A continuación se exponen, con carácter meramente informativo u orientativo, algunas de las principales obligaciones del responsable del fichero, recogiendo la información plasmada al respecto en la “GUÍA DE PROTECCIÓN DE DATOS PARA LOS RESPONSABLES DE FICHEROS” y en la “GUÍA DE SEGURIDAD DE DATOS”,publicadas ambas por la Agencia Española de Protección de Datos.

2.1. AL RECOGER Y TRATAR DATOS

2.1.1. INFORMAR A LOS AFECTADOS

 

  • Deben conocer para qué se utilizan sus datos.
  • Deben conocer que existe un fichero o un tratamiento con sus datos.
  • Se debe indicar el responsable del fichero y su dirección o la de su representante.

 

Cualquier persona tiene derecho a saber si sus datos personales van a ser incluidos en un fichero, y los tratamientos que se realizan con esos datos.

Los responsables tienen obligación de informar al ciudadano cuando recojan datos personales que le afecten. Este derecho de información es esencial porque garantiza que el consentimiento que se preste sea previo, específico e informado y es necesario para permitir el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.

El art. 5 de la LOPD recoge la obligación que tienen los responsables de ficheros o tratamientos de informar a los ciudadanos de la incorporación de sus datos a un fichero, de la identidad y dirección del responsable, de la finalidad del fichero, de los destinatarios de la información, del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas, de las consecuencias de la obtención de los datos o de la negativa a suministrarlos, así como de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

Esta información debe estar incluida en los cuestionarios o impresos de recogida de los datos. En el caso de utilizar Internet como medio de recogida de los datos, también debe facilitarse esta información a los usuarios que registran sus datos y debe de hacerse de modo que la información sea siempre previa al tratamiento. Además es recomendable que el texto informativo resulte lo más claro y legible posible. En el caso de los menores de edad el RDLOPD exige que la información se exprese en un lenguaje que sea fácilmente comprensible.

El incumplimiento del deber de información se encuentra tipificado como falta leve en el artículo 44.2.d) de la Ley Orgánica 15/1999:Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artículo 5 de la presente Ley”.

2.1.2. SOLICITAR EL CONSENTIMIENTO

El artículo 3.h) de la Ley Orgánica 15/1999 define el consentimiento como “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”.

De ello se desprende que para que el consentimiento pueda ser considerado conforme a derecho deben darse los cuatro requisitos enumerados.

Así, no se infiere necesariamente su carácter expreso, salvo en los casos en que se señala en la LOPD, como en el caso del tratamiento de datos especialmente protegidos.

El artículo 7.2 indica la necesidad de consentimiento expreso y escrito para el tratamiento de los datos de ideología, religión, creencias y afiliación sindical, y el artículo 7.3 la necesidad de consentimiento expreso aunque no necesariamente escrito para el tratamiento de los datos relacionados con la salud, el origen racial y la vida sexual.

En el caso de los menores de edad hay que distinguir entre los mayores de catorce años que pueden prestarlo salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela, y los menores de catorce, caso que requerirá el consentimiento de los padres o tutores.

El tratamiento de datos sin consentimiento previo del afectado en los supuestos no exceptuados legalmente, puede ser motivo de infracción grave de acuerdo con el artículo 44.3.c) de la LOPD.

2.1.3. CALIDAD Y PROPORCIONALIDAD DE LOS DATOS

  • Los datos deben recogerse con fines determinados explícitos y legítimos.
  • No usarlos para otros fines.
  • Los datos deben ser adecuados, pertinentes y no excesivos en relación con esa finalidad.
  • No recogerlos si no son necesarios.
  • Los datos deben ser exactos y responder con veracidad a la situación del titular. Mantenerlos actualizados
  • Los datos sólo deben conservarse durante el tiempo necesario para las finalidades del tratamiento para las que han sido recogidos.
  • Cancelarlos si ya no son necesarios.

El artículo 4 de la LOPD incluye todos estos principios bajo el concepto de “calidad” de los datos. Además, permite el tratamiento para fines distintos a los de recogida en el caso de uso posterior para fines históricos, estadísticos o científicos. Asimismo permite por excepción conservar datos que no sean ya necesarios de acuerdo al tratamiento para el que hubieran sido recogidos en caso de valor histórico, estadístico o científico fijado por Ley.

Constituye infracción de carácter grave, de acuerdo con lo dispuesto en el artículo 44.3.f), Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente Ley ampara”.

2.2. ATENCIÓN DE LOS DERECHOS DE LOS CIUDADANOS

El titular de los datos que se tratan tiene derecho gratuitamente:

A solicitar y obtener información de sus datos de carácter personal sometidos a tratamiento, y del origen de dichos datos así como las comunicaciones realizadas o que se prevén hacer de los mismos.

Derecho de acceso

Plazo de contestación: 1 mes desde la solicitud

Acceso: 10 días desde la notificación de estimación de la solicitud

A que se actualicen sus datos si son inexactos o incompletos.

Derecho de rectificación

Plazo: 10 días

A que se borren o se supriman sus datos si son inexactos o se han tratado ilegalmente.

Derecho de cancelación

Plazo: 10 días

A solicitar que no se traten sus datos.

Derecho de oposición

Plazo: 10 días

Existe la obligación de contestar al solicitante aunque no figuren datos suyos y se debe hacer por medios que permitan acreditar el envío y la recepción de la notificación.

2.3. AL RECIBIR UN SERVICIO EN EL QUE SE ACCEDE A LOS DATOS

La realización de ese tratamiento por terceros, a los que denominaremos encargados del tratamiento, deberá estar regulada por un contrato escrito o cualquier otra forma que permita acreditar su celebración y contenido que expresamente indique las obligaciones del encargado del tratamiento.

  • Los datos sólo se tratarán conforme a las instrucciones del responsable del fichero.
  • Los datos no se utilizarán con fin distinto al establecido en el contrato.
  • Los datos no se comunicarán, ni para conservación, a otras personas.
  • Las medidas de seguridad a implementar.
  • La destrucción o devolución de los datos una vez cumplido el contrato.

2.4. AL COMUNICAR DATOS A TERCEROS

Es necesario (arts. 11 y 21 LOPD), el consentimiento previo del interesado.

A tenor del artículo 44.4 b) de la Ley Orgánica se considera infracción muy grave la cesión de datos de carácter personal sin consentimiento del interesado, fuera de los casos en que estén permitidas.

2.5. DIVULGAR Y CONTROLAR

El RDLOPD en sus artículos 8 y 9 hace alusión a la necesidad de que el responsable del fichero se implique en la definición, difusión y control de las normas de seguridad entre el personal encargado de llevarlas a cabo o simplemente de respetarlas.

  • Definir las funciones y obligaciones de las personas con acceso a los datos de carácter personal y a los sistemas de información.
  • Asegurarse de que todos conozcan las normas de seguridad que les afectan y las consecuencias de incumplirlas.

2.6. DEBER DE GUARDAR SECRETO

  • Obligación de guardar secreto profesional sobre los datos de carácter personal a los que se tenga acceso.
  • Para todos los que intervengan en cualquier fase del tratamiento.

El artículo 10 de la Ley Orgánica 15/1999, exige a quienes intervengan en cualquier fase del tratamiento de los datos a guardar secreto profesional sobre los datos, subsistiendo la obligación aún después de finalizar su relación con el responsable del fichero.

2.7. MEDIDAS DE SEGURIDAD: DOCUMENTO DE SEGURIDAD

El artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal (LOPD), establece en su punto 1 que “el responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural”.

El Reglamento de desarrollo de la LOPD (RLOPD), aprobado por el Real Decreto 1720/2007, de 21 de diciembre, fue publicado en el BOE número 17, de 19 de enero de 2008. El Título VIII de este reglamento desarrolla las medidas de seguridad en el tratamiento de datos de carácter personal y tiene por objeto establecer las medidas de índole técnica y organizativa necesarias para garantizar la seguridad que deben reunir los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de los datos de carácter personal.

Entre estas medidas, se encuentra la elaboración e implantación de la normativa de seguridad mediante un documento de obligadocumplimiento para el personal con acceso a los datos de carácter personal.

APLICACIÓN DE NIVELES

Las medidas de seguridad exigibles a los ficheros y tratamientos de datos personales se clasifican en tres niveles: BÁSICO, MEDIO y ALTO.

A continuación se indican los ficheros y tratamientos a los que corresponde aplicar las medidas de seguridad relativas a cada uno de los niveles que determina el RLOPD.

NIVEL ALTO. Ficheros o tratamientos con datos: de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y respecto de los que no se prevea la posibilidad de adoptar el nivel básico; recabados con fines policiales sin consentimiento de las personas afectadas; y derivados de actos de violencia de género.

NIVEL MEDIO. Ficheros o tratamientos con datos: relativos a la comisión de infracciones administrativas o penales; que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia patrimonial y crédito); de Administraciones tributarias, y que se relacionen con el ejercicio de sus potestades tributarias; de entidades financieras para las finalidades relacionadas con la prestación de servicios financieros; de Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacionen con el ejercicio de sus competencias; de mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social; que ofrezcan una definición de la personalidad y permitan evaluar determinados aspectos de la misma o del comportamiento de las personas; y de los operadores de comunicaciones electrónicas, respecto de los datos de tráfico y localización.

NIVEL BÁSICO. Cualquier otro fichero que contenga datos de carácter personal. También aquellos ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual, cuando: los datos se utilicen con la única finalidad de realizar una transferencia dineraria a entidades de las que los afectados sean asociados o miembros; se trate de ficheros o tratamientos no automatizados o sean tratamientos manuales de estos tipos de datos de forma incidental o accesoria, que no guarden relación con la finalidad del fichero; y en los ficheros o tratamientos que contengan datos de salud, que se refieran exclusivamente al grado o condición de discapacidad o la simple declaración de invalidez, con motivo del cumplimiento de deberes públicos.

EL DOCUMENTO DE SEGURIDAD (ARTÍCULO 88 DEL REGLAMENTO DE DESARROLLO DE LA LOPD)

Es un documento interno de la organización, que debe mantenerse siempre actualizado.

Disponer del documento de seguridad es una obligación para todos los responsables de ficheros y, en su caso, para los encargados del tratamiento, con independencia del nivel de seguridad que sea necesario aplicar.

Los apartados mínimos que debe incluir el documento de seguridad son los siguientes: ámbito de aplicación: especificación detallada de los recursos protegidos; medidas, normas, procedimientos, reglas y estándares de seguridad; funciones y obligaciones del personal, estructura y descripción de los ficheros y sistemas de información; procedimiento de notificación, gestión y respuesta ante incidencias; procedimiento de copias de respaldo y recuperación de datos; medidas adoptadas en el transporte, destrucción y/o reutilización de soportes y documentos.

A partir del nivel medio de medidas de seguridad, además de los apartados anteriores, deberán incluirse los siguientes: identificación del responsable de seguridad y control periódico del cumplimiento del documento.

En caso de haber contratado la prestación de servicios por terceros para determinados ficheros, en el documento de seguridad se debe hacer constar esta circunstancia, indicando una referencia al contrato y su vigencia, así como los ficheros objeto de este tratamiento.

Si se ha contratado la prestación de servicios en relación con la totalidad de los ficheros y tratamientos de datos del responsable, y dichos servicios se prestan en las instalaciones del encargado del tratamiento se podrá delegar en éste la llevanza del documento de seguridad.

Usamos cookies propias y de terceros para recoger datos y realizar análisis de uso de nuestro sitio. Si continúa navegando consideramos que acepta su uso. Para saber más sobre las cookies y como evitarlas, revise nuestra Política de cookies.

  Acepto las cookies de este sitio.
EU Cookie Directive Module Information