InicioLa Ley de protección de datosEl reglamentoLa AgenciaTus derechosTus obligacionesInfracciones y sanciones

General:

Inicio

Preguntas frecuentes

Enlaces y descargas

Aviso legal

Contacto

Copyright © 2008

Aviso. El contenido de esta web tiene un carácter meramente informativo, podría estar incompleto y carece de validez jurídica alguna. El uso que se haga del contenido de esta web es responsabilidad exclusiva del usuario.

Sumario


¿Que debe hacer el empresario cumplir con la Lopd?

Enfocando la cuestión desde el punto de vista empresarial privado, para que un empresario cumpla con lo previsto en la Ley Orgánica de Protección de Datos (Lopd) debe diseñar y poner en marcha una serie de medidas, normas de actuación, formularios, cláusulas y procedimientos que le permitan cumplir con todas y cada una de las garantías que la Lopd establece para proteger la intimidad y demás derechos fundamentales de los ciudadanos.

Cada organización es diferente y cada tratamiento de datos de carácter personal también lo es por lo que las acciones a emprender van a depender, entre otras cosas, del origen de los datos, del tipo de datos, de las características del tratamiento y del tipo de instalaciones y soportes en los que se encuentren almacenados dichos datos. Sin embargo, a titulo meramente orientativo, podemos decir que, de manera general, para cumplir con la Ley Orgánica de Protección de Datos (Lopd) el empresario debe tener en cuenta al menos los aspectos que vamos a analizar a continuación: la inscripción de los ficheros, la calidad de los datos, el deber de información, el consentimiento del afectado, los datos especialmente protegidos, la seguridad de los datos, el deber de secreto, la comunicación de datos, el acceso a los datos por cuenta de terceros, el ejercicio de los derechos arco y la transferencia internacional de datos.


Inscripción de ficheros

Todos y cada uno de los ficheros existentes en una empresa deben estar inscritos en el Registro General de Protección de Datos para que sean públicos y estén accesibles para su consulta por cualquier interesado. Para ello, el empresario debe notificar la existencia de los ficheros a la Agencia Española de Protección de datos utilizando del formulario de notificaciones telemáticas a la AEPD (NOTA). Una vez que la Agencia ha comprobado que la notificación cumple con todos los requisitos resolverá positivamente su inscripción en el Registro y remitirá al empresario el correspondiente código de inscripción.


Calidad de los datos

En cumplimiento del principio de “calidad de los datos” regulado en el artículo 4 de la Lopd el empresario debe tratar los datos de carácter personal aplicando las siguientes reglas:

  • Solamente podrá recoger los datos de carácter personal utilizando medios que no sean fraudulentos desleales o ilícitos.
  • Deberá recoger únicamente aquellos datos personales que sean adecuados, pertinentes y no excesivos en relación a la finalidad que persiga con su tratamiento.
  • Solamente utilizará los datos para finalidades compatibles con la finalidad que originó su recogida.
  • Deberá mantener los datos exactos y actualizados de forma que respondan con veracidad a la situación actual del titular.
  • Deberá cancelar los datos cuando hayan dejado de ser necesarios para la finalidad que originó su recogida.
  • Por ultimo, el empresario debe almacenar los datos personales de manera que el titular de los datos pueda ejercer su derecho de acceso cuando lo considere oportuno

Para cumplir con este principio, el empresario debe diseñar un procedimiento de recogida, tratamiento y almacenamiento de los datos que le permita dar cumplimiento a todas y cada una de las reglas que componen la “calidad de los datos”.


Deber de información

En cumplimiento del principio denominado “derecho de información en la recogida de los datos”, el empresario tiene el deber de informar al titular de los datos de modo expreso, preciso e inequívoco de todos los extremos regulados en el artículo 5 de la Lopd. El deber de información surge desde el mismo momento en que se recogen los datos, pero se cumple de diferente manera en función de si los datos se obtienen directamente de su titular o si provienen de otras fuentes.

Para cumplir con este principio, el empresario debe elaborar las cláusulas informativas y diseñar los procedimientos que sean necesarios para informar debidamente al ciudadano y demostrar posteriormente que ha cumplido con su obligación.


Consentimiento del afectado

En cumplimiento del principio denominado “consentimiento del afectado” regulado en el artículo 6 de la Lopd, el empresario solo podrá tratar los datos de carácter personal si dispone del consentimiento del titular de los datos salvo que el tratamiento este fundamentado en una de las excepciones legalmente previstas. Para cumplir con este principio, el empresario debe tener muy claro cuando necesita el consentimiento del afectado y cuando no lo necesita, y, en caso de necesitarlo deberá obtenerlo legalmente teniendo en cuenta que, para que sea valido el consentimiento, debe tratarse de una manifestación de voluntad libre, inequívoca, específica e informada.

En los casos en los que sea necesario el consentimiento del afectado, el empresario debe diseñar las cláusulas y los procedimientos que sean necesarios para obtener el consentimiento válido del titular de los datos y demostrar posteriormente que ha cumplido con dicha obligación.


Datos especialmente protegidos

Si el empresario utiliza datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias o datos que hagan referencia al origen racial, a la salud y a la vida sexual debe tener en cuenta que se trata de datos especialmente protegidos que deben ser tratados con la máxima cautela. En relación al tratamiento de este tipo de datos, y teniendo en cuenta lo previsto en el artículo 7 de la Lopd, el empresario debe tener en cuenta los siguientes aspectos:

  • El empresario no puede obligar al ciudadano a declarar sobre su ideología, religión o creencias y en caso de pedirle el consentimiento para tratar este tipo de datos debe advertirle acerca de su derecho a no prestarlo.
  • El empresario solo podrá utilizar datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias si dispone del consentimiento expreso y por escrito del interesado.
  • El empresario solo podrá utilizar datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual si dispone del consentimiento expreso.
  • Los ficheros en los que se encuentren almacenados los datos de carácter personal deben estar protegidos con las medidas de seguridad correspondientes al nivel alto.

Para tratar correctamente los datos especialmente protegidos, además de adoptar las medidas de seguridad de nivel alto, el empresario debe diseñar las cláusulas y los procedimientos que sean necesarios para obtener el consentimiento válido del titular de los datos y demostrar posteriormente que ha cumplido con dicha obligación.


Seguridad de los datos

En cumplimiento del principio de “seguridad de los datos” regulado en el artículo 9 de la Lopd, el empresario debe adoptar en su organización las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural.

Para cumplir con este principio, el empresario debe aplicar lo dispuesto en el Titulo VIII del Reglamento que desarrolla la Lopd (Real Decreto 1720/2007) , elaborando el denominado “Documento de seguridad” e implantando las medidas que sean necesarias en función del nivel de seguridad que necesiten cada uno de sus ficheros (básico, medio o alto). A la hora de implantar las medidas de seguridad, el empresario debe tener en cuenta que debe proteger tanto los ficheros automatizados (gestionados a través de archivos y aplicaciones informáticas) como los ficheros no automatizados (documentos en formato papel gestionados manualmente), aplicando las medidas previstas en el Real Decreto 1720/2007 para cada tipo de ficheros.


Deber de secreto

En cumplimiento del principio denominado “deber de secreto”, regulado en el articulo 10 de la Lopd, el empresario está obligado a guardar secreto profesional sobre los datos tratados y a mantener la confidencialidad de los mismos dentro de su organización, debiendo tener en cuenta que la ley extiende el deber de secreto a cualquier persona o entidad que intervenga en cualquiera de las fases del tratamiento aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.


Para cumplir con este principio, el empresario debe elaborar los contratos, cláusulas y procedimientos que le permitan dar a conocer a todos sus empleados y colaboradores su deber de secreto y las consecuencias de su incumplimiento.


Comunicación de datos

Cuando el empresario pretenda entregar los datos de carácter personal almacenados en sus fichero a otra persona, empresa o entidad para que los trate por su cuenta y bajo su propia responsabilidad debe hacerlo aplicando lo dispuesto en el artículo 11 de la Lopd, teniendo en cuenta que, de manera general, “los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”, salvo que la comunicación este fundamentada en alguna de las excepciones previstas en el artículo 11.2.

Para cumplir con este principio el empresario deberá aplicar las siguientes reglas:

  • Solamente cederá los datos para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario.
  • Informará al titular de los datos de una manera expresa, precisa e inequívoca de la identidad y el tipo de actividad que desarrolla el destinatario de los datos así como de la finalidad a que destinarán los datos.
  • En los casos en que sea necesario el consentimiento del afectado, el empresario debe diseñar las cláusulas y los procedimientos que sean necesarios para obtener un consentimiento válido (manifestación de voluntad libre, inequívoca, específica e informada) y demostrar posteriormente que se ha cumplido con esta obligación.

Acceso a los datos por cuenta de terceros

Cuando el empresario contrate a otra persona, empresa o entidad para que le preste algún tipo de servicio utilizando los datos de carácter personal almacenados en sus ficheros (servicios de contabilidad, elaboración de nóminas, envió de publicidad etc.) se produce una relación jurídica denominada “acceso a los datos por cuenta de terceros” en la que quien presta el servicio adquiere la condición de “encargado del tratamiento” y se limita a tratar los datos por cuenta del responsable del fichero, siguiendo estrictamente sus instrucciones y devolviendo o destruyendo los datos una vez haya finalizado el servicio contratado.

Para cumplir con este principio regulado en el artículo 12 de la Lopd, el empresario debe formalizar la prestación del servicio en un contrato cuyo contenido y características son las siguientes:

  • Forma del contrato. Para que el contrato sea válido, deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido
  • Tratamiento de los datos. El encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento.
  • Finalidad del tratamiento. En el contrato quedará reflejada la finalidad con la que se deben tratar los datos, y el encargado del tratamiento obligará a no utilizar los datos con otros fines.
  • Comunicación de datos. El encargado del tratamiento no comunicará los datos, ni siquiera para su conservación, a otras personas.
  • Medidas de seguridad. En el contrato se estipularán, asimismo, las medidas de seguridad que el encargado del tratamiento está obligado a implementar.
  • Finalización del servicio. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
  • Consecuencias del incumplimiento del contrato. Si el encargado del tratamiento destina los datos a otra finalidad, los comunica o los utiliza incumpliendo las estipulaciones del contrato, será también considerado responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

Ejercicio de los derchos Arco

El empresario debe facilitar a los ciudadanos el ejercicio de los denominados derechos Arco (acceso, rectificación, cancelación y oposición). Para ello, el empresario debe diseñar e implantar los procedimientos y formularios adecuados que por un lado faciliten al ciudadano solicitar el ejercicio de sus derechos y por otro lado, permitan al propio empresario contestar las solicitudes en los plazos legalmente establecidos. Además, el empresario debe formar a su personal para que sea capaz de atender al ciudadano y prestarle la información necesaria sobre los pasos a seguir para el ejercicio de sus derechos.


Tranferencia Internacional de Datos

Cuando el empresario tenga la intención de transmitir los datos de carácter personal a paises que no formen parte del Espacio Económico Europeo (actualmente formado por los países de la Unión Europea, Islandia, Liechtenstein y Noruega) debe realizar dicha transferencia aplicando todas las garantías previstas en la normativa sobre protección de datos. Para determinar cuales son las obligaciones del empresario a la hora de realizar una transferencia internacional de datos es necesario analizar el caso de que se trata, sin embargo, de manera general y a titulo orientativo, se deben tener en cuenta, al menos, los siguientes aspectos:

  • Notificación. Las transferencias Internacionales de datos deben ser notificadas a la Agencia Española de Protección de Datos para su inscripción en el Registro General de Protección de Datos.
  • Autorización previa. La transmisión de datos fuera del Espacio Económico Europeo requiere de autorización previa del Director de la Agencia Española de Protección de Datos que sólo podrá otorgarla si se obtienen las garantías adecuadas. No será necesaria dicha autorización si la transferencia se realiza bajo alguna de las excepciones previstas en el artículo 34 de la Ley Orgánica de Protección de Datos.
  • Requisitos específicos para la comunicación o cesión de datos. Cuando la transferencia internacional de datos se realice con el objeto de entregar los datos a un tercero para que este los trate por su cuenta, además de los requisitos generales de notificación y autorización previa, será necesario aplicar las garantías previstas legalmente para la “cesión o comunicación de datos”.
  • Requisitos específicos para el acceso a los datos por cuenta de terceros. Cuando la transferencia internacional de datos se realice para que un tercero preste un servicio al responsable del fichero (servicios de contabilidad, gestión de nóminas, atención al cliente, telemarketing etc.), además de los requisitos generales de notificación y autorización previa, será necesario aplicar lo legalmente previsto para el “acceso a los datos por cuenta de terceros”.


Copyright | Cuidatusdatos © 2008.Todos los derechos resevados.

» ¿Que es la protección de datos? | » ¿Que es la Lopd? | » ¿que son los datos de carácter personal? | » ¿Que es la Agencia de Protección de Datos? |» ¿Que son los derechos Arco? | » ¿Que es un fichero? | » ¿Que es un tratamiento de datos? | » ¿Quien debe cumplir con la Lopd? | » ¿quien es el responsable del fichero? | » ¿quien es el encargado del tratamiento? | » ¿Que son las fuentes accesibles al público? | » ¿Que hay que hacer para cumplir la Lopd? | » ¿Cómo se rellena el formulario NOTA?