Servicio de Asesoría Jurídica en

Protección de Datos de Carácter Personal

El presente informe es de carácter estrictamente confidencial y su contenido solo puede ser consultado por su destinatario.

Página 1

I. Normativa en Protección de Datos. a) ¿Qué es la Protección de Datos?

La Ley Orgánica de Protección de Datos de Carácter Personal 15/1999, de 13 de Diciembre, (en ade-lante LOPD) impone una serie de obligaciones legales para aquellas personas físicas o jurídicas que posean ficheros con datos de carácter personal.

El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, como su nombre indica, desarrolla la mencionada Ley Orgánica y establece la obligación de las empresas y Órganos Públicos de poner en marcha diversas medidas destinadas a garantizar la protección de dichos datos, afectando a sistemas informáticos, archivos de soportes de almacenamiento, personal, procedimientos operativos, etc.

b) ¿Qué es un dato de carácter personal?

Un dato de carácter personal es cualquier información concerniente a personas físicas identificadas o identificables y también toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo susceptible de recogida, registro, tratamiento o transmisión concerniente a una persona física identificada o identificable. El correo electrónico es también un dato personal, puesto que permite identificar a la persona.

c) ¿Qué se considera tratamiento de datos?

Son todas las operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación de los datos, así como las cesiones de éstos que resulten de comunicaciones, consultas, interconexiones y trans-ferencias.

d) ¿Qué es un fichero?

La LOPD establece que es todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

Por tanto, un fichero podría ser un CD-ROM, el disco duro de un PC, un sistema de cloud, etc. , de-nominándose ficheros automatizados, también podría ser un fichero manual de hojas de papel, de-nominándose fichero no automatizado o incluso un sistema de ficheros mixtos.

Existen dos clases de ficheros, cuya naturaleza determina las obligaciones de sus responsables:

Ficheros de titularidad pública: los ficheros de los que sean responsables los Órganos constituciona-les o con relevancia constitucional del Estado o las Instituciones Autonómicas con funciones análogas a las mismas, las Administraciones Públicas Territoriales, las entidades u organismos dependientes de las mismas con personalidad jurídico pública y sometidas al derecho administrativo y las Corporacio-nes de derecho público, exclusivamente en cuanto dichos ficheros se encuentren estrictamente vin-culados al ejercicio de las potestades de derecho público que a las mismas atribuye su normativa es-pecífica.

Ficheros de titularidad privada: los ficheros de los que sean responsables las entidades sometidas al derecho privado, no vinculados en ningún caso con el ejercicio de potestades de derecho público, incluyendo aquellos de los que sean responsables las fundaciones no sanitarias del sector público, las sociedades del sector público empresarial del Estado, la Comunidad Autónoma, la Provincia o el Mu-nicipio, con independencia de su estructura accionarial, y las Corporaciones de Derecho público, en

El presente informe es de carácter estrictamente confidencial y su contenido solo puede ser consultado por su destinatario.

Página 1

cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de las potestades de derecho público que a las mismas atribuye su normativa específica.

II. Cómo afecta esta normativa a su actividad. a) ¿Mi actividad está sujeta a la LOPD?

Si recoge y trata datos de carácter personal (de personas físicas, no jurídicas) que se trasladan a fi-cheros (automatizados, no automatizados o mixtos) la respuesta es SÍ.

b) El fichero de trabajadores.

En todas las empresas y organismos públicos, con independencia de su actividad o de la naturaleza de sus clientes (personas físicas o jurídicas), existe un fichero que contiene datos de carácter personal: el fichero de trabajadores.

Este fichero es habitualmente el gran olvidado, pero hay que tener cuidado, no sólo porque también es un fichero y por tanto objeto de tratamiento sino también porque en muchas ocasiones es cedido a otras empresas y/u organismos que realizan determinadas tareas en nombre de su titular, como por ejemplo, las Gestorías.

c) ¿Qué pasos debo seguir para cumplir con la LOPD?

1. Inscripción de los ficheros en el Registro de la Agencia de Protección de Datos.

Implica notificar a la Agencia que Vd. es titular de ficheros que contienen datos personales, indicando su forma de recogida, tratamiento, finalidad, etc.

2. Redacción de cláusulas de protección de datos para cada fichero.

En todos sus acuerdos y demás relaciones con los titulares de los datos recogidos y tratados, deberá informar a los afectados de:

i) Que sus datos van a ser incluidos en un fichero.

ii) La finalidad de la recogida y de los destinatarios de la información.

iii) La obligatoriedad o no de dar esos datos.

iv) Las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

v) La posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición.

vi) La identidad y dirección del responsable del tratamiento.

Al mismo tiempo, esta obligación de información tiene sus excepciones, que deberá Vd. conocer.

3. Redacción de un procedimiento de medidas de seguridad técnica y organizativa para cada fichero.

El mencionado Reglamento indica que el responsable del fichero elaborará e implantará la normati-va de seguridad mediante un documento de seguridad de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información.

La LOPD identifica tres niveles de medidas de seguridad, según los datos protegidos sean de nivel BÁSICO, MEDIO o ALTO.

4. Auditoría bienal para cada fichero Las auditorías de Seguridad son obligatorias para todas las empresas que tengan ficheros que con-tengan datos de carácter personal con nivel de seguridad medio o alto. Estas auditorías deben rea-lizarse cada dos años.

El presente informe es de carácter estrictamente confidencial y su contenido solo puede ser consultado por su destinatario.

Página 1

d) ¿Qué ocurre si no me someto a la LOPD?

Si Vd. no se ha sometido aún a lo indicado en la LOPD puede estar YA incurriendo en infracciones que implican sanciones por la Agencia de Protección de Datos que van desde los 600 hasta los 600.000 Euros. III. ¿Qué puede hacer PrivaZ por su empresa?. PrivaZ se encargaría de: 1. Notificar a la Agencia Española de Protección de Datos de todos los ficheros de carácter perso-

nal que su empresa trate. 2. Implantar un procedimiento de seguridad para su tratamiento. 3. Redactar cláusulas y/o contratos relativos necesarios. 4. Comunicar con los terceros cesionarios de los datos (gestorías, asesorías, empresas de hosting,

de correo electrónico, etc.) dichas políticas, así como los contratos que deben suscribir. 5. Revisión anual.

IV. ¿LOPD a coste cero? No se deje estafar. La Fundación Tripartita para la Formación en el Empleo advierte a empresas y consultores, a todos los gestores de formación para el empleo del sistema de bonificaciones de ámbito estatal, sobre la existencia de entidades que de manera gratuita ofrecen servicios de implantación, auditoría y aseso-ría jurídica en materia de protección de datos de carácter personal, que en la práctica financian estos servicios con cargo al crédito asignado para la formación, un hecho que puede llegar a ser constituti-vo de fraude. El Real Decreto 395/2007 y la Orden Ministerial 2307/2007 establecen que este crédito está desti-nado exclusivamente a la realización de acciones formativas y permisos individuales de formación de los trabajadores. La Fundación Tripartita inició un proceso de comprobación de los hechos y puso n marcha los meca-nismos de control oportunos, para constatar las bonificaciones practicadas y evitar en el futuro que las empresas beneficiarias que se bonifican por formación se vean implicadas en una cadena de erro-res, teniendo que devolver las cuantías bonificadas. Las empresas que se bonifiquen por la contratación de servicios de implantación, auditoría y asesoría jurídica en materia de LOPD, deberán devolver los importes correspondientes y atenerse a las actua-ciones pertinentes del Servicio Público de Empleo Estatal y la Inspección de Trabajo y Seguridad So-cial. La Fundación Tripartita hace un llamamiento a todos los usuarios para que en caso de recibir alguna oferta de este tipo de servicios u otros de similares características, contacten con el servicio al cliente de la Fundación en: servicioalcliente@fundaciontripartita.org http://www.fundaciontripartita.org/Noticias/Noticias/Nota_bonificaciones_LOPD.aspx