¿Qué es la Ley Orgánica de Protección de Datos?
La Ley Orgánica de Protección de Datos (LOPD) nace de una directiva europea que tiene como principal finalidad proteger los derechos fundamentales dentro de la esfera personal, como son el derecho al honor, la intimidad personal y la propia imagen de todas las personas físicas.
Por lo tanto la LOPD, con el objeto de garantizar los derechos indicados, limita y regula el uso de la informática y otras técnicas y medios de tratamiento automatizado de los datos de carácter personal, dentro del tráfico mercantil, así como la información en soporte Documental (papel). La LOPD se aprobó el 13 de diciembre de 1999 y está vigente desde el 14 de enero de 2000.

¿Quién tiene la obligación de adecuarse a la LOPD?
Toda entidad, bien sea persona física (autónomo) o jurídica (sociedad) que mantenga y trate datos de carácter personal, como son una relación de trabajadores, clientes, proveedores, pacientes, asegurados, etc., ya sea en un sistema informático o en soporte papel, está obligada al cumplimiento de la LOPD.

¿Qué se considera Dato de Carácter Personal?
Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recogida, registro, tratamiento o transmisión concerniente a una persona física identificada o identificable.
El conjunto de la información de los datos de carácter personal se denomina Fichero y el responsable de éste se denomina Responsable del Fichero, estando obligado a adoptar las medidas técnicas y organizativas de seguridad necesarias para garantizar la integridad, disponibilidad y confidencialidad de los datos que se disponen.

¿Qué niveles de Seguridad distingue la LOPD?
Dependiendo de su mayor o menor trascendencia e injerencia dentro del ámbito de la esfera personal, estos se dividen en tres niveles:
• Nivel Básico: nombres, apellidos, D.N.I., dirección, etc.
• Nivel Medio: Hacienda Pública, servicios financieros, infracciones administrativas o penales, datos que permitan evaluar determinados aspectos de la personalidad, etc.
• Nivel Alto: Datos policiales, salud, ideología, afiliación sindical, religión, origen racial o étnico, vida sexual, aquellos derivados de servicios de telecomunicaciones electrónicas y datos derivados de actos de violencia de género.
El pasado 21 de diciembre de 2007 se aprobó, en Consejo de Ministros, el nuevo Reglamento de Seguridad y se publicó en el BOE el 19 de enero de 2008. Este Reglamento ha generado un gran debate por los cambios introducidos respecto al anterior. Según diferentes sectores, entre ellos la Federación de Comercio Electrónico y Marketing Directo (FECEMD) y la Asociación Española de Venta a Distancia (AVAD), el nuevo Reglamento corre el riesgo de nacer obsoleto, sobre todo en lo que se refiere a Internet, además redefine los tres niveles de seguridad añadiendo una complejidad que muchos entienden innecesaria y otros defienden, ya que actualmente existen sectores obligados a aplicar un nivel de seguridad alto cuando su actividad no tiene relación alguna con las actividades con las que se relacionan los datos de ese nivel. En cualquier caso el nuevo Reglamento se ve como un desarrollo de la Ley donde se han tenido en cuenta las resoluciones de expedientes sancionadores que han llegado a la Audiencia Nacional, único Órgano Administrativo donde recurrir si la Agencia de Protección de Datos desestima nuestro recurso.

¿Qué principales obligaciones nos exige la LOPD?
Cada caso es diferente pero a nivel de esquema podríamos decir que los puntos importantes son:
• Inscripción de los ficheros automatizados y documentales (soporte papel) en el Registro de la Agencia de Protección de Datos.
• Elaboración del Documento de Seguridad donde se reflejan las medidas, tanto técnicas como organizativas, a adoptar dependiendo del nivel de seguridad que nos afecte.
• Regularización de contratos con terceros que accedan y/o traten los datos del Fichero, como son la gestoría (para la gestión de nóminas), empresa de soporte informático, etc.
• Deber de informar a los afectados sobre la finalidad de sus datos y sus derechos de acceso, rectificación, oposición y cancelación.
• En el caso de que la entidad disponga de Web, la elaboración de una política de privacidad o aviso legal adecuado entre otros requisitos.
• La elaboración de distintos textos y cláusulas dependiendo del sector en que nos encontremos.
En los niveles Medio y Alto se aumentan las medidas de seguridad, donde podríamos destacar las exigencias técnicas que conllevan y la obligación de auditar cada dos años.
En los casos que nos encontremos en nivel Bajo y Medio necesitaremos el consentimiento inequívoco del titular para tratar sus Datos, y en el caso del nivel Alto necesitaremos el consentimiento expreso y por escrito. Al respecto recomendamos obtener el consentimiento de forma expresa y por escrito, ya que la carga de la prueba siempre recae sobre la empresa que trata los Datos.

¿A quién he de recurrir para una correcta adecuación de mi empresa a la LOPD?
A cualquier empresa especializada en esta materia y que le preste un servicio asistencial y no a distancia como sucede en algunos casos: la Ley regula aspectos tanto jurídicos como técnicos, por lo que entendemos que la empresa a elegir les debe asesorar desde una óptica jurídica e informática, siendo trascendental la presencia de profesionales de ambos sectores.

¿Qué motiva el alto incumplimiento de esta normativa por parte de las empresas?
Éste viene motivado por distintas razones, la principal es el desconocimiento o bien la incomprensión de una Ley que entienden no les aporta ningún beneficio y no comparte la justificación, porque en su opinión los datos de su negocio se tratan de forma adecuada. Otras razones podrían ser la creencia que habiendo declarado un fichero ya están regularizados, cuando únicamente es el inicio, la visión de un coste del que no se obtienen beneficios en un sector de prevención, etc.

¿Qué argumentos esgrimiría para que regularice mi empresa y por qué me recomendaría el cumplimiento de dicha Ley?
En primer lugar porque la legislación actual obliga a ello y por tanto tienen el deber legal de cumplirla, en segundo lugar porque esta Ley conlleva un grave riesgo para las mercantiles: sus sanciones desproporcionadas no distinguen entre si estamos delante de un holding o una pequeña o mediana empresa, hecho verdaderamente injusto que el legislador no ha variado con el Reglamento de desarrollo recientemente aprobado. Y les recomendaríamos su cumplimiento porque estar regularizado depura y delega responsabilidades en todos los usuarios que manipulan el Fichero (empleados, colaboradores, asesoría, etc.) y a nivel organizativo, la regularización conlleva optimizar sus recursos y por tanto una mayor eficacia del sistema de trabajo, y finalmente por la imagen que se trasmite en el sentido de garantizar la confidencialidad de los datos.

¿Qué sanciones existen en la actualidad por no cumplir la LOPD?
A título de ejemplo, las infracciones más comunes que se suelen cometer son la no inscripción del Fichero en el Registro supone una sanción de 601,00 a 60.101,21 euros; no proporcionar la información necesaria a los afectados en la recogida de datos, sanción de 601,00 a 60.101,21 euros; no realización del documento de seguridad, sanción de 60.101,21 a 300.506,05 euros, y no realización de contrato de prestación de servicios con gestoría/asesoría/informático, sanción de 300.506,05 a 601.012,10 euros. La desmesurada cuantía de las sanciones pone a España como el país con el régimen sancionador más duro de la Unión Europea.

¿Una vez adecuada la mercantil, recomiendan contratar un mantenimiento o hacer un seguimiento?
El seguimiento por parte de las personas responsables es a perpetuidad, pero cuando se regulariza una empresa entendemos que aparte de entregar la documentación, hay una labor pedagógica muy interesante, formar al Responsable del Fichero, o en su caso al Responsable de Seguridad, en sus obligaciones para llevarlas a cabo en adelante, lo que implica que en un nivel de seguridad Bajo y Medio el cliente pueda hacer su propio seguimiento sin necesidad de contratar un mantenimiento. En todo caso siempre es determinante la estructura de la mercantil, el volumen de trabajadores, tipo de datos tratados, relaciones con terceros, nivel de seguridad, etc. Pensamos que es tan importante regularizar la situación como el hecho de conocer todos los extremos de la Ley que nos afecten.

¿Qué nos aporta el nuevo Reglamento aprobado recientemente?
Teniendo en cuenta que su aprobación se ha retrasado muchísimo y que las expectativas eran importantes, pensamos que su principal aportación es que mejora y aclara determinados conceptos y figuras, garantiza los derechos de las personas afectadas con procedimientos para ejercer éstos, añade un criterio de finalidad del tratamiento para fijar el nivel de seguridad, normaliza contenidos jurisprudenciales y sobre todo regula el tratamiento de los ficheros no automatizados, pero creemos que ofrece lagunas importantes y tenemos la sensación de que se ha perdido una oportunidad importante de variar el sistema sancionador.

_________________________________________________
LA EMPRESA

SeInProDat Asesores es una asesoría informático-jurídica ubicada en Barcelona especializada en seguridad informática y Ley de Protección de Datos, que aplica medidas de seguridad, tanto Técnicas como Jurídicas, para la adecuación y el cumplimiento de la LOPD y la LSSIce. SeInProDat se compone de dos departamentos: el informático y el jurídico, ofreciendo una solución completa a todo tipo de empresas.