Mucho es lo que se habla de la denominada Ley de protección de datos o LOPD, pero… ¿sabes realmente que es y como actuar para cumplir con ella?
Secure Data, es la división de protección de datos de Grupo Extremeño de Asesoramiento y desde la que hoy os vamos a dar unas pautas para que entendáis mejor de que va esto de la ley de protección de datos.
¿Que es la ley de protección de datos?
La Ley orgánica 15/1999 para la protección de datos de carácter personal, se creó con el fin de salvaguardar y proteger los datos personales, las libertades publicas y los derechos fundamentales de las personas físicas. Entró en vigor el 14 de Enero del 2000 y estará vigente hasta el 25 de Mayo de 2018, fecha en la que se comenzara a aplicar definitivamente el nuevo Reglamento General de Protección de Datos (RGPD) y que sera común a todos los estados miembros de la Unión Europea.
Es una ley de obligado cumplimiento, para todas las personas físicas o jurídicas, que traten datos de carácter personal y les obliga a establecer las medidas de control y seguridad necesaria para la protección de esos datos.
¿Que es un dato personal y que tipos hay?
Un dato de carácter personal, según a Ley de protección de datos, es toda aquella información que permita identificar o hacer identificable a una persona.
La LOPD lo define como:
«cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.»
Estos datos pueden ser, el DNI, Teléfono, Numero de seguridad social, dirección, una fotografía, un vídeo, el correo electrónico etc….
Como veis, a diario utilizamos este tipo de datos para comunicarnos con nuestros clientes, para labores administrativas etc y a menudo no somos conscientes de las obligaciones que tenemos a la hora de manejar estos datos. No olvidemos que estos datos los tenemos porque nos lo ha facilitado el interesado, confiando en nuestra discreción y criterio a la hora de almacenarlos, utilizarlos y tratarlo. Es por ello que tenemos una obligación moral, ademas de legal, para con nuestros clientes, a los que debemos darles una garantía de seriedad en el tratamiento de sus datos personales.
Tipos de datos personales y su nivel de seguridad
La Ley orgánica de Protección de Datos, establece tres niveles de protección, según el tipo de datos que tratemos.
- Nivel Básico. Este nivel de seguridad, es el mínimo que se aplica a cualquier fichero que contenga datos de carácter personal y en el podemos encontrar datos del tipo : DNI, Nombre y apellidos, dirección, teléfono, corro electrónico, numero de seguridad social etc.
- Nivel Medio. Es el segundo nivel de seguridad, que se aplicara a demás del básico, a fichero que contengan datos como:
- Infracciones administrativas o penales
- Información de solvencia patrimonial o crédito
- Aquellos de los que sean responsables las administraciones tributarias
- Los necesarios para la prestación de servicios financieros
- Los datos depositados en Seguridad Social, así como las mutuas de accidentes de trabajo
- Datos que permitan evaluar la personalidad de los individuos
3. Nivel Alto. Es el máximo nivel de seguridad y se aplica a fichero que contienen datos especialmente sensibles, a los ficheros con nivel de protección alto, también se les aplicara el nivel de protección medio y básico. Son los siguiente:
- Ideología.
- Afiliación sindical.
- Religión.
- Creencias.
- Origen Racial.
- Salud.
- Vida Sexual.
- Los recabados con fines policiales, sin consentimiento de las personas afectadas.
- Datos relativos a la violencia de genero.
¿Que obligaciones tengo?
Ahora que ya sabes, que es la Ley de protección de Datos, que es un dato personal y en que grado de protección se encuentra cada uno de ellos, estas preparado para saber si cumples con la ley o no.
Como cito en párrafos anteriores, la practica totalidad de empresas, manejan este tipo de datos, con lo que es necesario realizar una política de implantación de medidas de protección y seguridad para evitar sanciones y para cumplir con la confianza que nuestros clientes depositan en nosotros.
A menudo ni siquiera sabemos que estamos incumpliendo la ley y os garantizo que de no estar muy concienciado con la protección de datos es muy sencillo y habitual incumplirla inconscientemente. Pongamos un ejemplo.
mandamos un correo electrónico a varios destinatarios y en lugar de poner en copia carbón (CCo) a los destinatarios, los ponemos todos en en le apartado «para», con lo que todos los destinatarios del correo tendrán acceso al correo electrónico del resto de destinatarios y por tanto estaremos cediendo datos personales sin autorización . Esto incumple la normativa vigente y puede estar sancionado con una multa que puede ir entre los 900€ y los 40.000€.
Toda persona física o jurídica que trate datos de carácter personal esta obligada a:
- Recabar el consentimiento de las personas, cuyos datos vayamos a tratar, asi como informarles des sus derechos
- Estructurar esos datos en ficheros
- Registrar dichos ficheros, en la Agencia Española de protección de Datos (AGPD)
- Asegurarse de que los datos están actualizados y contienen información veraz
- Implantar las medidas de seguridad adecuadas al tipo de datos que vayamos a tratar (básico, medio , alto)
- Permitir acceso, rectificación, cancelación u oposición (ARCO) a los interesados.
- Auditar las medidas de seguridad implantadas en la organización, como máximo cada 2 años
A grandes rasgos, estas son las obligaciones básicas que tenemos que cumplir desde el momento en que empecemos a tratar datos personales, lógicamente según el nivel de protección de los datos, tendremos que implantar otras medidas, como registros de copias de seguridad, planees de recuperación de datos etc…
Cuantía de las sanciones
El incumplimiento de la Ley orgánica de protección de datos, puede conllevar una serie de sanciones, que se establecen en tres grandes grupos y según la infracción que se cometa, leve, grave o muy grave.
Infracciones leves. Sancionables con una cuantía que oscila entre 600€ y 60.000€
- No solicitar la inscripción del fichero en la Agencia Española de Protección de Datos (AEDP)
- Recopilar datos personales sin informar previamente
- No atender a las solicitudes de rectificación o cancelación
- No atender las consultas por parte de la AGPD.
- Incumplir el deber de secreto establecido en el articulo 10, salvo que sea motivo de infracción grave
Infracciones graves. Sancionables con una cuantía que oscila entre los 60.000€ y los 300.000€
- No inscribir los ficheros en la AGPD cuando haya sido requerido para ello por dicha agencia
- Utilizar los ficheros con distinta finalidad con la se crearon.
- No tener el consentimiento del interesado para recabar sus datos personales
- No permitir el acceso a los ficheros.
- Mantener datos inexactos o no efectuar las modificaciones solicitadas
- No seguir los principios y garantías de la LOPD
- Tratar datos especialmente protegidos sin la autorización del afectado
- No remitir a la AGPD las notificaciones previstas en la LOPD.
- Mantener los ficheros sin las debidas condiciones de seguridad.
- Obstruir el ejercicio de Inspección de la Agencia Española de Protección de datos
- Incumplir el deber de guardar secreto sobre los datos de carácter personal catalogados con nivel de protección medio
Infracciones muy graves. Sancionables con una cuantia que oscila entre los 300.000€ y los 600.000€
- Recoger datos de forma engañosa o fraudulenta
- Comunicación o cesión de datos personales cuanto esto no este permitido
- Recabar datos con nivel de protección especial, sin el consentimiento expreso del afectado
- No cesar en el tratamiento ilegitimo de datos cuando sea requerido por la AGPD
- Ceder datos de carácter personal a países que no tengan un nivel de protección similar al del país donde se recogieron, sin la debida autorización del director de la AGDP
- Tratar los datos de forma ilegitima o con menosprecio de los principios y garantías que les sean de aplicación
- Incumplir el deber de guardar secreto sobre los datos de carácter personal catalogados con nivel de protección Alta
- No atender de forma sistemática el ejercicio de los derechos de Acceso, rectificación, cancelación u oposición (ARCO)
- Incurrir de forma sistemática en la no comunicación de la inclusión de datos en un fichero.
Ahora ya sabéis algo más de vuestras obligaciones para con la Ley de protección de datos. En Secure Data, podemos ayudaros a adaptar vuestras empresas a esta ley y os podemos realizar las auditorias pertinentes para saber en que grado de protección debéis estar, así como en que situación se encuentra vuestra empresa.
podéis encontrar mas información y forma de contacto en nuestra pagina web: https://grupoextremenodeasesoramiento.es/proteccion-de-datos/