10 Consideraciones sobre la Ley de Protección de Datos de Carácter Personal

 

10 Considerations for Data Protection Act Personal Character

 Docta Ignorancia Digital, Derecho

Fuente: PROVIDENCE SOLUTIONS

*Ernesto Jarillo Serrano

RESUMEN: La AEPD es el “guardián” de la Ley Orgánica de Datos de Carácter Personal (LOPD). Se encarga básicamente de velar por su cumplimiento, lo que se traduce en atender todas las reclamaciones de las personas que se sienten afectadas e investigar y sancionar a todas las empresas a quienes las anteriores han denunciado.

 

1) La Agencia Española de Protección de Datos…y sus famosas sanciones 

La AEPD es el “guardián” de la Ley Orgánica de Datos de Carácter Personal (LOPD). Se encarga básicamente de velar por su cumplimiento, lo que se traduce en atender todas las reclamaciones de las personas que se sienten afectadas e investigar y sancionar a todas las empresas a quienes las anteriores han denunciado. Para ello cuenta con un numeroso equipo que incluye todo un cuerpo de inspectores (como los de Hacienda o los de Trabajo), encargado de instruir los procedimientos y sancionar.

Las sanciones de la AEPD son célebres. Y no sólo por su cuantía (de 900 a 40.000 euros por las infracciones más leves hasta 600.000 euros por las muy graves), sino también por su curioso sentido de la “justicia” entre empresas.

Es decir, cuando la AEPD entiende que una empresa ha cometido una infracción, a la hora de graduar la sanción que le corresponde no tiene en cuenta ni el número de trabajadores de la empresa que la ha cometido ni su facturación, por lo que ante un error idéntico impondría el mismo importe como multa a una multinacional con
presencia en el IBEX 35 y a la mercería de la esquina. 

Y un par de cosas curiosas respecto a las sanciones: en primer lugar, que son la principal fuente de ingresos de la propia AEPD pues, aunque anualmente recibe fondos a cargo de los Presupuestos Generales del Estado, su primordial fuente de financiación son las multas que impone. Y otra curiosidad: pese a que las administraciones públicas están obligadas exactamente igual que las empresas privadas a cumplir la LOPD (y por ello también pueden ser denunciadas e inspeccionadas), hay una pequeña diferencia entre ellas, y es que las administraciones no pueden ser sancionadas económicamente. Lo más que reciben 

 

2) En qué casos se aplica la LOPD en los datos que maneja su empresa 

La LOPD se aplica a todos los datos personales (es decir, cualquiera que permita identificar a una persona) con los que su empresa haya creado o pretenda crear un fichero.

Teniendo en cuenta que una empresa -por ejemplo, la suya-, en su actividad normal recaba una ingente cantidad de información personal (de empleados, de clientes, de interesados en sus servicios…) y que obviamente la incorpora a algún tipo de fichero para poderla manejar (lo que la LOPD llama “tratamiento de la información”) entonces cuente con que su empresa está sometida a todas las exigencias de la normativa de protección de datos… y a toda su maquinaria sancionadora.

Empezando por lo más sencillo: ¿Tiene los nombres y direcciones de sus clientes para enviarles sus productos o restarles un servicio? Pues eso es un fichero con información personal sometido a la LOPD. ¿Tiene archivados los contratos de trabajo de sus empleados?

Pues eso también es un fichero con información personal sometido a la LOPD. Y a partir de ahí, las cosas se pueden ir complicando: videocámaras en los centros de trabajo, fotografías, huellas dactilares, direcciones de e-mail, campañas de marketing con nuevos servicios, curriculum de candidatos en un proceso de selección…

 

3) Inscripción de ficheros 

La primera obligación de una empresa que maneje ficheros con datos personales es inscribirlos en la AEPD.

Sin embargo, el porcentaje de empresas que aún no lo ha hecho es ingente. No hacerlo es en sí mismo una infracción sancionable con una multa de hasta 40.000 euros pero, además, un error estratégico muy grave. 

Si su empresa tiene algún problema con la AEPD (y es investigada por alguna razón) lo primero que verificará la Agencia es si tiene sus ficheros inscritos. Si no es así, ya poco podrá alegar a su favor, puesto que habrá empezado por incumplir la más elemental de sus obligaciones. Es algo así como si le para la policía mientras va conduciendo y usted ni siquiera tiene el carné de conducir o el seguro a terceros del coche. Por el contrario, si los ficheros están convenientemente inscritos, la Agencia empezará a estudiar su caso con buenos ojos.


4) Cuidado con los clientes descontentos… y con algún trabajador resentido 

La AEPD puede iniciar en cualquier momento un procedimiento contra su empresa ante cualquier indicio de que pueda estar cometiendo una infracción. Entre esos “indicios” es llamativa la cantidad de inspecciones a empresas que proceden de denuncias realizadas por trabajadores y, sobre todo, por ex trabajadores que, obviamente, lo que persiguen es perjudicar a la empresa. El mismo razonamiento se aplica a un cliente enfadado por un mal servicio. 

Un ejemplo demasiado frecuente es el de un trabajador al que acaban de despedir que, al margen de reclamar o no judicialmente contra su despido, lo que hace es dirigirse a la AEPD denunciando algún incumplimiento de la empresa en materia de protección de datos y solicitando que inicie un procedimiento sancionador, lo que automáticamente pone en marcha a la AEPD. ¿Qué puede hacer su empresa? Para empezar, tener en cuenta que un empleado o ex empleado enfadado, con una simple denuncia ante la AEPD, tiene en sus manos un instrumento capaz de hacer mucho daño a su empresa.

 

5) El consentimiento, la llave que abre todas las puertas

Muchos empresarios sienten que la LOPD les ata las manos y les impide tomar iniciativas empresariales o de marketing. 

Y no es del todo cierto… aunque es evidente que ha obligado a hacer las cosas de otra forma. Desde luego no se puede actuar con la despreocupación de antes de la LOPD, pero eso no significa renunciar a buenas campañas de marketing, a estar en contacto con los clientes y a otras acciones imprescindibles para la buena marcha de una empresa. 

La clave está en el consentimiento, es decir, que cada persona de quien se recojan datos personales dé su autorización para que se utilicen para la finalidad concreta para la que se le han pedido. Y, a partir de ahí, vienen excepciones a la necesidad del consentimiento (es decir, situaciones en las que no va a ser necesario que su empresa pida el consentimiento), otras en las que el consentimiento es tácito (es decir, se parte de que su empresa tiene el consentimiento y lo que tiene el afectado es un plazo concreto para ponerse), necesidad de un consentimiento “reforzado” para tratar datos especialmente delicados (religión, salud, ideología, etc.), formas un poco especiales de obtenerlo (por ejemplo, en el caso de menores de edad), etc.

6) Derechos de acceso, rectificación, cancelación, oposición… buff!... muchas obligaciones para su empresa 

Su empresa ya tiene el dato personal que necesitaba y cuenta para ello con el consentimiento de la persona a quien pertenece esa información. ¿Ahí acaban sus obligaciones?

¡Ni mucho menos! En realidad acaban de empezar. Partimos de la base de que al recabarlos informó a esa persona de quién es su empresa, para qué va a utilizar esa información y de todos los derechos que le asisten. 

Ahora toca ponerlos en práctica y prever cauces para ello, teniendo en cuenta que cuando esa persona ejerza alguno de esos derechos (como los de rectificación o cancelación) usted sólo cuenta con unos pocos días para responder y que exigen por su parte no sólo actuar dentro del plazo, sino contestar razonadamente por escrito al titular de ese dato. Estamos hablando de que esa persona quiera saber qué información se posee de ella, se oponga a recibir publicidad, revoque el consentimiento que antes le había dado, pida que se le borre del fichero (lo que no siempre puede legalmente hacer su empresa pues otras leyes le obligan a conservar la información…).

7) A cada tipo de dato, su nivel de protección 

No datos personales merecen la misma protección. Así, no es lo Mismo archivar información como el nombre y los apellidos, la dirección y el teléfono (que la LOPD considera de nivel “básico”), que datos de nivel “medio” o datos especialmente sensibles como salud, ideología, religión, etc. (que son de nivel “alto”). Saber qué datos utiliza su empresa respecto a cada colectivo del que maneja información (trabajadores, clientes, clientes potenciales, proveedores, etc.) es esencial porque condiciona las medidas de seguridad que deberá aplicar a cada uno de ellos (lógicamente, a mayor nivel, mayores medidas de seguridad). 

Y no crea que son medidas sencillas (ni siquiera las del nivel más bajo): contraseñas informáticas confidenciales y que deben cambiarse regularmente, control de acceso a los locales, copias de seguridad, registros de incidencias actualizados, comunicaciones encriptadas, destrucción de documentos, cláusulas legales que deben firmar los trabajadores de su empresa que manejen estos datos… 

Todos los procedimientos de seguridad de una empresa deben quedar recogidos en lo que la Agencia Española de Protección de Datos denomina “Documento de seguridad”, incluso si sólo maneja datos de nivel básico, y que debe de estar actualizado y le puede ser requerido en cualquier momento. Por cierto… ¿cuenta su empresa con ese “Documento de Seguridad”? 

8) El deber de secreto…¡Shhhhh

¿Recuerda el deber de secreto profesional al que se deben profesionales como los médicos o los abogados respecto a sus pacientes o clientes? Pues exactamente lo mismo es lo que debe garantizar su empresa respecto a los datos personales que maneja. Y esto supone más que una simple declaración de intenciones, por lo que debe implantar en su empresa sistemas eficaces, que impliquen a todos los empleados que utilizan los datos, para que la información que manejan no pueda filtrarse por ningún lado ni intencionadamente ni por error o equivocación.

9) Cómo ceder o comunicar legalmente datos personales a un tercero 

Recuerda el deber de secreto que su empresa está obligada a mantener respecto a los datos personales que posee y que acaba de leer? Eso significa que si por alguna razón usted piensa ceder los datos a otra empresa -o al menos dejarles acceder a ellos- necesita el consentimiento expreso de cada persona a quien corresponden esos datos. 

Sería el caso, por ejemplo, de que usted pensara comercializar sus bases de datos de clientes para que otros las usaran en sus campañas de marketing. 

¿Pero qué pasaría si alguien externo a su empresa tiene que tener acceso a los datos personales no porque tenga interés en ellos, sino simplemente como parte de la prestación de un servicio a su empresa (por ejemplo, la gestoría que prepara las nóminas, los informáticos que acceden a su red, la empresa que limpia sus locales, la empresa que gestiona la vigilancia de la salud de sus trabajadores…)? Siguiendo la lógica de la ley, se trataría en principio de una cesión o comunicación de datos y necesitaría el consentimiento de cada afectado, pero la normativa es “comprensiva” en este punto y entiende que en los casos en los que un tercero accede a los datos personales que maneja una empresa como parte imprescindible de la prestación de un servicio (como los cuatro ejemplos anteriores), entonces no es necesario el consentimiento. 

Pero eso sí, es imprescindible que su empresa suscriba un contrato con cada una de ellas que regule las relaciones entre el responsable del fichero -su empresa- y el encargado del tratamiento de ese fichero -la otra empresa contratada- y las condiciones del acceso a esos datos, así como las responsabilidades de cada una de las partes. ¡Atención!: Si su empresa no firma ese contrato, estaría llevando a cabo una cesión inconsentida de datos (¡¡una infracción muy grave!!) y, además, si no existiera el contrato y se produce alguna infracción por parte de la otra empresa, su empresa será tan responsable de la infracción como la otra.

10) Recuerde… Orgánica de Protección de Datos de Carácter Personal (LOPD) es dar control a todas las personas (¡ojo!, sólo físicas) sobre sus datos personales. 

Eso se traduce en múltiples derechos para las personas…y las correspondientes múltiples obligaciones para las empresa.