CONTENIDOS LEGALES
PARA SU CONOCIMIENTO PRÁCTICO,RECOGEMOS, A CONTINUACIÓN, TODOS LOS ASPECTOS DE CONTENIDO LEGAL QUE AFECTAN AL TRATAMIENTO DE LOS DATOS DE CARÁCTER PERSONAL, YA SEAN REFERIDOS A LAS LEYES Y REGLAMENTOS VIGENTES COMO A LAS OBLIGACIONES,SANCIONES O CLASIFICACIÓN DE LOS DATOS POR NIVELES DE SENSIBILIDAD.
Qué es la LOPD
La LOPD permanece vigente desde el 15 de enero de 2000, momento en el que quedó derogada la anterior LORTAD. La diferencia fundamental entre ambas es que el ámbito de la LORTAD únicamente abarcaba los ficheros que contuviesen datos de carácter personal que se almacenasen en soporte electrónico. La LOPD amplia este ámbito a cualquier tipo de soporte, es decir, los ficheros en formato papel también están sujetos a esta reglamentación.
No obstante lo anterior, la LOPD mantiene vigentes algunos aspectos de la LORTAD. En este sentido se establece que se mantiene la vigencia de la LORTAD "en todo lo que no se oponga a la Ley". Este es el caso por ejemplo, del Reglamento de Medidas de Seguridad, cuya vigencia es anterior a la propia Ley.
La Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) establece una serie de obligaciones para las empresas, los profesionales autónomos y las administraciones públicas que sean titulares de datos de carácter personal
Asimismo, dicha Ley, que deroga la anterior LORTAD, tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.
Ambito de aplicación y obligaciones legales
AMBITO DE APLICACION
La LOPD es de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.
Si bien el registro de datos en soporte físico incluye tanto a los ficheros informatizados como a los convencionales, el Reglamento de Medidas de Seguridad, es únicamente aplicable a los ficheros informatizados.
Por otro lado, los sujetos a los que es de aplicación la Ley son todas las personas físicas y jurídicas tanto de naturaleza pública como privada. Es decir, la LOPD abarca no sólo a las empresas privadas sino también a personas físicas en el desempeño de su actividad profesional, a las administraciones públicas, asociaciones, organismos, ... y en general a toda persona que trate datos de carácter personal.
OBLIGACIONES LEGALES
Las obligaciones derivadas de la Ley Orgánica de Protección de Datos de Carácter Personal son, en síntesis, las siguientes:
En relación con la Agencia de Protección de Datos
* Inscribir en el Registro General de Protección de Datos los ficheros que contengan datos de carácter personal, estén automatizados o no.
* Notificar a la Agencia de Protección de Datos las modificaciones sustanciales que se realicen sobre los ficheros inscritos, así como la cancelación de los mismos.
* Colaborar con la Agencia de Protección de Datos en el ejercicio de sus competencias, bajo la amenaza de sanción de hasta 10 millones de pesetas.
En relación con las personas cuyos datos se recogen
* Informar sobre la existencia y la finalidad del fichero, y quién se responsabiliza del mismo.
* Obtener el consentimiento de los afectados.
* Respetar el régimen de cesión de los datos impuesto por la Ley, notificándolo a los afectados.
* Ofrecer a los afectados los derechos de acceso, rectificación, oposición y cancelación.
* Garantizar la seguridad de los ficheros y la aplicación de las medidas de seguridad que se hayan implantado de acuerdo con lo establecido en los correspondientes reglamentos.
* Guardar el secreto sobre la información contenida.
* Respetar la calidad y exactitud de los datos y utilizarlos exclusivamente para el fin para el que se recogieron.
La LOPD es de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.
Si bien el registro de datos en soporte físico incluye tanto a los ficheros informatizados como a los convencionales, el Reglamento de Medidas de Seguridad, es únicamente aplicable a los ficheros informatizados.
Por otro lado, los sujetos a los que es de aplicación la Ley son todas las personas físicas y jurídicas tanto de naturaleza pública como privada. Es decir, la LOPD abarca no sólo a las empresas privadas sino también a personas físicas en el desempeño de su actividad profesional, a las administraciones públicas, asociaciones, organismos, ... y en general a toda persona que trate datos de carácter personal.
OBLIGACIONES LEGALES
Las obligaciones derivadas de la Ley Orgánica de Protección de Datos de Carácter Personal son, en síntesis, las siguientes:
En relación con la Agencia de Protección de Datos
* Inscribir en el Registro General de Protección de Datos los ficheros que contengan datos de carácter personal, estén automatizados o no.
* Notificar a la Agencia de Protección de Datos las modificaciones sustanciales que se realicen sobre los ficheros inscritos, así como la cancelación de los mismos.
* Colaborar con la Agencia de Protección de Datos en el ejercicio de sus competencias, bajo la amenaza de sanción de hasta 10 millones de pesetas.
En relación con las personas cuyos datos se recogen
* Informar sobre la existencia y la finalidad del fichero, y quién se responsabiliza del mismo.
* Obtener el consentimiento de los afectados.
* Respetar el régimen de cesión de los datos impuesto por la Ley, notificándolo a los afectados.
* Ofrecer a los afectados los derechos de acceso, rectificación, oposición y cancelación.
* Garantizar la seguridad de los ficheros y la aplicación de las medidas de seguridad que se hayan implantado de acuerdo con lo establecido en los correspondientes reglamentos.
* Guardar el secreto sobre la información contenida.
* Respetar la calidad y exactitud de los datos y utilizarlos exclusivamente para el fin para el que se recogieron.
Clasificación de los datos
El Reglamento de medidas de seguridad establece que los datos de carácter personal recogidos y tratados en ficheros, informatizados o manuales, pueden clasificarse en tres niveles: básico, medio y alto, atendiendo a la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la información.
Estos son los datos que corresponden a cada uno de esos tres niveles, de acuerdo con las definiciones especificadas en el propio Reglamento:
Nivel Básico
Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico y en este nivel se incluyen:
• Datos Identificativos (nombre y apellidos, dirección y código postal, teléfono, DNI etc.
• Cuota Sindical
• Grado de Discapacidad
• Tratamiento Incidental o accesorio de datos sensibles
Nivel Medio
Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros , aquellos ficheros cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, Seguridad Social y Elaboración de Perfiles deberán reunir, además de las medidas de nivel básico, las calificadas como de nivel medio.
Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo deberán garantizar las medidas de nivel medio.
Nivel Alto
Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual, violencia de género, datos tráfico y localización así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas como de nivel alto.
Estos son los datos que corresponden a cada uno de esos tres niveles, de acuerdo con las definiciones especificadas en el propio Reglamento:
Nivel Básico
Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico y en este nivel se incluyen:
• Datos Identificativos (nombre y apellidos, dirección y código postal, teléfono, DNI etc.
• Cuota Sindical
• Grado de Discapacidad
• Tratamiento Incidental o accesorio de datos sensibles
Nivel Medio
Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros , aquellos ficheros cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, Seguridad Social y Elaboración de Perfiles deberán reunir, además de las medidas de nivel básico, las calificadas como de nivel medio.
Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo deberán garantizar las medidas de nivel medio.
Nivel Alto
Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual, violencia de género, datos tráfico y localización así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas como de nivel alto.
Sanciones
Este es el cuadro de sanciones establecido en la Ley Orgánica de Protección de Datos de Carácter Personal.
Tipos de Sanciones
Leves: 100.000 a 10.000.000 ptas. (601,01 € a 60.101,21 €)
Graves: 10.000.000 a 50.000.000 ptas. (60.101,21 € a 300.506,05 €)
Muy graves: 50.000.000 a 100.000.000 ptas. ( 300.506,05 € a 601.012,10 €)
La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.
Prescripción de las sanciones
Leves: 1 año
Graves: 2 años
Muy graves: 3 años.
Inmovilización de ficheros
En el caso de utilización o cesión ilícita de datos que atenten contra los derechos fundamentales, el Director de la A.P.D. (Agencia de Protección de Datos) podrá requerir a los responsables de los ficheros, tanto públicos como privados, la cesación de la utilización o cesión ilícita de los datos. Si se desatiende el requerimiento, se podrán inmovilizar los ficheros mediante resolución motivada.
Causas de las sanciones
Leves
Graves
Muy graves
