¿Quiénes estamos obligados a cumplir la protección de datos?

lopdfirma10abogadosCon toda seguridad, si está leyendo este artículo, es probable que esté obligado al cumplimiento de la normativa de protección de datos.
La cuestión es que no lo sabemos o creemos que no tenemos suficiente “identidad” para que nos requieran a cumplir. Pero la verdad, es que estamos en la “diana” con toda seguridad para ser sancionados.
En nuestro tiempo y con el avance de las tecnologías, cada vez es más usado el término “protección de datos”, así como la obligación existente de proteger los mismos. Vamos al médico, al hospital, incluso a una entrevista, y nos hacen firmar una “hoja de información, consentimiento y uso de protección de datos”. En cualquier página web, nos aparece la conocida frase al final del texto, así como la autorización de cookies. Y nunca nos preguntamos ¿quién está obligado a la protección de datos?, ¿estaré yo obligado a cumplir la protección de datos?.
Pues desde este artículo informo que con toda probabilidad usted está obligado a cumplir el requisito exigido por la Agencia Española de Protección de Datos (AEPD).
Desde la entrada en vigor de la Ley orgánica 15/1999 de Protección de datos ( LOPD), la adecuación de los ficheros de datos personales a los preceptos establecidos en la misma es obligatorio para la casi totalidad de empresas, comercios, sociedades, autónomos y profesionales, ya sean personas física o jurídica que traten datos personales que identifican a personas físicas y se hallen en territorio español o le sea de aplicación la legislación española conforme a las normas de Derecho Internacional público.

¿Sabía que tratar datos de carácter personal es la realización en su actividad de recogida de nombre, apellidos, fecha de nacimiento, domicilio, correo electrónico, número de teléfono, número de identificación fiscal, número de la seguridad social, …. de sus clientes, usuarios, visitantes, empleados, proveedores, etc., y ya sea en soporte informático, papel, vídeo o internet ?.

¿Sabía que pasar datos personales de un cliente, empleado o proveedor a un compañero u otro profesional requiere de consentimiento?.

¿Sabía que las personas que usan los datos personales tienen distinta responsabilidad según tengan carácter de responsable de los mismos o encargado de su tratamiento o sean cesionarios de su uso? ¿ Y que esta diferencia de tratamiento y responsabilidad debe ser manifestada a la AEPD?

¿Sabía que la “simple” instalación de una cámara de videovigilancia puede incumplir la normativa de la LOPD?

¿Sabía que el control laboral de los trabajadores por el empresario, la promoción turística, la investigación, los estudios conductuales, el marketing, etc,…si usa videocámara puede estar incumpliendo la LOPD?

¿Sabía que crear una página web incumpliendo la normativa de cookies, que recoge la Ley de Servicios de la Sociedad de la Información (LSSI), también es sancionable por la AEPD?.

Preguntamos el DNI de nuestro cliente y su domicilio, guardándolo en nuestra carpeta y archivo; recogemos informes médicos o de carácter privado sin dar mayor importancia; pasamos información vía fax o email a compañeros u otros profesionales sin asegurarnos que son datos privados que deben estar protegidos. Es común, por ejemplo, que para la seguridad de nuestras casas, viviendas, portales o garajes, la comunidad de propietarios, el particular o la empresa, coloque un sistema de videovigilancia. Pues bien, la instalación de cámaras de videovigilancia sin los requisitos adecuados y obligatorios supone sanción al recoger datos de carácter personal como es una imagen.

Se exceptúan si el uso de estos datos es de personas jurídicas y también si es para actividades exclusivamente personales o domésticas, es decir, el uso en la vida privada o familiar de los particulares.

Este deber sigue siendo desconocido para la gran mayoría, sobre todo para autónomos y pequeñas empresas o comercios.

En todos estos casos, quién recoge los datos, llamado responsable del fichero o tratamiento, debe cumplir con dos obligaciones básicas: Informar de los derechos de acceso, rectificación, cancelación y oposición, también conocidos como derechos ARCO, y solicitar el consentimiento.

Sólo en algunos casos muy concretos, la Ley permite que se recojan datos sin autorización del ciudadano. Artículo 6 LOPD.
Destacamos que no se requiere consentimiento de los datos personales de los trabajadores por ser partes de una relación laboral siempre que sean adecuados, pertinentes y no excesivos.

El incumplimiento de esta normativa está sancionado. Las infracciones a la LOPD van desde apercibimientos hasta sanciones económicas importantes, que van desde los 900,00 hasta los 600.000,00 euros, según la infracción se considere leve, grave o muy grave. El tipo de infracción atenderá al nivel de datos afectado (básico, medio o alto).

Es importante saber que cada profesional autónomo es responsable de sus ficheros, y que cualquier acceso por un tercero a los datos de los mismos, es considerado una cesión de datos.

La LOPD exige que el tratamiento por cuenta de terceros esté regulado en un contrato por escrito o en alguna otra forma que permita acreditar su celebración y contenido, y que cumpla una serie de requisitos.

A veces, no somos responsables del fichero, pues si un profesional es contratado por una empresa para llevar sus asuntos, tratará datos personales de los trabajadores, proveedores, etc, y seremos encargados del tratamiento de datos como es el caso de abogados, asesores fiscales, informáticos o cualquier otro que acceda a los datos de la empresa con el único objetivo de prestarle un servicio, pero el responsable del fichero será la empresa. Hay que diferenciar si ese tratamiento se hace en las dependencias de la empresa o no y hacerlo constar en el documento de seguridad.

Si es autónomo administrador de una S.L. o S.A, a nivel personal no tiene obligación de cumplir con la LOPD, pero sí su empresa, por lo que como administrador de ésta, tendrá que velar para que cumpla con la LOPD.
A modo de ejemplo, estarán obligadas las empresas, clínicas sanitarias, aseguradoras, entidades bancarias, comercios, y todos los que tengan ficheros de datos de empleados (aunque sólo sea uno), clientes y proveedores.
El encargado del tratamiento está sujeto, junto con el responsable del fichero, al régimen de sanciones previsto en la LOPD.
Estas sanciones suelen ser administrativas, y en casos excepcionales el denunciante o afectado puede percibir indemnización. El artículo 19 de la LOPD prevé a los interesados el derecho a solicitar una indemnización ante los tribunales ordinarios (no ante la AEPD), cuando “como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados.”
Por ejemplo, esta posibilidad de indemnización se ha estimado sobre todo en aquellos supuestos de inclusión de datos personales en ficheros de morosos de manera no justificada.
¿Es real que se está sancionando por no cumplir los requisitos de la LOPD?
En la web:Portal de la Agencia de Protección de Datos, podemos ver un resumen de las resoluciones sancionadoras más destacadas.

Lo peor de todo es que incumplimos una normativa por desconocimiento.
Todos estos hechos cotidianos que hemos referido y que cualquier profesional realiza diariamente, debe ser respaldado con la inscripción de ficheros en el Registro General de Protección de Datos y con la creación de un documento de seguridad que permita asegurar que todos estos datos están siendo recogidos a nivel profesional y con garantía de protección. Cumplir con este requisito nos permitirá evitar una sanción y seguir ejerciendo nuestra actividad empresarial de una forma segura.

La inscripción de los ficheros en el Registro General de Protección de Datos es gratuito pero recomendamos desde Firma10 Abogados que sea realizado por profesionales que conozcan su caso y sus necesidades, de forma individualizada, pues la inscripción debe ir acompañada de un documento de seguridad que recoja su actividad profesional, el uso de esos datos, la persona responsable y personas que pueden acceder o tratar esos datos dentro de la empresa o negocio, así como el nivel de seguridad que le corresponde. Debemos comenzar a dar importancia a una normativa que puede conllevar sanciones altas e importantes, y que tiene fácil solución para evitarlas.

Lda. Marisa Rodríguez Caballo.
FIRMA10 ABOGADOS.