos informes jurídicos la Agencia Española de Protección de Datos (AEPD) considera al amparo de la legislación vigente que los hijos mayores de catorce años, en principio, pueden otorgar el consentimiento para el tratamiento de sus datos personales, por ejemplo, para abrirse una cuenta de usuario en una página web, facilitar datos relativos a su salud en el colegio, etc.

Esta posibilidad legal tiene su amparo en el artículo 162 del Código Civil que establece que los padres que ostenten la patria potestad tienen la representación legal de sus hijos menores no emancipados, excepto: 1º para los actos relativos a derechos de la personalidad u otros que el hijo, de acuerdo con las Leyes y con sus condiciones de madurez, pueda realizar por sí mismo. Por otros preceptos del Código Civil (adquisición de nacionalidad, capacidad para testar, etc), se considera que los hijos mayores de catorces años tienen esas condiciones de madurez para que puedan decidir por sí mismos diversos aspectos que afectan a su personalidad, entre los que se encuentra la prestación del consentimiento para el tratamiento de sus datos de carácter personal.

Seguro que a una buena cantidad de padres esta posibilidad de que sus hijos mayores de catorce años puedan dar su consentimiento, sin enterarse ellos, para que empresas y entidades puedan tratar los datos personales de sus hijos relativos a su salud, religión, creencias, aficiones, fotografías, etc, no les hace ninguna gracia.

Poco a poco se va implantando en las empresas y grupos empresariales la cultura de la protección de los datos de carácter personal gracias al desarrollo normativo que esta impulsando la protección de este derecho fundamental de las personas. Sin embargo, sigue existiendo confusión en si empresas matrices y filiales pertenecientes a un mismo grupo empresarial o participadas financieramente pueden compartir sus ficheros de datos de carácter personal. Consideraciones como que si las empresas son del mismo dueño, si tiene el 51% del accionariado o participaciones sociales una empresa sobre la otra, o de si las empresas desarrollan la misma marca comercial para la promoción de sus productos o servicios, distorsionan y siembran dudas sobre el tratamiento de datos personales entre empresas del mismo grupo y sobre las cesiones de datos personales que se producen entre ellas.

Cada empresa es una persona jurídica distinta y el artículo 11 de la Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), sienta como principio general que “los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. En consecuencia, empresas pertenecientes a un mismo grupo empresarial no pueden cederse datos de sus empleados, de curriculum vitae que hayan recabado, de clientes para realizar campañas de marketing ofertando bienes y servicios, si todas estas personas no han consentido previamente la cesión de sus datos personales.

Este consentimiento deberá haberse recabado de forma previa e informando de todos los aspectos recogidos en el artículo 5 de la LOPD, con especial incidencia en la identificación de los cesionarios o tipo de actividad que desarrollan y las finalidades para las que se solicita la cesión de los datos personales, correspondiendo a la empresa cedente la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho.

Recientemente se ha suscitado la polémica sobre si un número de teléfono móvil sin asociarlo a ninguna otra información es un dato de carácter personal o no a efectos de la aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y su Reglamento de desarrollo.

Conforme a la Sentencia de la Audiencia Nacional, Sala de lo Contencioso Administrativo, de 17 de septiembre de 2008, un número de teléfono móvil sin otras circunstancias que identifiquen o pudiesen permitir identificar al titular del mismo impide que pueda encajarse en la definición legal de datos de carácter personal.

Para comprender este fundamento jurídico de la Audiencia Nacional han de examinarse las siguientes definiciones recogidas en el artículo 5 del RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD:

Ø Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento.

Ø Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.

Ø Persona identificable: Toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.

Ø Procedimiento de disociación: Todo tratamiento de datos personales que permita la obtención de datos disociados.

En consecuencia, se platea ahora si otras informaciones numéricas, como el número de DNI, la IP de un ordenador, el Código numérico asignado a un paciente y/o cliente, etc, pueden ser considerados como datos de carácter personal si no van asociados a otras informaciones que permitan llegar a identificar al afectado. Para ello habrá que atender a si dicha identificación requiere plazos o actividades desproporcionados. Pero, ¿Qué se entiende por actividades desproporcionadas? La consulta a la base de datos policial de DNI no lo puede hacer cualquier persona, para poder identificar la IP de un ordenador hace falta preguntarle al operador de telecomunicaciones que la asigna, para llegar a identificar a una persona a través del ID de un cliente hay que penetrar en las instalaciones y base de datos de las organizaciones, etc.

El concepto de “plazos o actividades desproporcionados” produce una inseguridad jurídica que puede tener graves consecuencias prácticas en el tratamiento de datos personales por las empresas, profesionales y organizaciones de todo tipo. De hecho el criterio que mantiene sobre esta cuestión la Agencia Española de Protección de Datos (AEPD) y la Audiencia Nacional ya es distinto, con la inseguridad que eso supone para las empresas que tratan estas informaciones numéricas sin asociarlas a otras informaciones que puedan permitir identificar a los afectados, existiendo auténtico miedo en el tráfico económico por una posible sanción administrativa de la AEPD por vulneración de la protección de datos de carácter personal.

Es increíble que en pleno Siglo XXI después de todas las vicisitudes pasadas en el siglo anterior por La Humanidad la considerada “primera democracia del mundo” haya podido concebir una cárcel como la de Guantánamo fuera de toda legalidad y al margen de la protección de los Derechos Humanos. Sólo es posible concebir semejante error si se tiene presente la personalidad del expresiente Bush instaurador de la política del “piso cuello” porque soy más fuerte que tú.

Con la decisión del presidente Obama los Convenios de Ginebra de 1949 y Protocolos Adicionales serán de aplicación a los presos de Guantánamo. Estos acuerdos internacionales constituyen los principales instrumentos legales sobre los que se asienta el llamado Derecho Internacional Humanitario. Los cuatro Convenios de 1949 han sido universalmente adoptados por todos los países del mundo. Los Protocolos Adicionales de 1977 y 2005 complementan los anteriores Convenios y recogen nuevas normas humanitarias.

Con la aplicación de los anteriores Tratados Internacionales los presos de Guantánamo pasarán a ser tratados como prisioneros de guerra y a gozar de una serie de derechos entre los que se encuentran los siguientes:

· Ningún prisionero de guerra podrá ser sometido a torturas o experimentos médicos. Asimismo deberán ser protegidos contra todo acto de violencia, insultos y curiosidad pública.

· Los captores no deberán aplicar medidas de represalia ni ejercer discriminación contra los prisioneros basada en la raza, la nacionalidad, la religión, las opiniones políticas o en cualquier otra circunstancia.

· Las mujeres deben ser tratadas con todas las consideraciones debidas a su sexo.

· El prisionero de guerra no tendrá obligación de declarar más que su nombre y apellidos, su rango, la fecha de nacimiento y su número de matrícula militar.

· Los prisioneros de guerra deberán ser alojados en refugios limpios y adecuados, y recibir alimentos, ropa y asistencia médica necesaria para mantener buenas condiciones de salud.

· Los prisioneros se encuentra sometidos a las leyes de sus captores y podrán ser juzgados por los tribunales de estos últimos. El captor deberá garantizar un trato justo, imparcial y la asistencia de un abogado competente para el prisionero.

Conclusión: Dentro de la barbarie que suponen los conflictos armados entre las partes beligerantes también se puede mostrar un poquito de humanidad.

La problemática se centra en que el emisor de la comunicación comercial tiene que probar que cuenta con el consentimiento del abonado, consentimiento que ha de ser previo, expreso e informado. El calificativo de previo indica que antes de proceder al envío del fax comercial se ha de tener autorización del abonado para realizarlo. Además ha de ser expreso. ¿Cómo se puede acreditar un consentimiento expreso si el abonado niega haberlo otorgado? Sólo mediante su constatación en un soporte que demuestre indubitadamente haberse prestado el consentimiento por el abonado podrá calificarse de expreso, por eso se recomienda la firma por el abonado de un documento otorgando dicho consentimiento. Y además, el consentimiento ha de ser informado, es decir, que cuando se produjo su solicitud se debió suministrar al abonado información plena sobre la identidad del responsable, la finalidad del tratamiento, la posibilidad de oponerse al mismo, etc.

Por ello, las empresas en sus envíos publicitarios por las redes de comunicaciones comerciales (email, fax, sms, etc) deberán tener en cuenta un conjunto de normas legales y reglamentarias diversas que inciden en el concreto tratamiento de la información y medio utilizado. A saber, esas normas son básicamente:

 Ley Orgánica de Protección de Datos de Carácter Personal.
 Ley de Servicios de la Sociedad de la Información.
 Ley General de Telecomunicaciones.
 Ley de Firma Electrónica.
 Ley General de Publicidad.
 Ley General de Consumidores y Usuarios.

La pequeña y mediana empresa, los autónomos y los profesionales liberales que traten datos personales de sus clientes (o pacientes) empleados, proveedores, Curriculum Vitae, clientes potenciales, prestadores de servicios, etc., tienen obligación de cumplir con los requisitos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).

De ahí que encuentren dificultades a la hora de proponerse adaptar una PYME a la LOPD. Por una parte, el Asesor laboral y contable por lo general no está al día en los nuevos aspectos que tienen que ver con las Nuevas Tecnologías y el Derecho, de modo que no puede ni siquiera se arriesga a llevar a cabo algún tipo de asesoría informática, ni siquiera dar un consejo. Desde este punto de vista, deja a sus clientes desatendidos, no les advierte bien sus obligaciones, ellos creen que están bien asesorados y llegada la inspección de la Agencia de Protección de Datos llaman al gestor reclamando la mala asesoría.

A lo anterior se suma la falta de concienciación de la empresa en las nuevas materias que trae consigo la sociedad de la información, por esa falta de información y la dificultad de comprensión de los conceptos básicos de la protección de datos y las obligaciones que la normativa exige a la empresa.

Todas estas razones hacen que en la actualidad cerca del 90 por ciento del tejido empresarial español no se encuentre adaptado a la Ley de Protección de Datos. La empresa que no se encentra adaptada a la LOPD supone una serie de circunstancias:

• Que posiblemente no garantice el derecho fundamental de protección de datos de sus clientes, empleados, proveedores, etc.
• Que no cumple con las medidas de seguridad obligatorias.
• Que está asumiendo un continuo riesgo de sanciones por parte de la Agencia Española de Protección de Datos por incumplir las obligaciones que impone la normativa.

Normalmente las personas dan sus datos en casi todas las entidades donde acuden en busca de productos o servicios. Las entidades valoran mucho los datos personales ya que un dato es un cliente, y poder valorar su comportamiento, cuantas veces acude o qué productos compra es valiosa información para adaptar sus ofertas a los hábitos de consumo. Lo mismo ocurre con el envío de cartas o de publicidad. En el momento de entregar los datos, pocas entidades informan en materia de protección de datos. Ya se está empezando a introducir en los formularios cláusulas de datos personales, en las que informan a los interesados, pero ¿cumplen estas entidades con las demás obligaciones?

Las personas empiezan a saber que la empresa a quien entregamos nuestros datos nos debe de informar acerca de que va a introducir nuestros datos en un fichero, que los va a tratar conforme a una finalidad, y nos garantiza los derechos de acceso, cancelación, oposición y rectificación que se ejercitan ante la empresa, no ante la Agencia Española de Protección de Datos.

QUÉ ES LA PROTECCIÓN DE DATOS

La protección de datos es un derecho de nueva creación. Actualmente son la LOPD y sus reglamentos de desarrollo las normas que articulan todo este derecho. Se pueden encontrar obligaciones para los titulares de los ficheros (las empresas) y derechos para los titulares de los datos (los ciudadanos).

Las obligaciones de las empresas podemos resumirlas en las siguientes:

• Notificación de los ficheros al Registro General de Protección de Datos, situado en la Agencia Española de Protección de Datos
• Debe contar con un Documento de Seguridad, con procedimientos técnicos y organizativos que aseguren que se cumplen las medidas de seguridad correspondientes en cada caso.
• Tratar los datos conforme al principio de calidad de los datos
• Cumplir con el derecho de información
• Recabar el consentimiento cuando sea necesario.
• Garantizar los derechos de acceso, cancelación, rectificación y oposición a los afectados.
• Deber de secreto para el personal de la PYME
• Tratamientos de datos para publicidad conforme a la LOPD, etc.

Una vez que la pequeña entidad cumpla con estos requisitos, habrá disminuido el riesgo de sanción de una manera notable. Además, las entidades pequeñas y medianas no deben de pasar por alto estas exigencias, ya que las multas oscilan entre los 600 y los 600.000 Euros, lo que significa que una sanción en este sentido pueda ser determinante para la pequeña entidad.

La PYME también debe tener atención a todo el tratamiento de los datos de sus empleados. Son numerosos los casos que llegan a Bufetes especializados en protección de datos, de empleados descontentos que desean utilizar la vía implacable de la protección de datos para desprestigiar a su empleador que le ha despedidito o simplemente que no le ha renovado el contrato. Simplemente, el hecho de no haberle informado de que sus datos son recogidos para la gestión de su nómina, etc. o el tratarlos con fines de prevención de riesgos y seguridad e higiene en el trabajo, sin el consentimiento, puede acarrear sanciones importantes para la PYME si el empleado decide denunciar los hechos.

Los derechos de los ciudadanos son derecho de acceso, cancelación, oposición o rectificación. Se están ejercitando cada vez más y son mecanismos fehacientes y gratuitos que se solicitan a la empresa. la empresa que no los atienda en tiempo y forma corre el riesgo de ser sancionada en un Procedimiento Administrativo de TUTELA DE DERECHOS; que se sigue ante la Agencia Española de Protección de Datos.

ASPECTOS JURÍDICOS Y TÉCNICOS

De siempre se ha entendido erróneamente que una PYME se adapta a la LOPD teniendo contraseñas en los equipos o con un buen registro de accesos o incluso comprando un buen software que incluya procedimientos de acceso o de identificación. Pero, ¿qué ocurre con el derecho de información? ¿y con el consentimiento de los clientes? ¿y con el deber de secreto? ¿y se han firmado los contratos obligatorios de prestación de servicios?

Como se ve, la adecuación de la PYME a la LOPD conlleva una importante carga jurídica, es decir, de estudio de la situación y de proponer las medidas necesarias que cumplan la legislación y que minimicen el riesgo de la PYME a ser sancionada.

En resumen, la adecuación de la PYME a la LOPD se consigue conjugando medidas de seguridad jurídicas, organizativas y técnicas que en conjunto aseguren el cumplimiento de la normativa.

TRATAMIENTOS ESPECIALES

No todas las PYMES son iguales. Por lo general se contará con ficheros de clientes, proveedores, empleados… que permitan al especialista en LOPD efectuar una auditoría de adecuación sin mayor complejidad.

Pero existen actividades que por su tratamiento de datos conllevan un mayor riesgo y deben tenerse en cuenta tratamientos especiales. Es el caso de los profesionales médicos (un dentista o la óptica, por ejemplo) que someten a tratamiento datos de salud. Deben recabar el consentimiento expreso y por escrito y para ello deben contar con una buena asesoría en LOPD que le permita un procedimiento ágil, rápido y que dé cumplimiento en todo momento a la LOPD.

Es el caso de otras actividades muy en boga últimamente como el marketing directo o publicidad, solvencia patrimonial y crédito, prestaciones de servicios que conlleven el tratamiento de datos personales de terceros, etc. Todas las PYMEs que se dediquen a este tipo de actividades, deben contar con una asesoría especializada en LOPD.

En el caso de los envíos de publicidad hay que estar muy atento al medio de comunicación utilizado en los envíos. Las recientes prohibiciones de uso del correo electrónico y del fax son todavía desconocidas para la PYME, corriendo un gran riesgo el uso de estos medios.

Los datos personales utilizados para el envío de publicidad deben obtenerse de una fuente de acceso público (sin que olvide la PYME que las fuentes de acceso público descargadas de internet pierden ese carácter al año de haberse obtenido), de modo que se pueda siempre justificar su origen lícito. En cada comunicación al destinatario deberá establecerse siempre el origen de los datos, la finalidad del tratamiento así como la garantía de los derechos de acceso.

LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

La Agencia Española de Protección de Datos es la administración pública que se encarga de velar por el cumplimiento de la normativa de protección de datos personales. Además es el Ente público que debe velar por el cumplimiento de la LOPD y normativa de desarrollo.

Es la Agencia la que realiza la inspección de protección de datos, lleva a cabo la instrucción, los procedimientos sancionadores y los procedimientos de Tutela de Derechos. Sus resoluciones definitivas se recurren únicamente ante la Audiencia Nacional (Sala de lo Contencioso Administrativo).

La Agencia Española de Protección de Datos también conoce de las denuncias presentadas por algunas conductas contrarias a la Ley General de Comunicaciones y a la Ley de Servicios de la Sociedad de la información, como el envío de fax con finalidad de publicidad sin el consentimiento previo e informado del abonado destinatario y los envíos de correos electrónicos masivos con fines de publicidad sin el consentimiento expreso del destinatario.

CÓMO ADAPTARSE A LA LOPD

La Auditoría de Adecuación de la PYME a la LOPD requiere la dedicación de algunos recursos a este proyecto. La PYME debe estar concienciada acerca de esta necesidad y organizar el proyecto de adecuación.

La mejor opción es dotarse de auditores externos que en conjunción con los jefes de los departamentos se organicen y puedan emprender la adecuación de la PYME a la LOPD.

Se necesitan dotes organizativas y profesionales capaces de abordar un proyecto de estas características. El tiempo de adecuación no debe ser superior a unas pocas semanas, dependiendo de la magnitud de la empresa, sus sedes, su organización, su actividad o sus relaciones con terceros.

De ahí que encuentren dificultades a la hora de proponerse adaptar una pequeña y mediana empresa a la LOPD. Por una parte, el Asesor o Gestor laboral y contable por lo general no está al día en los nuevos aspectos que tienen que ver con las Nuevas Tecnologías y el Derecho, de modo que no puede afrontar una asesoría informática, ni siquiera dar un consejo. Desde este punto de vista, deja a sus clientes desatendidos.

Los profesionales de la Asesoría empresarial deben convencerse definitivamente de la importancia decisiva que tiene este aspecto, ya que se está ante aspectos de obligado cumplimiento, las multas se están llevando a cabo, y no quedan ninguna entidad fuera del ámbito de aplicación de la normativa de protección de datos. Al menos, los Asesores y Gestores deberían informar a sus clientes de la existencia de una Ley que obliga a implementar una serie de requisitos que de no cumplirse podría incoarse un procedimiento sancionador por parte de la Agencia Española de Protección de Datos.

Por otra parte entran en juego las sociedades de abogados y consultores en protección de datos, capaces de afrontar proyectos de Auditoría y de Adaptación a la LOPD. Salvo excepciones, los honorarios que estas grandes sociedades requieren son inaccesibles para la pequeña y mediana empresa.

A lo anterior se suma la falta de concienciación de la empresa en las nuevas materias que trae consigo la sociedad de la información, por esa falta de información y la dificultad de comprensión de los conceptos básicos en protección de datos.

Todas estas razones hacen que en la actualidad cerca del 90 por ciento del tejido empresarial español no se encuentre adaptado a la Ley de Protección de Datos. La empresa que no se encentra adaptada a la LOPD supone una serie de circunstancias:

• Que posiblemente no garantice el derecho fundamental de protección de datos de sus clientes, empleados, etc.
• Que puede realizar cesiones de datos a terceros sin conocer el riesgo que esta comunicación de datos comporta.
• Que está asumiendo un continuo riesgo de sanciones por parte de la Agencia Española de Protección de Datos por incumplir las obligaciones que impone la normativa.

Normalmente las personas dan sus datos en casi todas las entidades donde acuden en busca de productos o servicios. Las entidades valoran mucho los datos personales ya que un dato es un cliente, y poder valorar su comportamiento, cuantas veces acude o qué productos compra es valiosa información para adaptar sus ofertas a los hábitos de consumo. Lo mismo ocurre con el envío de cartas o de publicidad. En el momento de entregar los datos, pocas entidades informan en materia de protección de datos. Ya se está empezando a introducir en los formularios cláusulas de datos personales, en las que informan a los interesados, pero ¿cumplen estas entidades con las demás obligaciones?

Las personas deben saber que la empresa a quien entregamos nuestros datos nos debe de informar acerca de que va a introducir nuestros datos en un fichero, que los va a tratar conforme a una finalidad, y nos garantiza los derechos de acceso, cancelación, oposición y rectificación que se ejercitan ante la empresa, no ante la Agencia Española de Protección de Datos.

LAS OBLIGACIONES DE LA EMPRESA

La pequeña y mediana empresa puede recibir las mismas sanciones que la gran multinacional que no somete los datos a las obligaciones de la LOPD. Por tanto, está obligada a cumplir con una serie de requisitos:

• Notificación de los ficheros al Registro General de Protección de Datos, de la Agencia de Protección de Datos
• Documento de Seguridad, con procedimientos técnicos y organizativos que aseguren que se cumplen las medidas de seguridad correspondientes en cada caso.
• Tratar los datos conforme al principio de calidad de los datos
• Cumplir con el derecho de información
• Recabar el consentimiento cuando sea necesario.
• Garantizar los derechos de acceso, cancelación, rectificación y oposición a los afectados.

Una vez que la pequeña entidad cumpla con estos requisitos, habrá disminuido el riesgo de sanción de una manera notable. Además, las entidades pequeñas y medianas no deben de pasar por alto estas exigencias, ya que las multas oscilan entre los 600 y los 600.000 Euros, lo que significa que una sanción en este sentido pueda ser determinante para la pequeña entidad.

LAS SANCIONES

El no cumplir con los requisitos anteriores es una infracción. Las infracciones pueden ser leves, graves y muy graves y llevan consigo sanciones que son leves, graves y muy graves.
Infracciones leves: No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda; no proporcionar la información que solicite la Agencia de Protección de Datos en el ejercicio de las competencias que tiene legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos; no solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave; proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artículo 5 de la LOPD; incumplir el deber de secreto establecido en el artículo 10 de la LOPD, salvo que constituya infracción grave. Las infracciones leves se sancionan con una multa de 600 a 60.000 Euros.
Infracciones graves: proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el «Boletín Oficial del Estado» o diario oficial correspondiente; proceder a la creación de ficheros de titularidad privada o iniciar la recogida de datos de carácter personal para los mismos con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad; proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible; tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la LOPD o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave; el impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada; mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que ampara la LOPD; la vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo; mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen (Real Decreto 994/1999, de 11 de junio); no remitir a la Agencia de Protección de Datos las notificaciones previstas en la LOPD o en sus disposiciones de desarrollo, así como no proporcionar en plazo a la Agencia cuantos documentos e informaciones deba recibir o sean requeridos por aquél a tales efectos; la obstrucción al ejercicio de la función inspectora; no inscribir el fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando haya sido requerido para ello por el Director de la Agencia de Protección de Datos; incumplir el deber de información que se establece en los artículos 5, 28 y 29 de la LOPD, cuando los datos hayan sido recabados de persona distinta del afectado. La sanción para este tipo de infracciones es de 60.000 a 300.000 Euros.
Infracciones muy graves: la recogida de datos en forma engañosa y fraudulenta; la comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas; recabar y tratar los datos de carácter personal a los que se refiere el apartado 2 del artículo 7 de la LOPD cuando no medie el consentimiento expreso del afectado; recabar y tratar los datos referidos en el apartado 3 del artículo 7 de la LOPD cuando no lo disponga una Ley o el afectado no haya consentido expresamente, o violentar la prohibición contenida en el apartado 4 del artículo 7 de la LOPD; no cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia de Protección de Datos o por las personas titulares del derecho de acceso; la transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos; tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales; la vulneración del deber de guardar secreto sobre los datos de carácter personal a que hacen referencia los apartados 2 y 3 del artículo 7 de la LOPD, así como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas; no atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición; no atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero. Las sanciones que llevan consigo estas infracciones oscilan entre los 300.000 y los 600.000 Euros.
Conviene repetir que las sanciones se pueden imponer a todos los que cometan una infracción, sea una gran multinacional o un profesional autónomo.

Todos los ficheros y tratamientos de datos personales realizados por la Administración General del Estado, las Administraciones de las Comunidades Autónomas, las entidades que integran la Administración local y todas las entidades de derecho público, con personalidad jurídica propia, vinculadas a cualquier Administración, son ficheros o tratamientos de titularidad pública (Las Administraciones públicas se definen en el Art. 2 de la Ley 30/1992, de 26 de noviembre).

CREACIÓN, MODIFICACIÓN Y SUSPENSIÓN DE LOS FICHEROS PÚBLICOS

El artículo 20 de la LOPD dice que la creación, modificación y supresión de todos los ficheros de titularidad pública debe hacerse por medio de la publicación de una disposición de carácter general (norma de carácter reglamentario) publicada en el BOE o en otro Diario Oficial que corresponda, lo que ocurre para darle publicidad a los ficheros que cree las Administraciones del Estado.

La disposición general debe de contener obligatoriamente aspectos como la finalidad del fichero que se crea, los usos que se prevé darle al fichero, las personas sobre las que se pretenda obtener los datos o que resulten obligados a suministrarlos, el procedimiento de recogida de los datos, la estructura básica del fichero, los tipos de datos personales que se incluyen en el mismo, las cesiones de datos y transferencias internacionales de datos que se prevean realizar, los Órganos de la Administración responsables del fichero, los departamentos de la Administración ante los cuales se podrá ejercitar los derechos de acceso, cancelación, oposición y rectificación, y por último, el nivel de seguridad que tendrá el fichero: básico, medio o alto. Si se suprime el fichero, se debe de especificar el destino de los datos.

Las Administraciones Públicas deben de trasladar una copia de la Disposición general publicada al Registro General de Protección de Datos (www.agpd.es), y con esto el fichero quedará debidamente notificado para su inscripción.

EXCEPCIONES A LOS PRINCIPIOS DE LA PROTECCIÓN DE DATOS Y A LOS DERECHOS DE LOS CIUDADANOS

En primer lugar, el artículo 6.2 de la LOPD, en lo que se refiere al consentimiento del afectado, excluye la obligación de recabar el consentimiento para el tratamiento de los datos personales de los ciudadanos, de tal modo que frente a la entidad privada que debe de recabar el consentimiento de los afectados en todo caso, la entidad pública no tiene esta obligación. Por tanto, siempre que las Administraciones del Estado traten datos personales necesarios para el ejercicio de sus funciones y en el ámbito de sus competencias, no van a necesitar el consentimiento.

El artículo 21.1 de la LOPD viene a decir que podrán realizarse cesiones de datos entre distintas Administraciones públicas (de la administración autonómica a la central, por ejemplo) sin consentimiento del interesado sólo en los casos en que coincidan las materias de los organismos. Por ejemplo se podrán ceder datos personales entre el Ministerio de Medio Ambiente y una Consejería de Medio Ambiente.

El artículo 21.2 de la LOPD prevé la posibilidad de que una Administración elabore datos o los obtenga para comunicarlos a otras administraciones públicas, en este sentido se entiende que se trata de una prestación de servicios entre las Administraciones públicas, realizados sin consentimiento.

El artículo 21.3 de la LOPD exige el consentimiento para ceder datos de una Administración a ficheros de titularidad privada, incluso si se trata de datos que proceden de fuentes accesibles al público, como un listín telefónico o una lista de profesionales colegiados, pero recoge la posibilidad de que una Ley prevea otra cosa, lo que desvirtúa de alguna manera que se requiera el consentimiento.

El artículo 24.1 de la LOPD exceptúa el derecho de información en la recogida de los datos cuando la información que se prevea dar a los interesados pueda incidir en la Defensa nacional, la Seguridad pública o la persecución de infracciones penales. Aquí se percibe una ruptura del principio general de información ante situaciones de seguridad general.

El artículo 24.2 de la LOPD recoge la posibilidad de que el responsable de cualquier fichero público pueda denegar el ejercicio por parte de los afectados de sus derechos de acceso, cancelación y oposición si los mismos derechos de los ciudadanos deben ceder ante situaciones de interés público o de intereses de terceros más dignos de protección, siempre que previamente se analicen los intereses de los afectados que ejerciten sus derechos. Siempre que se produzcan situaciones de este género, la administración que deniegue los derechos de los ciudadanos operará con garantías: la resolución que deniegue uno de estos derechos debe de ser motivada, debe de comunicar al afectado el derecho que tiene de acudir ante la Agencia Española de Protección de Datos u órgano autonómico equivalente a recurrir la resolución que le deniega sus derechos.

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Y AGENCIAS AUTONÓMICAS

En la actualidad se cuenta con 3 Agencias Autonómicas de Protección de Datos, la de la Comunidad de Madrid, la Catalana y la Vasca. Las Agencias Autonómicas se ocupan de todos los ficheros de datos personales de titularidad pública en el ámbito autonómico y local de la Comunidad Autónoma, de modo que será el órgano de registro de ficheros públicos en la autonomía y de control de los tratamientos. Los ficheros de titularidad privada se controlarán en todo caso por la Agencia Española de Protección de Datos, que también se ocupará de los tratamientos de la Administración central del Estado y las Administraciones locales allá donde no exista Agencia autonómica de protección de datos.

SANCIONES A LAS ADMINISTRACIONES PÚBLICAS

El régimen sancionador de la LOPD no es el mismo para ficheros de titularidad privada que para ficheros de titularidad pública.

Mientras que los responsables de ficheros de titularidad privada pueden soportar sanciones de hasta 600.000 Euros, los responsables de ficheros de titularidad pública deberán de adoptar únicamente las medidas que el Director de la Agencia proponga para que cesen o se corrijan los efectos de la infracción. Del mismo modo, el Director podrá iniciar actuaciones disciplinarias, con las sanciones que establece el régimen disciplinario de las Administraciones públicas.

SITUACIÓN ACTUAL

Todavía numerosos Ayuntamientos de menos de 1000 habitantes no han inscrito sus ficheros ante la Agencia de Protección de Datos. Las Administraciones Autonómicas y Central disponen de numerosos ficheros sin notificar, y se siguen realizando diariamente tratamientos de datos personales no sólo al margen de la LOPD, sino cometiendo infracciones graves como comunicaciones de datos personales.

No pocas actuaciones se han derivado del tratamiento ilegal de los datos personales. El padrón municipal de habitantes ha sido el peor tratado, ya que se ha utilizado en numerosas ocasiones para finalidades distintas a aquellas que le son propias. Por ejemplo, destaca el envío a algunos vecinos de una localidad de una información relacionada con la visita del Alcalde a otra localidad, y la campaña masiva de anónimos financiados por un Ayuntamiento capital de provincia a los ciudadanos utilizando el Padrón Municipal de Habitantes, para satisfacer finalidades personales del Equipo de Gobierno Municipal y crear opinión al respecto acerca del cierre de un Museo.

Por ejemplo, en el año 2002, se han resuelto 65 procedimientos de infracción de la LOPD por parte de Administraciones locales, casi todas Ayuntamientos, 64 de las cuales han sido sancionadoras, 58 de las cuales por no proceder al Registro de los ficheros cuando ya había sido requerido por el Director de la Agencia de Protección de Datos.

Las Administraciones autonómicas no se libran de la potestad sancionadora de la LOPD. En 2002, la Universidad de Granada cedió datos de sus alumnos a una Fundación sin contar con el consentimiento de los estudiantes, ya que ambas son instituciones diferentes con finalidades diferentes, a pesar de estar presente en ambos Consejos el Rector de la Universidad. También en 2002, la Consejería de Educación y Juventud del Gobierno de Cantabria infringió el deber de secreto al suministrar a El Diario Montañés unas pruebas de impresión de títulos académicos entre los que aparecían los datos personales de la persona denunciante, infringiendo el deber de confidencialidad que atañe a cualquier persona que forme parte de un tratamiento de datos personales.

Otras 14 actuaciones de inspección se abrieron en el año 2002 en el ámbito de las Administraciones Autonómicas.

En cuanto a la Administración General del Estado, se han producido en el año 2002 un total de 57 quejas, 34 de las cuales han necesitado actuaciones de investigación previa y las 23 restantes han sido procedimientos de Tutela de Derechos de los ciudadanos, 13 de ellas fueron estimadas. Destacan las siguientes actuaciones:

El Instituto Nacional de la Seguridad Social facilitó datos personales de un pensionista a terceros sin su consentimiento. Los datos que comunicó fueron los datos económicos de su pensión, la clase de pensión (incapacidad absoluta), etc. Para facilitar esta información se le requiere al solicitante el original del DNI. En este caso no existía documento acreditativo. El INSS vulneró el deber de secreto que debe de guardar el responsable del fichero y cuantas personas intervengan en el tratamiento.
La Entidad Pública Empresarial Correos y Telégrafos infringió la LOPD al ceder datos personales de sus empleados a una tercera entidad sin haber recabado el consentimiento. La Dirección Provincial de Correos y Telégrafos de La Rioja cedió los datos personales de los empleados en un listado que contenía los nombres, apellidos y lugar de trabajo de los empleados para realizar un mailing promocional a los empleados de la entidad. Los datos se recabaron del fichero de Correos y Telégrafos y entregados en soporte papel a la empresa cesionaria. La finalidad promocional es incompatible con la finalidad que le es propia a Correos.

GLOSARIO DE TÉRMINOS

Fichero: conjunto organizado de datos personales cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso

Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

Afectado o interesado: persona física titular de los datos que sean objeto de tratamiento.

Responsable del fichero: persona física o jurídica, de naturaleza pública o privada u órgano administrativo que decida sobre la finalidad, contenido y uso del tratamiento.