La tan nombrada era de la globalización ha traído consigo incontables beneficios para la colectividad, y la presencia del internet y las redes en nuestras vidas parece acrecentarse con cada minuto que pasa. Pero esto no solo trae ventajas, también trae peligros. Y una de las cosas que se ve (o que se puede ver) más afectada por nuestras idas y venidas en el terreno 2.0 es nuestra información personal: números de identificación, direcciones, teléfonos, etc. Con el fin de resguardar la seguridad individual y colectiva, no solo en un ámbito virtual sino en todos los aspectos de la sociedad, las Cortes Generales de España aprobaron en diciembre de 1999 la Ley Orgánica de Protección de Datos de Carácter Personal, también conocida como LOPD.
En términos generales, la Ley Orgánica de Protección de Datos tiene como fin resguardar y garantizar los derechos fundamentales de los individuos y sus libertades públicas, a través de la protección de sus datos personales, tal y como su nombre indica.
[bctt tweet=»#LOPD una necesidad del mercado español a aprovechar por los #abogados » username=»»]
La Ley Orgánica de Protección de Datos se encarga de regular toda la información de carácter personal sin distinción alguna del medio donde se encuentren. A su vez protege los derechos que tienen los individuos sobre su información y también los deberes de los mismos. De la mano con la Ley Orgánica de Protección de Datos fue creada la Agencia Española de Protección de Datos, un ente estatal que se encarga de hacer cumplir esta ley.
Términos básicos de la Ley orgánica de protección de datos
Para tener un entendimiento mayor de lo expuesto en este texto, es conveniente aclarar algunos de los términos más empleados por la Ley Orgánica de Protección de Datos, como son:
– Datos personales: Entiéndase por datos personales nombre, edad, domicilio, dirección postal electrónica o física, sexo, ocupación o profesión, estado civil, números telefónicos, etc.
– Fichero de datos personales: Todo el conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
– Cancelación de datos: Procedimiento mediante el cual el responsable cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para Administraciones públicas, Jueces y Tribunales.
– Tratamiento de datos: cualquier operación o procedimiento técnico que permita recabar, conservar, modificar, bloquear o suprimir los datos, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
¿A quiénes afecta la Ley Orgánica de Protección de Datos?
Ámbito objetivo: La LOPD tiene efecto sobre todo tipo de datos siempre que se refieran a personas físicas. Las excepciones de la ley son los datos recabados para su uso doméstico, la información clasificada por parte del Estado, y todo aquello que guarde vínculos con el terrorismo o el crimen organizado.
Citando a la Ley Orgánica de Protección de Datos en su artículo 2.1, “El presente reglamento será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.”
Ámbito territorial:
– Cuando el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento, siempre que dicho establecimiento se encuentre ubicado en territorio español.
– Cuando no resulte de aplicación lo dispuesto en el párrafo anterior, pero exista un encargado del tratamiento ubicado en España.
– Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española, según las normas de Derecho internacional público.
– Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.
Las excepciones de la Ley Orgánica de Protección de Datos:
– Personas jurídicas: Uno de los vacíos de la LOPD se refiere a las personas jurídicas, ya que las mismas no están amparadas por esta ley orgánica. Siguiendo con el tema de las personas jurídicas, tampoco se aplica la ley a datos de las personas naturales recabados por aquellas jurídicas, referidos solamente a “nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales”.
– Empresarios individuales: Cuando se haga referencia a personas naturales en su calidad de comerciantes, industriales o navieros, la Ley Orgánica de Protección de Datos pierde su vigencia.
– Personas fallecidas: Si bien la LOPD no aplica para personas fallecidas, los individuos vinculados a éstas tienen el derecho de dirigirse a aquellos que alberguen sus datos personales para notificar del fallecimiento y, de existir la viabilidad, suprimir dichos datos.
Las implicaciones de la Ley Orgánica de Protección de Datos en internet:
Por muy irónico que pueda parecer, la mayoría de las páginas webs en territorio Español ignoran los requerimientos de la Ley Orgánica de Protección de Datos y suelen violarla incluso sin saberlo, a este hecho, debemos añadirle el desconocimiento de la Ley de Propiedad Intelectual. Estas dos realidades del panorama español las debes entender no como un problema sino como una oportunidad que puedes aprovechar en tu despacho de abogados. Esto se debe en parte a que la LOPD puede resultar algo confusa para el empresario tipo, y en términos generales es difícil de seguir.
Lo ideal es conocer las implicaciones más básicas que tiene la Ley Orgánica de Protección de Datos, para así lograr su cumplimiento y evitar sanciones económicas cuantiosas.
– Informar de la recogida de datos: Este es el nivel básico en el que la LOPD regula los datos personales en internet. Toda web o servicio en red debe informar específicamente qué datos serán usados, cómo serán utilizados y bajo qué condiciones serán almacenados. También deben garantizarle al usuario los caminos para modificar o suprimir la información facilitada.
Este requerimiento suele ser cumplido con un formulario de consentimiento, donde el afectado acepta de forma directa las condiciones de la empresa y la política de privacidad de la misma. Para aquellos dominios que exijan solo datos básicos, como nombre y correo electrónico, los formularios pueden ser redactados de forma tácita.
– Resguardar los datos recabados: El encargado de los datos personales debe velar por la seguridad de los mismos, según la Ley Orgánica de Protección de Datos. Para que esto se cumpla, existen algunos requerimientos que deben ser acotados por las empresas:
- Proteger con contraseña los datos personales de los afectados
- Cambiar dicha contraseña periódicamente, estableciendo como tiempo máximo un año sin modificarla
- Realizar respaldos de seguridad de los datos personales, con carácter semanal
- Presentar al público en general la política de privacidad y seguridad de la empresa, donde se especifique quién cuenta con acceso a los datos, donde se almacenan los mismos, y demás condiciones.
– Registrar los ficheros de datos personales en la Agencia Española de Protección de Datos: Si se dispone de un certificado digital, se debe suministrar a dicha agencia nuestra base de datos, registrándola a través de la web. Lo que se le proporciona a la AEPD es un fichero (sea una tabla, un documento de texto, un listado, etc.), a través de un documento interactivo en PDF, un proceso automatizado conocido como NOTA (Notificaciones telemáticas a la AEPD).
– Mantener el sistema actualizado: Para que no exista ningún riesgo de romper la Ley Orgánica de Protección de Datos, lo mejor es mantener actualizada la infraestructura de seguridad y recogida de datos personales, por lo que se recomienda contratar a un asesor en la materia. También es recomendable someterse a auditorías una vez al año o cada dos años, para garantizar la transparencia de la empresa o detectar posibles anomalías.
– Cumplir con la “calidad de datos”: El artículo 4 de la Ley Orgánica de Protección de Datos establece parámetros para garantizar la calidad de los datos personales, estos son los siguientes:
- Recabar los datos usando exclusivamente métodos lícitos y no fraudulentos
- Recoger únicamente aquellos datos personales necesarios, sin requerir información excesiva o que no resulte pertinente
- Los datos personales solo deberán ser empleados para las finalidades que originaron su recogida, o aquellas compatibles a las mismas
- Deben mantenerse los datos actualizados, para que los mismos reflejen la realidad actual de los afectados
- Los datos personales deberán suprimirse toda vez que no resulten necesarios para la empresa, y hayan cumplido con su finalidad
– El Consentimiento del Afectado: Los datos personales de los afectados solo pueden incluirse en un fichero previo consentimiento del mismo. Dicho consentimiento debe ser específico, inequívoco, proveniente de una voluntad libre y de manera informada, y obtenido siguiendo los caminos legales correspondientes.
La excepción al principio del consentimiento ocurre con los datos personales necesarios para requerimientos de la Administración Pública, aquellos referentes a partes involucradas en contratos laborales, administrativos o comerciales, datos cuya finalidad es proteger el interés vital del afectado, y los datos personales que se encuentran en bases de datos públicas, siempre que haya una finalidad legítima en obtenerlos.
– El Deber de Secreto: La Ley Orgánica de Protección de Datos obliga, tanto al responsable del tratamiento como a la persona a la que hacen referencia los datos, a mantener el secreto profesional en torno a los mismos. Siguiendo este principio, queda prohibido ceder los datos personales a terceros o divulgarlos.
– Los datos de protección especial: Una figura amparada por la LOPD es la de los datos especialmente protegidos. Entre tales datos figuran las creencias religiosas, vida sexual, ideología o afiliaciones, etc. Todo este cúmulo de datos personales requiere de un cuidado especial, que se refleja en las siguientes consideraciones:
- No se puede obligar a la persona natural a emitir declaraciones sobre sus ideologías o creencias. Se puede pedir el consentimiento para obtener estos datos, siempre que se informe al afectado la posibilidad de negarse a suministrar los mismos. Además, este consentimiento debe ser expreso y por escrito, de lo contrario no se podrá hacer uso de dichos datos personales.
- Los datos especialmente protegidos requieren de medidas de seguridad de nivel alto, y es responsabilidad del tratante de los datos crear las condiciones óptimas para este fin.
El contenido de la Ley Orgánica de la Protección de Datos no ha estado exento de controversia, y de hecho algunos fragmentos fueron declarados inconstitucionales en el año 2000. Sin embargo su uso ha resultado muy beneficioso para la sociedad en muchas oportunidades.
Un caso específico fue el de la empresa Grupon, que almacenaba los códigos de seguridad de las tarjetas de crédito de sus clientes, sin haberles participado ni requerido dicha información a estos. La empresa fue multada con 20.000 euros.
Las aseguradoras también han sido sancionadas por intercambiar información médica de sus clientes con otras empresas del mismo ramo, lo que representa una brecha en los requerimientos de seguridad que establece la LOPD.
Sanciones contempladas en la Ley Orgánica de Protección de Datos:
De acuerdo a la Ley Orgánica de Protección de Datos, las sanciones se dividen en tres tipologías dependiendo de su gravedad. Estas sanciones son de carácter económico, y España es el país europeo con los montos más elevados por cada infracción.
– Infracciones leves: Abarcan montos desde los 900 euros hasta los 40.000 euros. Se entiende como infracción leve, por ejemplo, incumplir el deber de informar al afectado sobre su fichero de datos, o no transmitir a los entes legales las notificaciones que correspondan.
– Infracciones graves: Son el siguiente escalón, y van desde los 40.001 euros hasta los 300.000 euros. Las infracciones graves abarcan faltas como recabar datos personales sin consentimiento del afectado, denegar la supresión y bloqueo de los datos, no cumplir con los requerimientos mínimos de seguridad para los datos, etc.
– Infracciones muy graves: El último rango de sanciones que contempla la Ley Orgánica de Protección de Datos abarca desde los 300.001 euros hasta la cifra tope de 600.000 euros. Son infracciones muy graves la cesión de datos personales protegidos, el tráfico internacional de datos personales, etc.
[bctt tweet=»#LOPD como arma de los #abogados en el mercado empresarial» username=»»]
La Ley Orgánica de Protección de Datos y sus divedrsas ramas y características, suponen una mercado a ocupar para abogados y letrados. La mayoría de los empresarios españoles se han iniciado o se están iniciando en el sector digital. Desconocen las regulaciones de la LOPD o ignoran la sanción.
Sin duda, la LOPD representa un servicio demandado y que precisa cubrir su necesidad. ¿Aprovecharás este “lago azúl” del sector jurídico?