martes, 12 de marzo de 2013

La LOPD

Es inevitable en cualquier actividad comercial tener que recopilar una información mínima para poder operar con los clientes y proveedores, un albarán de entrega o una factura pueden llevar los datos identificativos de una persona.
Esta información que vamos recopilando puede parecernos trivial, pero puede llegar a contener muchos datos sobre la persona a la que corresponde, por lo que el empresario estará obligado a realizar un conjunto de actuaciones dirigidas a proteger los datos de carácter personal.
Esta gestión será especialmente importante cuando realizamos actividades de comercio electrónico, donde los datos de los clientes se introducen y pueden ser consultados a través de Internet.
La aplicación de la LOPD o Ley Orgánica de Protección de Datos de Carácter Personal obliga a controlar y proteger los datos de carácter personal manejados al realizar cualquier actividad profesional, por lo tanto no es aplicable a la información que usemos en el ámbito doméstico ni a los datos de personas jurídicas (por ej. una empresa).
El artículo 3 de la LOPD nos facilita algunas definiciones:
Artículo 3. Definiciones.
A los efectos de la presente Ley Orgánica se entenderá por:
  1. Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.
  2. Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
  3. Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
  4. Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
  5. Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo.
  6. Procedimiento de disociación: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.
  7. Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
  8. Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.
  9. Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta del interesado.
  10. Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.
Los datos sólo se podrán recoger cuando sean imprescindibles en el ámbito y con la finalidad que fueron recogidos. Esa recogida de datos tiene que ser consentida y no se pueden utilizar con un fin distinto.
Los datos deberán de mantenerse actualizados y ser cancelados si no son necesarios o pertinentes para la actividad que originó su registro.
Hay datos especialmente sensibles sobre los que nadie puede ser obligado a declarar y que hacen referencia a la ideología, religión o creencias. Si es necesario recoger alguno de estos datos, se requerirá el consentimiento expreso del afectado.

Se ha publicado estos días que Facebook es capaz de determinar datos especialmente sensibles simplemente analizando los gustos de sus usuarios. Esto parece ir en contra de la LOPD, pero como es una ley española y seguramente este análisis de los datos se haga sobre servidores alojados en USA, no será aplicable. En cualquier caso los datos facilitados a Facebook ya han sido objeto de controversia en el pasado, como puedes leer en este artículo del año 2011 : "¿Se aplica la LOPD a Facebook?".

Y, ¿por qué hay que proteger estos datos?; pues porque el derecho a la protección de datos es un derecho fundamental que deriva del artículo 18.4 de la Constitución Española:
4. La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.
Por ello, el ciudadano tiene la facultad de controlar sus datos personales y la capacidad para disponer y decidir sobre los mismos.

Según se puede ver en la memoria anual de la Agencia Española de Protección de Datos el 96,46% de las sanciones impuestas, son por infringir la LOPD. Siendo el 66,49% de las sanciones impuestas de carácter grave. Según el art. 45 de la LOPD, la sanción grave puede variar entre 40.001 y 300.000 euros.
De las 5324 denuncias, 1495 corresponden a la provincia de Madrid y afectan a todos los sectores de actividad (telecomunicaciones, finanzas, comercio, ...).
¿A qué obliga la LOPD? Lo veremos otro día.

No hay comentarios:

Publicar un comentario