Únete a la Comunidad de Directivos de Tecnología, Ciberseguridad e Innovación Byte TI

Encontrarás un espacio diseñado para líderes como tú.

2007071401. El porqué de la protección de datos

Obligaciones y utilidades para los empresarios

Todos y cada uno de nosotros tenemos derecho a controlar toda la información relativa a nosotros mismos (nuestros datos de carácter personal) y a decidir, en este marco, quién utiliza dicha información y con qué fines (habeas data). Evidentemente, con límites y excepciones: existen otros bienes jurídicos protegibles (la libertad de empresa) e intereses superiores (la salud pública).
Se trata de evitar que el tratamiento de nuestra información pueda llegar a suponer ingerencias en nuestra privacidad. Concepto que hace referencia, según la exposición de motivos de la ya derogada LORTAD, a un ámbito más amplio que el de intimidad y que comprende facetas de la personalidad que coherentemente entrelazadas entre sí pueden arrojar un retrato nuestro que tenemos derecho a mantener reservado.
En este punto es donde entran en juego las tecnologías de la información: han facilitado (y aún lo harán más cuando la explotación de las posibilidades que ofrecen se generalice) la eliminación de dos barreras físicas (el tiempo y el espacio) que de forma natural protegían nuestra privacidad.

Obligaciones

Ahora póngase la gorra de empresario. Su empresa, en cuanto sujeto de derecho que trata datos de carácter personal y que decide la finalidad, el contenido y el uso de dichos tratamientos, está sujeta al cumplimiento de una serie de principios legales y de obligaciones tendentes a garantizar que no está inmiscuyéndose en la privacidad de ningún ciudadano (clientes, trabajadores, proveedores, colaboradores, socios, etc.). A saber:
Principio de calidad de los datos
En primer lugar, debe respetar el principio de calidad de los datos, que supone que su empresa:
• No puede tratar datos que no resulten pertinentes o que sean excesivos considerando su ámbito de actuación y su legítimo y explícito objeto.
• Debe cancelar los datos que resulten ser inadecuados, excesivos, inexactos o incompletos, según el punto anterior.
• No puede usar los datos de que dispone con fines incompatibles con aquellos para los que los haya recabado.
• No puede recoger datos por medios fraudulentos, desleales o ilícitos.
Consentimiento informado
El derecho de control al que hacía referencia en el párrafo tercero supone que sin consentimiento (salvo excepciones) no se pueden tratar datos de carácter personal. Además, sin una información suficiente y exacta, no puede haber consentimiento válido. Por lo tanto, su empresa está obligada a informar a los titulares de los datos en el momento de su recogida:
• De los ficheros y tratamientos existentes.
• Del carácter obligatorio o facultativo de responder a las preguntas que le son planteadas.
• De las consecuencias de la obtención de sus datos.
• De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
• De la identidad y dirección del responsable.

Por regla general, la recogida del consentimiento no requiere una forma especial: resulta válido el consentimiento tácito. Sin embargo, cuando se recogen datos relativos al origen racial, a la salud o a la vida sexual de sus titulares, el consentimiento debe ser expreso y cuando se recogen datos relativos a su ideología, afiliación sindical, religión o creencias, el consentimiento se debe recabar por escrito.
Deber de secreto
Tanto su empresa como todas las personas que intervengan en el tratamiento de datos de los que su empresa es responsable están obligadas al secreto profesional y al deber de guarda. Se pretende así evitar la pérdida de confidencialidad y de control sobre los datos.

Procedimientos de acceso, rectificación, cancelación y oposición

Su empresa, como responsable de ficheros y tratamientos, está obligada a implantar en su seno los procedimientos necesarios para que los afectados puedan ejercer sus derechos de acceso, rectificación, cancelación y oposición (para que puedan controlar sus datos). Estos procedimientos deben cumplir una serie de mínimos legales. Además, está obligada a garantizar que todas las personas de su organización que intervienen en el tratamiento de datos conocen dichos procedimientos y están en condiciones de cumplirlos.

Creación e inscripción de ficheros en el RGPD


Su empresa sólo puede crear los ficheros necesarios para el logro de sus objetivos y dicha creación debe ser notificada previamente a la Agencia Española de Protección de Datos (AEPD). También debe inscribir en el Registro General de Protección de Datos (RGPD) cuantas modificaciones se produzcan en la finalidad del fichero, en su responsable y en la dirección de su ubicación.

Cesión o comunicación de datos

La cesión de datos consiste en la entrega de datos personales a personas distintas de sus titulares y requiere, por regla general, el consentimiento previo de éstos. Sin embargo, existen excepciones. Dos de ellas son la existencia de una autorización legal previa y la existencia de una relación jurídica cuyo desarrollo o cumplimiento implique necesariamente dicha cesión. Como empresario debe identificar las cesiones con origen en su empresa para recabar el consentimiento de los titulares de los datos cuando sea necesario.

Encargo de tratamiento (acceso a datos)

Cuando para recibir los servicios de un proveedor (consultoría, gestoría, asesoría, mantenimiento informático, etc.) éste necesite acceder a los ficheros de datos personales de su empresa o tratarlos; debe obligarle, como responsable, a firmar un contrato en el que quede constancia de sus instrucciones, los fines para los que puede tratar los datos o acceder a los ficheros, su prohibición de cederlos a terceros y las medidas de seguridad que le exige que cumpla conforme al apartado siguiente.

Principio de seguridad de los datos. Tipos de datos y niveles de seguridad

Su empresa está obligada a garantizar la seguridad de los datos. Ello supone que debe implantar las medidas técnicas y organizativas necesarias para evitar su pérdida (disponibilidad), para evitar su alteración (integridad) y para evitar su tratamiento por personas no autorizadas (confidencialidad).
Las medidas de seguridad dependen del tipo de datos de carácter personal que trate (“normales” para entendernos o especialmente protegidos). Los datos especialmente protegidos son los relativos a la ideología, afiliación sindical, religión, creencias, origen racial, salud y vida sexual. Todos los demás son los que hemos venido a llamar “normales”.
En el caso de que trate datos especialmente protegidos deberá implantar un nivel alto de seguridad, en el caso de que no disponga de datos especialmente protegidos deberá aplicar un nivel de seguridad bajo. Y en determinadas ocasiones (por ejemplo cuando disponga de datos relativos a servicios financieros o a la Hacienda Publica), deberá aplicar un nivel de seguridad medio.
Además, existe un caso particular. Si dispone de datos que le permitan evaluar la personalidad de los afectados, sólo debe aplicar algunas de las medidas de seguridad de nivel medio.

Tenga en cuenta que las medidas de seguridad son acumulativas. Es decir, si está obligado a implantar las de nivel medio, debe implantar éstas y las del nivel básico y si está obligado a implantar las medidas de seguridad de nivel alto, también está obligado a implantar las de los niveles medio y básico.

Régimen de infracciones y sanciones

Como en todo régimen administrativo sancionador, las infracciones se clasifican en leves, graves y muy graves y las sanciones son principalmente económicas. Tenga en cuenta dos consideraciones. La primera es que es tan importante o más qué hace con los datos y cómo lo hace, que el tipo de datos en sí que trata. Y la segunda es que no es equiparable el nivel de seguridad aplicable con la gravedad de las infracciones. Dos confusiones en que muchos empresarios incurren.

Utilidades

Como empresario debe ver la implantación de este régimen jurídico en su empresa como una inversión y no como un gasto. Debe acometer la implantación del régimen jurídico de protección de datos con varios objetivos en mente:

• Ajustar su actividad a la normativa protectora de los derechos fundamentales a la intimidad y al habeas data.
• Evitar que una sanción administrativa pueda perjudicar la imagen corporativa de su empresa (con independencia del perjuicio económico directo que la propia sanción pueda suponer).
• Crear seguridad jurídica en todas las personas con las que se relaciona: clientes, proveedores, colaboradores, etc.
• Organizar los recursos humanos de su empresa a través de la definición de los puestos existentes y los perfiles de cada uno de ellos.
• Mejorar la gestión de la seguridad de la información que trata.

Recuerde que…

Implantar el régimen jurídico de protección de datos no es pasar una auditoria (externa o interna), inscribir unos ficheros en el Registro y disponer de un documento de seguridad estándar. Debe concebir la implantación del régimen jurídico de protección de datos en su empresa como un proceso continuo, como un cambio de cultura.
Debe prestar especial atención a la gestión de la seguridad de los datos de carácter personal. Puede que sean la información más importante de su empresa, y como tal, uno de sus activos más valiosos. Siempre tiene que estar disponible, de ello depende la continuidad de su empresa.
Aprovechar las ventajas que supone implantar el régimen jurídico de protección de datos es sencillo siempre que cuente con un buen profesional que además de ser un buen jurista (hablamos de derechos fundamentales) sea un experto conocedor de la gestión de la seguridad de la información.

Deja un comentario

Scroll al inicio