LOPD: aplicación práctica en entornos Windows. (I) Introducción a la LOPD

29 04 2008

Este es un primer artículo de una serie en la que trato de resumir los aspectos más relevantes sobre la LOPD (Ley Orgánica de Protección de Datos), desde una síntesis de los recogido en la misma, hasta su aplicación práctica, modelos, metodología y esquemas de aplicación práctica.

En este primer artículo, trataré de resumir la parte teórica de la Ley de forma comprensible y esquemática.

Introducción

Estos artículos no deben ser considerados como un paso a paso riguroso, sino como una documentación de referencia que sirva como aproximación a la aplicación de la LOPD en las empresas, una guía y un ejemplo de aplicación, que podría ser susceptible a cambios, mejoras, etc.

En caso de requerir la adaptación de su empresa a la LOPD, se debe de contar con un proyecto pormenorizado y concreto realizado por profesionales especializados que, tras los estudios oportunos, realicen los procesos necesarios para alcanzar la regularización de la empresa dentro de la Ley.

¿Qué es la LOPD?

Es la Ley Orgánica de Protección de Datos, 15/1999 del 13 de diciembre. Proviene de la anterior LORTAD y regula el tratamiento automatizado de datos de carácter personal. Entró en vigor en España en enero del año 2000.

La Agencia Española de Protección de Datos (en adelante, APD) es el órgano encargado de velar por el cumplimiento de la misma, efectuar inspecciones, etc.

¿A quién afecta?

A empresas, particulares, instituciones, etc, es decir, a toda persona física o jurídica que maneje ficheros que contengan datos de carácter personal.

¿Qué se entiende por datos de carácter personal?

A efectos de la LOPD, se definen “datos de carácter personal” como toda información concerniente a personas físicas identificadas o identificables. Esto pueden ser nombres, números de teléfono, fotografías, informes médicos, estado civil, nacionalidad, sexo, edad, números bancarios….

¿Qué se entiende por fichero?

Esto es importante, ya que lo que se entiende por fichero a efectos de la LOPD no es lo mismo que lo que en informática entendemos por fichero.

La LOPD define “fichero” como “todo conjunto de organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”. Esto quiere decir que podemos considerar un fichero a una Base de Datos, un buzón de correo, un documento de Word, un directorio que contenga un conjunto organizado de archivos de Word, Excel u otros, etc.

¿Qué es el Registro General de Protección de Datos?

Es un órgano de la APD encargado de recoger la existencia de los ficheros de datos personales, y de publicar esta existencia. Este registro es público, y podemos consultar, por ejemplo, los ficheros que tiene registrados una determinada empresa a través del buscador de su página web https://www.agpd.es/index.php?idSeccion=100

¿Qué sanciones establece la LOPD en caso de su incumplimiento?

Las sanciones pueden ser de tres tipos, dependiendo de su gravedad:

  • Leves: multa de 601,01 a 60.101,21 euros. Son las siguientes:
    • No atender la solicitud de rectificación o cancelación.
    • No facilitar a la Agencia de Protección de Datos la información que ésta solicite.
    • No inscribir un fichero con datos personales en el Registro.
    • Recoger datos personales contraviniendo el derecho de información en la
      recogida de datos (artículo 5 LOPD).
    • Incumplir el deber de secreto recogido en el artículo 10 de la LOPD.
  • Graves: multa de 60.101,21 a 300.506,05 euros. Son las siguientes:
    • Crear un fichero de titularidad pública o proceder a la recogida de datos
      personales sin autorización de “disposición general” publicada en un
      Boletín Oficial.
    • Crear un fichero de titularidad privada o proceder a la recogida de datos
      con una finalidad distinta al objeto legítimo de la entidad que los recaba.
    • Recoger datos sin el consentimiento expreso de los afectados (siempre y
      cuando este sea exigible).
    • Tratar los datos personales en contra de los principios y las garantías
      recogidos en la LOPD.
    • El impedimento del ejercicio de los derechos de acceso o de oposición y la
      negativa a facilitar la información requerida.
    • Mantener los datos de forma inexacta o no efectuar las rectificaciones o
      cancelaciones de los datos cuando legalmente haya que realizarlas.
    • Infringir del deber de secreto sobre datos de nivel medio atenuado o de
      nivel medio (según el Reglamento de Seguridad).
    • No implantar las medidas que se correspondan según el Reglamento de
      Seguridad.
    • No remitir a la Agencia de Protección de Datos las notificaciones que sean
      solicitadas o no proporcionarlas en el plazo requerido.
    • La obstrucción del ejercicio de la función inspectora de la Agencia de
      Protección de Datos.
    • No inscribir el fichero en el Registro General de Protección de Datos,
      cuando sea requerido por el director de la Agencia de Protección de
      Datos.
    • Incumplir el deber de información cuando los datos hayan sido recabados
      de persona distinta del afectado.
  • Muy graves: multa de 300.506,05 a 601.012,10 euros. Son las siguientes:
    • Recoger datos personales de forma engañosa y fraudulenta.
    • Ceder datos personales fuera de los casos en los que está permitido.
    • Recabar y tratar datos especialmente protegidos sin el consentimiento
      expreso del afectado, cuando no lo disponga una ley o cuando se recaben
      con la única finalidad de poseer este tipo de datos.
    • No cesar en el uso ilegítimo de un tratamiento de datos personal cuando
      así sea requerido por el director de la Agencia de Protección de Datos.
    • No recabar la autorización del director de la Agencia de Protección de
      Datos para realizar una transferencia internacional de datos cuando
      aquella sea necesaria.
    • Tratar los datos personales de manera ilegítima o contra los principios y
      las garantías aplicables, siempre que ello impida o vaya en contra de
      derechos fundamentales.
    • Vulnerar el deber de secreto (artículo 10 de la LOPD) de los datos
      especialmente protegidos.
    • No atender u obstaculizar sistemáticamente el ejercicio de los derechos de
      acceso, rectificación, cancelación u oposición.
    • No atender sistemáticamente el derecho de información en la recogida de
      datos personales.

Niveles de los ficheros

Dependiendo de la naturaleza de los datos, requieren diferentes niveles de protección. No es igual la relevancia que puede tener un registro de nombres y teléfonos, que un registro en el que se incluyan cuestiones de raza, ideología o sexualidad, por ejemplo. Así se establecen los siguientes niveles:

  • Nivel básico: datos de carácter identificativo: nombre, teléfono, DNI, edad, domicilio … Es el nivel por defecto, por tanto todos los datos de carácter personal deberán estar sujetos, como mínimo, a las medidas establecidas para los datos de nivel básico.
  • Nivel medio: ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, solvencia patrimonial o crédito, servicios financieros o bien contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo, deberán reunir, además de las medidas de nivel básico, las calificadas como de nivel medio
  • Nivel alto: ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las de nivel alto, y serán por tanto los que requieran mayores medidas de protección y control.

En el siguiente artículo seguimos con el resumen de la teoría.

ARTÍCULOS RELACIONADOS:

LOPD: aplicación práctica en entornos Windows. (I) Introducción a la LOPD

LOPD: aplicación práctica en entornos Windows. (II) Recogida de datos, titulares de los ficheros, deberes y derechos

LOPD: aplicación práctica en entornos Windows. (III) Reglamento de medidas de seguridad

LOPD: aplicación práctica en entornos Windows. (IV) El Documento de Seguridad


Acciones

Information

3 responses

29 04 2008
Sadot Cifuentes

Buen artículo Marcos, como ejemplo, para las empresa que todavía no han tomado en serio la LOPD, de lo que puede pasar por no tener un correcto control sobre la infrastructura IT, la siguiente noticia sobre un hospital donde un programa P2P ha permitido que los expedientes de los pacientes se distribuyan por la red: http://blog.s21sec.com/2008/04/escndalo-por-filtracin-de-datos.html
La APD ya ha actuado con una multa de 150.000.

29 04 2008
Marcos Fernández

Gracias por la noticia Sadot, me va a ser muy útil.

30 11 2010
andres Lourido

Hola, trabajo en una empresa del sector turístico y llevo varios meses recibiendomobbing de mi inmediato superior, hecho que he puesto en conocimiento del Director general y ha decidido cambiarme de departamento.
Mi pregunta es la siguiente: ¿Pueden los miembros del departamento donde estaba inicialmente usar los archivos excel que yo he creado para desarrollar mis funciones en dicho departamento? ¿tengo obligación de ceder dichos archivos excel, creados por mi, a mi inmediato superior que era quien me hacia mobbing?
Gracias por todo

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




A %d blogueros les gusta esto: