Ley Protección Datos


Ley de Protección de datos (LOPD)

Ley Orgánica de Protección de Datos (LOPD)

Existe la falsa creencia de que sólo las empresas que desarrollan actividades relacionadas con las Nuevas Tecnologías están obligadas a cumplir las obligaciones que impone la Ley de Protección de datos (LOPD) (Ley Orgánica 15/1999, de 13 de diciembre). Sin embargo, es importante saber que es de obligado cumplimiento para TODAS las personas físicas o jurídicas que posean datos de carácter personal de personas físicas.

Por datos de carácter personal se entiende cualquier información que identifique o permita identificar a una persona física como pueden ser; nombre y apellidos, fecha de nacimiento, DNI, dirección, teléfono, nº de seguridad social, firma, etc…

Estos datos, almacenados de forma organizada,  son los que forman los denominados ficheros. Estos ficheros pueden ser automatizados (en soporte informático) o no automatizados (en soporte físico o de papel). Los más comunes van a ser; el fichero de proveedores, de clientes, de empleados…

¿Cuál es la finalidad de la LOPD?

La finalidad de esta ley es garantizar la protección y el buen tratamiento de los datos de carácter personal. Según la información que recojamos, variará el nivel de protección exigido por la ley. De este modo, diferenciaremos tres niveles:

  • Nivel básico. Engloba los datos identificativos como el nombre, apellidos, DNI, dirección, teléfono, edad, nacionalidad, firma, e-mail, nº S. Social, imagen, voz..
  • Nivel medio. En este nivel se incluyen los datos referidos a infracciones administrativas o penales, solvencia patrimonial o de crédito (ficheros de morosos e impagos), datos tributarios o de la S. Social, servicios financieros, referentes a la personalidad o comportamiento de personas (costumbres, gustos, aficiones..)
  • Nivel alto. Datos referidos a la ideología política, afiliación sindical, religión, creencias, origen racial, salud, vida sexual o violencia de género.

El responsable de estos datos y de su tratamiento será la persona que decida sobre la finalidad, el contenido y el uso del tratamiento de los datos personales. Entre los deberes del responsable estarán:

  • Inscripción de ficheros; ante el Registro General de Protección de datos.
  • Calidad de los datos; estos deben de ser adecuados y veraces. Los datos de carácter personal se recogerán utilizando medios que no sean fraudulentos. Además, habrá que mantenerlos actualizados.
  • Deber de guardar secreto; obligación de guardar secreto profesional y mantener la confidencialidad de los mismos.
  • Deber de información; Informar y obtener consentimiento para la recogida y tratamiento de los datos personales.
  • Consentimiento del afectado; se debe disponer del consentimiento del titular de los datos salvo que  el tratamiento este fundamentado en una de las excepciones legalmente previstas.
  • Atención de los derechos de los ciudadanos (ARCO); derecho de acceso, rectificación, cancelación y de oposición.
  • Seguridad de los datos;  se deben adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de dichos datos y eviten su alteración, pérdida, tratamiento o acceso no autorizado.

Puesto que la LOPD tiene por objeto proteger la intimidad de las personas físicas, las personas jurídicas no podrán beneficiarse de esa protección. Por lo que si eres autónomo, según la situación en la que te encuentres, te afectará de una u otra forma:

  • Autónomo administrador de una S.L o S.A: En este caso, el autónomo a nivel personal no tiene obligación de cumplir con la LOPD, pero sí su empresa, por lo que como administrador de ésta tendrá que velar para su cumplimiento.
  • Autónomo con actividad empresarial y personal a cargo: Tendrá que cumplir con dicha ley, al ser responsable de los datos de carácter personal de sus empleados, clientes y/o proveedores.
  • Autónomo con actividad empresarial sin personal a cargo: Se evaluará la naturaleza del negocio y si trata datos de clientes o proveedores, de qué tipo son y si deben o no estar organizados en ficheros. Si no existen ficheros, no tendrá que cumplir con la LOPD, pero si sus clientes son personas particulares será probable que si tenga que cumplir con ella.

¿Porqué cumplir con la LOPD?

Es importante cumplir con esta ley, en primer lugar, para garantizar que nuestro negocio se encuentra dentro de las exigencias legales, ya que de lo contrario podrían verse afectadas nuestras relaciones comerciales futuras.

También, debemos considerar el posible coste para la empresa si ocurriese una pérdida de datos personales confidenciales por fallos informáticos, inundaciones, incendio, etc.

Además, debemos saber que si no cumplimos con la LOPD, nos podemos enfrentar a importantes sanciones económicas, su cuantía variará en función del tipo de infracción que se cometa. Las infracciones pueden ser leves, graves o muy graves:

Son infracciones leves:

  • No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo.
  • No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos (RGPD).
  • El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos sean recabados del propio interesado.
  • La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley.

Son infracciones graves:

  • Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el “Boletín Oficial del Estado” o diario oficial correspondiente.
  • Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo.
  • Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave.
  • La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley.
  • El impedimento o la obstaculización del ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
  • El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos no hayan sido recabados del propio interesado.
  • El incumplimiento de los restantes deberes de notificación o requerimiento al afectado impuestos por esta Ley y sus disposiciones de desarrollo.
  • Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.
  • No atender los requerimientos o apercibimientos de la Agencia Española de Protección de Datos o no proporcionar a aquélla cuantos documentos e informaciones sean solicitados por la misma.
  • La obstrucción al ejercicio de la función inspectora.
  • La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave.

Son infracciones muy graves:

  • La recogida de datos en forma engañosa o fraudulenta.
  • Tratar o ceder los datos de carácter personal a los que se refieren los apartados 2, 3 y 5 del artículo 7 de esta Ley salvo en los supuestos en que la misma lo autoriza o violentar la prohibición contenida en el apartado 4 del artículo 7.
  • No cesar en el tratamiento ilícito de datos de carácter personal cuando existiese un previo requerimiento del Director de la Agencia Española de Protección de Datos para ello.
  • La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos salvo en los supuestos en los que conforme a esta Ley y sus disposiciones de desarrollo dicha autorización no resulta necesaria.

Según la Ley 2/2011, de 4 de marzo de Economía Sostenible, sobre la LOPD, artículo 45, la cual ha modificado algunos puntos de la Ley Orgánica 15/1999 de Protección de Datos, los importes de las sanciones se han reducido y quedan de la siguiente manera:

  • Las infracciones leves serán sancionadas con multas de 900 a 40.000€.
  • Las infracciones graves serán sancionadas con multas de 40.001 a 300.000€.
  • Las infracciones muy graves serán sancionadas con multas de 300.001 a 600.000€.

Es importante tener en cuenta que el coste de no cumplir con la ley puede ser mucho mayor que si lo hacemos. 

¿Cómo cumplir con la Ley?

La Agencia Española de Protección de Datos (AEPD), es la autoridad de control independiente que vela por el cumplimiento de la normativa y garantiza el derecho fundamental a la protección de datos personales.

Los pasos para el proceso de implantación de la LOPD serán:

  • Identificación de ficheros.
  • Notificación y hoja de solicitud.
  • Inscripción de ficheros.
  • Consentimiento del afectado para el tratamiento de datos personales.
  • Contratos con terceros en el caso de que exista una figura externa (gestoría, telemarketing…).
  • Nombrar el responsable de seguridad.
  • Aplicar las medidas de seguridad.
  • Elaborar el documento de seguridad.
  • Video vigilancia (si la hubiese).
  • Auditoría (obligatoria si se tienen datos de nivel medio y/o alto).