La Protección de Datos de carácter personal
¿Sabía que, como ciudadano, tiene derecho a que dejen de incomodarle tratándole de vender, por teléfono o mediante publicidad, cualquier producto, o suscribirse a un nuevo canal de televisión, o cambiar de operador telefónico? ¿Sabía que, como empresario, está obligado a cancelar o a no usar los datos que posea, por ejemplo, del ciudadano del ejemplo anterior, sí éste así lo solicitara?
Desde finales de 1.999 existe en España una completa regulación legal sobre la Protección de Datos de Carácter Personal, cuyo origen, entre otros, radica en una sentencia del Tribunal Constitucional que confirió a dichos datos una especial protección, en el ámbito de los derechos fundamentales de las personas. Mucho se habla de ella, y mucha letra pequeña de contratos, facturas y documentos publicitarios de grandes compañías mercantiles hacen alusión a nuestros “derechos”. Sin embargo, poco sabemos de ella y, lo que es peor, poco se está cumpliendo. Más de un empresario ya lo ha experimentado en sus propias carnes, y más de un cliente insatisfecho o molesto ha “ejercitado” plenamente sus derechos.
I. ¿Qué es la protección de datos?
El derecho de protección de datos se configura como un derecho fundamental que persigue garantizar a una persona el poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado. La importancia de la normativa de protección de datos es relevante en el tráfico mercantil, ya que poca es la actividad empresarial que puede escapar de su ámbito de influencia.
Son grandes cantidades de datos las que se manejan en cualquier actividad empresarial, pública o privada, y al referirse a personas físicas, son datos de carácter personal especialmente protegidos, y cuyo tratamiento viene regulado a través de una normativa específica: La Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal y el Real Decreto 994/1999, de 11 de Junio, por el que se aprueban las Medidas de Seguridad a aplicar en los ficheros automatizados que contengan datos personales. Esta protección de datos se extiende también a quienes manejan documentación en soporte físico (papel), y no sólo a los datos contenidos en ficheros automatizados o informáticos.
II. Principios básicos de la normativa sobre Protección de datos.
Las obligaciones legales que el tratamiento de este tipo de datos exige son:
Deber de información
Las personas a las que se solicitan datos de carácter personal han de ser previamente informadas de modo expreso, preciso e inequívoco, con anterioridad al tratamiento de sus datos. De este modo conocen con qué finalidad se van a tratar éstos y por quién, teniendo además la posibilidad de ejercitar, en cualquier momento, sus derechos de acceso, rectificación, cancelación u oposición.
Calidad de datos
Los datos de carácter personal tienen que ser adecuados, es decir, necesarios y pertinentes para la finalidad para la cual son recabados o registrados, de ahí que hayan de ser exactos, completos y puestos al día de forma que respondan con veracidad a la situación actual del afectado. Deberán cancelarse cuando resulten impertinentes respecto del fin para el que se obtuvieron. A tenor de la clase de datos que contenga un fichero y de su trascendencia personal, se deberán dispensar tres niveles de seguridad: básico, medio y alto, en función de las características de dichos datos, ya que no es lo mismo proteger datos relativos a identificación (nombre, apellidos, dirección y teléfono), que otros datos más sensibles, como los relativos a nóminas, patrimonio, datos bancarios o de salud, por no hablar de aquellos relativos a creencias religiosas, origen racial, vida sexual o inclinaciones políticas.
Tratamiento y cesión
Como regla general, la inclusión de datos de carácter personal en un fichero requerirá el consentimiento del afectado. En un principio, este consentimiento ha de ser libre, específico e inequívoco. Tratándose de datos especialmente protegidos, como los relativos a ideología, religión, creencias, afiliación sindical, salud, origen racial y vida sexual, la Ley exige además el carácter expreso del consentimiento para su recogida y tratamiento. La cesión de datos de carácter personal, salvo determinados supuestos, requiere del consentimiento del afectado, y si no se obtiene estaremos ante una infracción muy grave.
Deber de colaboración
con la Agencia de Protección de Datos (APD)
Entre las funciones de la Agencia de Protección de Datos, está el velar por el cumplimiento y aplicación de la legislación sobre protección de datos, así como la de ejercer la potestad sancionadora. El deber de colaboración se concreta en la obligación de comunicar a la Agencia de Protección de Datos la creación y existencia de los ficheros para su inscripción en el Registro General, indicando su tipología, finalidad, forma de obtención y las medidas de seguridad usadas, así como el deber de comunicar las modificaciones de los ficheros y su eliminación. De igual forma, los Inspectores de la Agencia de Protección de Datos, investidos de potestad y autoridad, podrán en cualquier momento inspeccionar los ficheros de datos, requerir la información, la exhibición o el envío de documentos, así como inspeccionar los equipos físicos y lógicos utilizados para el tratamiento de los datos, accediendo a los locales donde se hallen instalados.
Deber de secreto
La legislación relativa a Protección de Datos exige una estricta política de confidencialidad en relación con los datos que se gestionan, así como disponer del denominado Documento de Seguridad, que recoja las medidas adoptadas para asegurar la seguridad de las bases de datos y los ficheros que contengan los mismos, ya que éstas deben ser diligentemente custodiadas, sancionándose en caso contrario. Se exige guardar secreto profesional a quienes intervengan en cualquier fase del tratamiento de los datos, subsistiendo la obligación aún después de finalizar su relación con el responsable del fichero. El deber de confidencialidad se extiende a los trabajadores de la empresa, por lo que los mismos no podrán hacer una utilización indebida, o distinta a su finalidad de uso, de los datos que posea la empresa
Derechos de acceso, rectificación, cancelación y oposición
El derecho de acceso no está sometido a ninguna limitación, es gratuito y consiste en la posibilidad de solicitar y obtener información de los datos de carácter personal incluidos en los ficheros automatizados o soportes físicos. Los afectados tienen los derechos de rectificación, cancelación y oposición, cuando existan motivos fundados y legítimos relativos a una concreta situación personal, y siempre que una Ley no disponga lo contrario. De igual forma se reconoce el derecho a no ser incluido en los listados obtenidos de fuentes accesibles al público y empleados con fines de publicidad o prospección comercial, en aras a evitar los bombardeos masivos a los que se somete actualmente a los ciudadanos a través del teléfono (telemárketing), el fax o medios telemáticos (spams, publicidad indiscriminada por internet, etc).
III. Decálogo de razones para adecuarse a la normativa de protección de datos.
Existen muchas razones por las que las empresas y profesionales deben adecuarse a la citada normativa, y que se resumen en el siguiente decálogo:
1. La ley exige su cumplimiento
Poderoso argumento, sin duda. La normativa de protección de datos consagra la necesidad y obligatoriedad de cumplir sus previsiones. Se trata de una legislación que extiende su ámbito de aplicación de forma general a prácticamente todos los sectores, pues resulta difícil imaginar alguna empresa privada o entidad pública que no maneje algún tipo de dato de carácter personal en su actividad cotidiana. La normativa está en vigor desde 1.999, por lo que la mayoría de los obligados a cumplirla ya están fuera de la legalidad.
2. La imposición de sanciones económicas
En virtud del artículo 45 de la LOPD, las empresas podrán ser sancionadas con multas que ascienden hasta los 600.000 € (cien millones de las antiguas pesetas) en el caso de haber incurrido en alguna de las infracciones calificadas como muy graves. Si el responsable del fichero es una Administración Pública, el Director de la Agencia dictará una resolución estableciendo las medidas que proceda adoptar para que cesen o se corrijan los efectos de la infracción, sin perjuicio de la iniciación de actuaciones sancionadoras conforme al régimen disciplinario de las Administraciones Públicas.
3. Mala imagen
A nadie se le escapa la mala imagen que se proyecta en el mercado, en los clientes, a nivel social e incluso de la competencia cuando se es objeto de sanción por esta causa, por no hablar de la responsabilidad en que se incurre. En el supuesto de Administraciones Públicas, peor todavía, dada la sensibilidad con que las mismas deben tratar nuestros datos. Recientemente hemos oído y leído acerca de la aparición de expedientes médicos en la basura, y la mala imagen que ha proyectado en la sociedad la entidad que ostentaba su custodia. Por último, ya existen Administraciones y Empresas Públicas que exigen a las empresas que con ellas contraten o subcontraten, como requisito previo de adjudicación, certificación de haberse adecuado a la normativa de Protección de Datos y tener inscritos los ficheros correspondientes ante la Agencia Estatal.
4. Percepción de seguridad por los clientes y empleados
La adecuación de una empresa o Administración Pública y de sus procedimientos internos a la normativa de protección de datos desprende una conciencia de seguridad en los clientes que supone un valor añadido a sus servicios. También es necesario generar ese sentimiento de seguridad en los empleados, respecto de sus propios datos personales, ya que la empresa gestiona y trata un gran conjunto de datos propios de la esfera de su intimidad y, además, ellos forman parte de un equipo humano.
5. Ejercicio de derechos de la LOPD con interés de causar daño
Los mecanismos de protección están siendo utilizados, en algunos casos, como arma ofensiva contra la empresa, ya sea pública o privada, debido al descontento de algún cliente insatisfecho, administrado o empleado en su relación con la misma, a modo de venganza más que como interés del individuo en la protección de sus datos, intentando provocar la imposición de una sanción a la misma o, al menos, la realización de una inspección por parte de la Agencia.
6. Mejora de la gestión
Las empresas también deben de emprender un proyecto de adecuación a la normativa de protección de datos como una parte más de un proceso global dirigido a reconstruir la arquitectura organizativa y técnica de la misma, ganando agilidad en los procesos y en la atención al cliente, mejorando sistemas y sustituyendo aplicaciones obsoletas. También constituye una oportunidad perfecta para implementar modernos protocolos de actuación, gestionar ficheros históricos e introducir una nueva cultura en el personal en cuanto al manejo de los flujos de información de la empresa
7. Gran volumen de información confidencial
Cada vez se maneja más información, y al ser más la cantidad, también es mayor el grado y la coetánea exigencia de confidencialidad. Sectores como el sanitario, la educación, los seguros y la banca, entre otros, así como el Sector Público, Hacienda, y otros también delicados como los que manejan datos de solvencia, deben adoptar una especial sensibilidad y escrupulosidad en la materia, pues estos datos, en caso de no ser adecuadamente tratados, pueden generar muchos perjuicios a los ciudadanos. Un fármaco es curativo, pero mal empleado puede ser mortal, Igual ocurre con los datos.
8. Bloqueo de ficheros como sanción
Con independencia de las sanciones antes descritas, la LOPD prevé otro tipo de sanciones que no son de carácter económico, pero que podrían causar más daño aún a la entidad sancionada, tales como el bloqueo de los ficheros sobre los que recaiga el incumplimiento de la normativa, prohibiendo su tratamiento o transmisión a terceros.
9. Escasa concienciación a nivel directivo
Todavía existe un escaso nivel de concienciación, por los directivos, respecto a la necesidad de cumplir la normativa. Cierto es que son otras las necesidades que preocupan a las empresas, pero ello nunca puede justificar el incumplimiento de una normativa que obliga a las mismas, al igual que la normativa fiscal, de seguridad social o de prevención de riesgos laborales. Es evidente que para acometer un proyecto de este tipo y posteriormente obtener un alto grado de cumplimiento se necesitan medios y capital, pero su proporción cuantitativa es ínfima respecto a las ventajas que supondrá su cumplimiento.
10. Asumir la realidad y actuar
Estamos ante el inicio de una larga carrera, que en breve se extenderá a los datos de las sociedades, y debemos resaltar que desde la aprobación de la Ley hasta ahora ha ido aumentando de manera paulatina la preocupación tanto del mundo empresarial como de las Administraciones Públicas por todos los temas relacionados con la adecuación a la normativa de protección de datos. Sin embargo, seguimos estando en la edad media, y el grado de cumplimiento de la Ley, en la actualidad, no alcanza ni siquiera al 20% del tejido empresarial español. Es la hora de actuar.