¿Qué es la LOPD?


 

La LOPD, Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, y el RMS (Reglamento de medidas de seguridad) tienen por finalidad proteger los datos de carácter personal y los derechos fundamentales de privacidad e intimidad de las personas físicas.

El organismo encargado de velar por el cumplimiento de la legislación en materia de protección de datos es la Agencia Española de Protección de Datos (www.agpd.es), ente de Derecho Público que se relaciona directamente con el Gobierno a través del Ministerio de Justicia, pero con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones.

La legislación en materia de protección de datos impone la adopción de las llamadas “medidas de seguridad” para toda empresa, entidad o profesional que maneje datos de carácter personal (nombre, apellidos, dirección…) y el cumplimiento de una serie de principios de protección de datos.

El incumplimiento de las medidas impuestas por la Ley puede derivar en sanciones cuantiosas que pueden ir desde 900 hasta 600.000 euros, a través de dos vías diferentes:

- Inspección de oficio.
- Reclamación de un tercero (trabajador, extrabajador, clientes, contacto, etc).

Obligaciones de la LOPD

1. INSCRIPCIÓN DE FICHEROS

Los datos personales que haya en la empresa (bases de datos de clientes, proveedores, empleados, etc deberán ser inscritos en la AEPD (agencia Española de Protección de Datos).

2. MEDIDAS DE SEGURIDAD

Los datos personales que haya en la empresa (bases de datos de clientes, proveedores, empleados, etc deberán ser inscritos en la AEPD (agencia Española de Protección de Datos).

BÁSICO: nombre, dirección, teléfono, edad, etc.

MEDIO: datos relativos a la comisión de infracciones administrativas, penales, hacienda pública, servicios financieros y solvencia patrimonial.

ALTO: datos de ideología, origen racial, salud o vida sexual, así como datos recabados para fines policiales sin consentimiento de las personas afectadas.

3. DOCUMENTO DE SEGURIDAD

Conjunto de medidas a implantar dónde se especifica la normativa interna de obligado cumplimiento para el personal con acceso a los datos y a los sistemas informáticos.

4. DOCUMENTACIÓN ADICIONAL

Redacción de acuerdos de confidencialidad y seguridad con los trabajadores.

Redacción de contratos de acceso a datos por cuenta de terceros actuando en nombre y por cuenta de su empresa.

Regulación de la recogida y tratamiento de datos mediante la elaboración de cláusulas.

Modelos de escritos para el ejercicio de los derechos de acceso, rectificación, cancelación, oposición.

5. AUDITORÍAS PERIÓDICAS

Procedimiento utilizado para verificar el cumplimiento de la normativa de protección de datos: LOPD y del RD 1720/2007.

Infracciones y sanciones

La cuantía de las sanciones varía en función de si la infracción es leve, grave o muy grave.

Son infracciones leves, (de 900€ a 40.000€)

a) No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo.

b) No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos.

c) El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos sean recabados del propio interesado.

d) La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley.

Son infracciones graves, (de 40.001€ a 300.000€)

a) Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el “Boletín Oficial del Estado” o Diario oficial correspondiente.

b) Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo.

c) Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave.

d) La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley.

e) El impedimento o la obstaculización del ejercicio de los derechos de acceso, rectificación, cancelación y oposición.

f) El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos no hayan sido recabados del propio interesado.

g) El incumplimiento de los restantes deberes de notificación o requerimiento al afectado impuestos por esta Ley y sus disposiciones de desarrollo.

h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.

i) No atender los requerimientos o apercibimientos de la Agencia Española de Protección de Datos o no proporcionar a aquélla cuantos documentos e informaciones sean solicitados por la misma.

j) La obstrucción al ejercicio de la función inspectora.

k) La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave.

Por último, son infracciones muy graves, (de 300.001 a 600.000€)

a) La recogida de datos en forma engañosa o fraudulenta.

b) Tratar o ceder los datos de carácter personal a los que se refieren los apartados 2, 3 y 5 del artículo 7 de esta Ley salvo en los supuestos en que la misma lo autoriza o violentar la prohibición contenida en el apartado 4 del artículo 7.

c) No cesar en el tratamiento ilícito de datos de carácter personal cuando existiese un previo requerimiento del Director de la Agencia Española de Protección de Datos para ello.

d) La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos salvo en los supuestos en los que conforme a esta Ley y sus disposiciones de desarrollo dicha autorización no resulta necesaria.