lunes, 10 de diciembre de 2007

La protección de datos de carácter personal




LEY ORGANICA 15/1999 DE 13 DE DICIEMBRE.


LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y SU TRANSFERENCIA, EN LAS EMPRESAS Y ORGANISMOS PUBLICOS (SECTORES PUBLICO Y PRIVADO).

El objetivo de este modesto trabajo, es tratar de concretar la actuación de las empresas y sus empleados así como otras organizaciones, entidades públicas y sus funcionarios, ante las obligaciones que se les derivan de la Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal.

Concretamente, trataré de encontrar los requisitos y principios de procedimiento a seguir por los empleados que tengan asignadas funciones encaminadas a recoger, procesar y transferir datos de carácter personal.

La Ley (art. 2º) se aplica a todos los datos de carácter personal registrados en soporte físico (archivos informáticos o en papel), que los haga susceptibles de tratamiento. En consecuencia, cualquier empleado que realice tratamiento de datos o facilite el acceso a los mismos, deberá seguir los pasos necesarios y tomar las debidas precauciones en el ámbito técnico y organizativo, de forma que quede garantizada la adecuada protección de los datos.

Conceptos Previos (Art.3º)

Datos de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables.

Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

Responsable del fichero: Persona física o jurídica de naturaleza pública o privada u órgano administrativo que decida sobre la finalidad, contenido, uso y tratamiento

Afectado: Persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado 3.

Consentimiento del aceptado: Toda manifestación de voluntad libre, inequívoca, específica e informada, mediante la que el afectado consienta el tratamiento de los datos personales que le conciernen.

Cesión o comunicación de datos: Toda revelación de datos realizada a una persona distinta del afectado.

“Robinson”(jerga empresarial): Persona física que, en el ejercicio de su derecho, ha manifestado su voluntad de que los datos que le han sido recabados en el ámbito de la gestión empresarial, no sean utilizados para una finalidad distinta.

Transferencia de datos: Ha de entenderse por tal la transferencia de datos o archivos personales de cualquier tipo (escritos, verbales, en formato electrónico o en cualquier otro formato, etc). Asimismo, la transferencia consiste en facilitar el acceso a estos datos.

El data protección officer (encargado del tratamiento): Es el responsable específico de los asuntos relativos a la protección de los datos. En su defecto lo será el Compliance Officer (responsable del tratamiento).

Solución de contratación de servicios externos: Se entenderá por tal la contratación de una empresa de servicios externos para el suministro de los mismos, de forma continuada a otra empresa, bajo su entera responsabilidad.

Tercero: Cualquier persona física o jurídica a quien se transfieran los datos y que no pertenezca a la misma entidad legal que la persona que transfiere los datos.


Principios de la transferencia y protección de datos válidos para todas las transferencias de datos (Titulo II)

Responsable de la protección de datos (Art. 3º)
Es el que en los ámbitos empresariales se llama el “data protectión officer”.

Esta persona necesitará elaborar listas de todos los archivos de datos y de sus responsables. Asimismo, deberá de encargarse de poner en marcha procesos de protección de datos. Igualmente, deberá de ser la persona de contacto con la Agencia de Protección de Datos.

Deber de Secreto (Art. 10º)

Todos los empleados o funcionarios de las empresas, organizaciones, entes públicos, etc. Están obligados al secreto profesional respecto a los datos de carácter personal. Dicha obligación deberá de subsistir aun después de finalizar su relación profesional o laboral.

Necesidad

La transferencia de datos en el transcurso de la actividad empresarial cotidiana debe de ajustarse a los principios de la Ley. Principalmente, los datos, solamente se transferirán si el conocimiento de dichos datos sirve como un propósito operativo concreto para el receptor (principio de la “necesidad de saber”).

Por añadidura, solamente las personas que precisen de los datos para fines oficiales, podrán tener acceso a los datos mencionados. Las personas en cuestión, estarán obligadas a adoptar las medidas y precauciones necesarias para el cumplimiento de dicho principio. En lo que concierne al acceso de datos, debería de llevarse a cabo una comprobación del acceso que especifique el tipo de acceso permitido así como su alcance.

Los datos personales que ya no sean necesarios, deberían de destruirse, una vez extinguida la relación mercantil o la causa por la que se recogieron aquellos, o finalicen los plazos legales de obligatoriedad de archivo de los mismos.


Calidad de los datos y derecho de información del afectado (Art. 4º,5º y 6º)

Sólo deberán de ser recabados los datos de carácter personal adecuados, pertinentes y necesarios para la relación jurídica que la empresa desee establecer.

El afectado podrá ejercitar el derecho de acceso, rectificación y cancelación de los mismos.

Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.

Deberán de ser cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieren sido recabados y registrados.

La cumplimentación de los datos personales es voluntaria, aunque necesaria para el mantenimiento del contrato, oferta de un producto, prestación de un servicio. Etc. Los afectados deberán de ser informados expresa e inequívocamente de las siguientes cuestiones:

De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la misma y de los destinatarios de la información.

Del carácter obligatorio o facultativo de su respuesta a las preguntas que le sean planteadas.

De las consecuencias de la obtención de los datos o le negativa a suministrarlos.

De la posibilidad de ejercitar el derecho de acceso, rectificación o cancelación de los mismos.

De la identidad del responsable.

Para dar cumplimiento a estas obligaciones, resulta necesario que las empresas, en la documentación de su actividad mercantil, incluyan cláusulas con el objeto de:

Obtener el consentimiento del afectado.

Informar al afectado de la eventual cesión de sus datos a otras Entidades que intervengan en el tráfico mercantil, o a organismos públicos o privados relacionados con el sector en que se mueve la empresa.

Obtener del afectado su autorización para la cesión de dichos datos a otras Sociedades (holdings empresariales), para ofrecer al interesado productos o servicios que sean de su interés.


Derecho de acceso (Art.15º)

El interesado tiene derecho a solicitar y obtener información de sus datos de carácter personal incluidos en los ficheros, el origen de dichos datos así como las comunicaciones realizadas o que se prevén hacer de los mismos.

Dicho derecho podrá ejercitarse en intervalos no inferiores a doce meses, salvo que el afectado acredite un interés legítimo a tal efecto, en cuyo caso podrá ejercitarlo antes.

El derecho de consulta se ejercerá mediante petición del afectado de forma fehaciente y por escrito.

Derecho de rectificación o cancelación (Art. 16º)

El afectado tiene derecho a solicitar la rectificación o cancelación de los datos cuando estos resulten inexactos e incompletos, inadecuados o excesivos. El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado, en el plazo de diez días,

Documentos médicos (Art.8º)

Las empresas e instituciones deberán evitar a toda costa al acceso no autorizado a documentos médicos. Para el acceso a este tipo de documentos y a los archivos de datos electrónicos que contengan información médica, debería de exigirse una autorización especial.

Dicho autorización solamente debería de concederse a los miembros del personal que precisen dicho acceso para ejercer su trabajo. En particular debería de concienciarse a los miembros del personal pertinentes, de la importancia de mantener en secreto los datos médicos, estando incluso obligados a declararlo de este modo por escrito.

Los datos relacionados con la salud, se transmitirán exclusivamente a terceros, de acuerdo con una autorización legal o con el permiso de las personas afectadas.

Derecho a la información (Art.15º)

Toda persona física o jurídica tendrá derecho a solicitar información sobre sus datos. La información debería de ser difundida por escrito.

Archivo de datos

Las empresas e instituciones deberían de designar a una persona responsable respecto de cada archivo de datos.

Transferencia de datos dentro de un país.

1. Transferencia a terceros (art.27º)

Por principio, la transferencia de datos a terceros, requerirá del consentimiento previo de a persona afectada.

Lo razonable es que el consentimiento se otorgue en forma de cláusula de consentimiento. Dicha cláusula deberá acreditar la finalidad de la transferencia, el contenido de los datos que se transferirán y la identidad del receptor.

En el caso de que el consentimiento se realice de modo verbal, deberá ser registrado en archivos.
2. Excepciones (Art.27)

No será necesario el consentimiento de las personas afectadas, en el caso de obligación legal de transferir los datos.

Igualmente, entiendo que no será necesario el consentimiento, cuando la transferencia halle su causa en un contrato de una empresa con otra tercera empresa, para dar solución a la contratación de servicios externos necesario para la prestación de un servicio al titular de los datos. En este caso resulta conveniente que se obligue por escrito al proveedor de la solución de contratación de servicios externos, a cumplir con la Ley de Protección de Datos, de acuerdo con lo previsto en el artículo 12 de la misma

3. Transferencia periódica

Cualquier persona que realice una transferencia de datos de forma periódica a terceros, deberá de registrar antes de la primera transferencia, los archivos de datos en la Agencia de Protección de Datos, siempre que no exista una obligación legal de transferir.

La persona afectada debe de ser informada antes de realizar la transferencia, mediante documento escrito en que se haga constar como mínimo, la finalidad de la transferencia de datos, el contenido de los datos que se transferirán y la identidad del receptor.

4. Investigaciones iniciales y comprobaciones

Entiendo que es necesario llevar a cabo supervisiones con anterioridad a la primera transferencia, de archivos de datos a terceros.

El responsable de la protección de los datos u otro comité equivalente, deberá de comprobar si se cumplen los principios legales. Tras la primera transferencia, es necesario seguir supervisando de modo regular, las transferencias posteriores.


Transferencias de datos al extranjero (Art.33 e instrucción 1/2000)

1. Principios básicos

De acuerdo con lo establecido en la Ley Orgánica 15/99 el responsable de un fichero o tratamiento que se proponga transferir datos de carácter personal, fuera del territorio español, deberá haber informado a los afectados de quienes serán los destinatarios de los datos, así como de la finalidad que justifica la transferencia internacional y el uso de los datos que podrá hacer el destinatario. Ello, salvo las excepciones previstas en la propia Ley.

Deberá de procederse a la notificación del fichero y a la pretensión de realizar la transferencia internacional, a la Agencia de Protección de Datos. En el caso de que la transferencia internacional se refiera a datos contenidos en un fichero ya inscrito, el responsable deberá solicitar una modificación de la inscripción.
Ello se realizará de acuerdo con lo dispuesto en la instrucción 1/2000 de la Agencia de Protección de Datos.

2. Excepciones

No es estrictamente necesario que el responsable de la protección de datos conceda su autorización en caso de obligación legal de transferir los datos.

Igualmente, no es estrictamente necesario que el responsable de la protección conceda su autorización si los datos se utilizan para fines estadísticos y no se refieren a personas, es decir, que no permiten que se extraigan conclusiones sobre la identidad de las personas afectadas.

3. Datos personales

En el caso de que cualquier persona o entidad que pretenda efectuar una transferencia internacional, deberá hacerlo constar expresamente al proceder a la notificación del fichero al Registro General de Protección de datos. En el caso de que ya esté inscrito, deberá incluirlo si no existe en la inscripción efectuada en su momento.

Deberá de haberse informado a los afectados de quienes sean los destinatarios de los datos, así como de la finalidad que justifica la transferencia internacional y el uso de los datos que podrá hacer el destinatario. En cualquier caso, deberá de seguirse el procedimiento establecido al efecto en la instrucción 1/2000, sobre movimientos internacionales de datos:

Protección de datos equivalente: Cuando las leyes de protección del país receptor, otorguen un nivel de protección adecuado, la Agencia de Protección de Datos podrá requerir al responsable del fichero, la aportación del documento que lo acredite.

Protección de datos no equivalente: En el caso de que la protección no sea equivalente, el emisor de los datos deberá recabar la autorización de la Agencia de Protección de Datos, debiendo aportar un contrato escrito en los términos establecidos en la Instrucción 1/2000.

Nota Final: Aunque de manera muy sucinta y sumaria y seguro que con muy poca profundidad, he tratado de encontrar los requisitos y principios a seguir por las personas que tengan asignadas funciones de recoger, procesar y transferir datos de carácter personal

No hay comentarios:

Publicar un comentario