La Ley Orgánica de Protección de datos de carácter personal 15/1999 fue dictada en cumplimiento de lo dispuesto en el art. 18 de la Constitución Española y en la Directiva 46/95 del Parlamento Europeo, con el fin de proteger y garantizar el honor y la intimidad personal y familiar de las personas físicas ante las labores de recolección, almacenaje, tratamiento y cesión, de los datos de carácter personal registrados en un soporte físico que los haga susceptible de un tratamiento automatizado posterior, sea este realizado por los sectores público o privado ( art. 2 LOPDP ). La ley tutela, pues, el tratamiento de todos los datos de carácter personal, estén o no automatizados, si bien para los primeros ya es obligatorio comunicarlos, los últimos tienen hasta el año 2007 para ser declarados a la Agencia de Datos ( Disp . Adicional, 1ª LOPD ).
A los efectos de la ley, se considera dato a toda información numérica alfabética, gráfica, fotográfica, acústica o de cualquier tipo susceptible de recogida, registro, tratamiento o transmisión, personal a cualquier información concerniente a personas fisicas identificables o identificadas, y fichero a todo conjunto organizado de datos de cartater personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
No son de objeto de tutela, por el contrario, ni los datos de carácter no personal ni los datos pertenecientes a las personas jurídicas o los de los empresarios individuales en lo referente a su labor profesional. Quedan igualmente excluidos de la ley los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas, los sometidos a normativa sobre protección de materias clasificadas o los establecidos para investigación de terrorismo o formas graves de delincuencia organizada, no obstante en estos supuestos, el responsable del fichero comunicará previamente la existencia del mismo a la Agencia de Protección de Datos, Poseen igualmente un régimen específico los ficheros electorales, los de finalidad estadística, de las Fuerzas Armadas, los registros oficiales ( civil, penados, y rebeldes) y los de las fuerzas de seguridad del Estado.
De lo expuesto, se deduce con facilidad que la mayoría de las empresas manejan múltiples bases de datos que por su contenido son susceptibles de ser considerados ficheros de datos personales a los efectos de esta ley, siendo un simple ejemplo el fichero de empleados o personal.
Obligaciones de los responsables de ficheros de carácter personal
Además conforme a la Ley, el responsable de un fichero no sólo tiene el deber de declararlo a la Agencia de Protección de Datos, sino que también responde de la calidad de los datos que recaba (han de ser adecuados, pertinentes, y no excesivos), de la finalidad ( no pueden usarse para fines incompatibles o distintos de aquellos por los que hubieran sido recogidos), de su exactitud y actualidad ( debe corregir la inexactitudes y cancelar los datos que ya no son pertinentes) del origen (se necesita consentimiento del afectado, no se admite la recogida de datos por medios fraudulentos o desleales) Art. 4 LPDP.
El responsable del fichero debe informar a los interesados a los que se soliciten datos personales, de la existencia del fichero, así como de su posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición ( Art. 5 LOPDP).
La ley establece como regla general, la necesidad del consentimiento inequívoco por parte del afectado para poder tratar sus datos de carácter personal, salvo que la ley disponga otra cosa. No es preciso cuando los datos se recojan para las funciones propias de las Administraciones públicas, fuentes accesibles al público o cuando se refieran a las partes de un contrato de relación negocial, laboral o administrativa y sean necesarias para su cumplimiento. Dicho consentimiento, puede revocarse en cualquier momento ( art. 6 LOPDP).
El responsable del fichero, además tiene deber de secreto y custodia sobre los datos personales, por lo que se restringe la comunicación a terceros de los datos de carácter personal (art 11 LOPDP).
Clasificación de los datos personales:
Los datos personales, se clasifican en función de su contenido, siendo especialmente protegidos aquellos datos que revelen la ideología, religión creencias, afiliación, origen racial, salud, o vida sexual de los interesados. Dicha clasificación tiene especial importancia, a la hora de determinar la licitud del origen de la información así como también en orden a clasificar su tratamiento de seguridad como datos de protección básica, media o alta. Un fichero que contenga datos personales, siempre requiere al menos un tratamiento de seguridad básico (creación del Responsable de un documento de seguridad de obligado cumplimiento, así como dar a conocer las normas de seguridad al personal, registro de incidencias, identificación y autenticación de los usuarios que tengan acceso autorizado, control de soportes, etcétera).
Un fichero que contenga datos sobre comisión de infracciones, debería garantizar una seguridad de grado medio (documento de seguridad, auditorias internas cada dos años, controles periódicos, identificación inequívoca de los usuarios que acceden al fichero, control de los soportes y copias, etcétera). Finalmente, un fichero que contenga datos personales especialmente sensibles (origen racial, salud, religión, vida sexual, afiliación, ,etcétera) requerirá un nivel de seguridad alto, lo que implica añadir a todo lo anterior un estricto control y registro de los accesos, de las copias de seguridad, etcétera
Según lo anteriormente comentado, debemos tener en cuenta las infracciones a la ley. Están se establecen como leves, graves, y muy graves según los supuestos, estas llevan aparejadas sanciones de 601,1 a 60.101,2 en el caso de las leves, 60.101,2 a 300.506,5 en el caso de las infracciones graves y de 300.506,6 a 601.012,1 en el caso de las muy graves ( art. 45 LOPDP)
Para finalizar este breve comentario sobre la ley 15/1999, conviene advertir a nuestros clientes, de que hasta la fecha, en la mayoría de los casos la Agencia de Protección de Datos sólo ha realizado inspecciones en las que mediaba denuncia por algún afectado. Pero una vez vencido el plazo para adecuarse a esta ley, se prevé una mayor inspección, con las consecuentes sanciones, para quien no haya tomado las medidas que la LOPDP exige.
