La llei orgànica 15/1999 de protecció de dades de caràcter personal (LOPD) és una llei
orgànica que té com objectiu garantir i protegir les dades personals, les llibertats
públiques i els drets fonamentals de les persones físiques, i especialment la seva
intimitat i privadesa personal i familiar. Fou aprovada a les Corts espanyoles el 13 de
desembre del 1999. Aquesta llei es desenvolupa fonamentada en l'article 18 de
la Constitució espanyola de 1978, sobre el dret a la intimitat familiar i personal; i el
secret de les comunicacions.
La llei orgànica 15/1999 de protecció de dades de caràcter personal (LOPD) és una llei
orgànica que té com objectiu garantir i protegir les dades personals, les llibertats
públiques i els drets fonamentals de les persones físiques, i especialment la seva
intimitat i privadesa personal i familiar. Fou aprovada a les Corts espanyoles el 13 de
desembre del 1999. Aquesta llei es desenvolupa fonamentada en l'article 18 de
la Constitució espanyola de 1978, sobre el dret a la intimitat familiar i personal; i el
secret de les comunicacions.
Aquesta llei afecta a totes les dades que fan referència a persones físiques registrades
sobre qualsevol suport, informàtic o no. Queden exempts del compliment d'aquesta
normativa aquelles dades recollides per a ús domèstic, les matèries classificades de
l'estat i aquells fitxers que recullen dades sobre terrorisme i altres formes
de delinqüència organitzada (no simple delinqüència).
d'àmbit estatal, i l'Agència Catalana de Protecció de Dades, en l'àmbit de Catalunya, que
vetllen pel compliment d'aquesta normativa.
nivells que classifiquen els registres en tres nivells de
seguretat. Ho són:
Nivell bàsic
Nivell mitjà
Nivell alt
Principals elements derivats de la legislació espanyola
dades, tot i que la jurisprudència reconeix que no es pronuncia clarament:
seva aprovació ha de ser per llei orgànica, el que suposa tenir la majoria absoluta
al Congrés dels Diputats
administracions que donin servei a ciutadans dins del territori espanyol (Per exemple
afectaria a una empresa que donés servei a ciutadans espanyols des de qualsevol lloc
del món).
Per contra la llei no afecta a:
Orgànica té per objecte garantir i protegir, en allò referent al tractament de les dades
personals, les llibertats públiques i els drets fonamentals de les persones físiques, i
especialment del seu honor i intimitat personal i familiar".
dades personals, de propietat pública o privada, qualsevol que sigui la seva forma
d'enregistrament i tractament amb una finalitat determinada. No ha estat fins
al RDLOPD que s'ha concretat que el sistema de tractament en paper constitueix també
un fitxer. Per tant, tota entitat de dret públic o privat té fitxers que contenen dades
personals registrades per a diferents finalitats. Cal identificar-los i classificar-los per
funcionalitat i naturalesa i registrar-los públicament.
funció del seu sistema de tractament. Són així l'element central en matèria de
protecció de dades personals, ja que són el conjunt de dades registrades i tractades per a
una o diverses finalitats concretes. En qualsevol suport. I és propietat del responsable
del fitxer, que és qui ha d'assumir l'aplicació de la normativa corresponent sobre els
fitxers.
Qualitat de la dada i nivells de seguretat
recollir pel seu tractament, així com sotmetre'ls al citat tractament, quan siguin
adequades, pertinents i no excessives en relació amb l'àmbit i les finalitats
determinades, explícites i legítimes per les que s'hagin obtingut.
nivells de seguretat que sobre el seu tractament cal aplicar i que desenvolupa
el RDLOPD. Això tindrà implicacions respecte al sistema de tractament i també
respecte als usuaris (control d'accessos, registre, identificació, autenticació,
compromís de confidencialitat del personal, etc.). En tot cas, els nivells es defineixen
en tres nivells:
· Nivell Bàsic: qualsevol fitxer que contingui dades personals de qualsevol tipus que facin identificable la persona: nom, imatge, adreça, etc.
tractament, caldrà aplicar unes mesures de seguretat concretes que es desenvolupen al
RDLOPD per a cada un dels nivells. Igualment, el règim sancionador és diferent en
funció de la qualitat de la dada implicada en la infracció. De manera que la normativa
protegeix especialment les dades qualificades com a nivell alt, que tenen una especial
relació amb els drets fonamentals de les persones.
moment que es recull la dada de caràcter personal el responsable del fitxer ha de fer-ho
obtenint el consentiment informat de l'afectat. Alhora, ha d'informar la persona
afectada, com a mínim, dels següents aspectes:
elements que recullen els articles 5 i 6 de la LOPD, bàsicament per cessions de dades no
informades o per l'ús de finalitats diferents per a les que es van registrar i no
informades en el moment de recollida de la dada, ni tampoc captat el consentiment
necessari per a la cessió. Són moltes les implicacions que es poden derivar d'aquesta
obligació i molts els casos en que es vulnera, com es pot comprovar sobre el total de
procediments sancionadors que disposa públicament l'agència espanyola de protecció
de dades [3] on identifica l'article o articles concrets que s'han vulnerat.
A la pràctica, els responsables de fitxer han optat per incloure clàusules generals en
formularis de recollida de les dades personals. Que en un o altre moment verifiquen
que l'afectat hagi signat o acceptat de forma explícita o tàcita.
La llei però també estableix una sèrie d'excepcions en les que no és necessari demanar
consentiment informat:
comunicació de dades i es desprèn dels articles 11 i 12 de la LOPD. La cessió també ha de
tenir el coneixement i consentiment de l'afectat i això no sempre és així. Aquesta
obligació adquireix especial rellevància en el context actual de subcontractació de
serveis per les entitats. De manera que podria ser que la dada fos recollida per un
responsable del fitxer i que després fos cedida a un tercer per a un tractament específic.
Per exemple, les dades d'uns treballadors passades al servei contractat d'assessoria
laboral, sense coneixement ni consentiment dels afectats, podrien ser posteriorment
utilitzades per enviar-los publicitat comercial de serveis.
contracte entre el responsable del fitxer i aquest tercer encarregat del tractament on
s'estableixin quines són les finalitats del tractament i on l'encarregat del tractament es
comprometi a complir amb la normativa vigent en matèria de protecció de dades.
Resulta doncs una garantia força important per a l'afectat i en el recull de processos
sancionadors de l'Agència Espanyola trobem importants sancions econòmiques per
cessió il·legal de dades. L'article 9 de la LOPD estableix que el responsable del fitxer i en
el seu cas l'encarregat del tractament seran els responsables d'aplicar les mesures de
seguretat en les dades.
processos sancionadors que instrueix l'agència espanyola.[3] Doncs implica una
diversitat molt extensa d' àmbits i és una obligació general que recau sobre
qualsevol usuari que tingui accés a les dades de qualsevol fitxer del responsable o
encarregat del tractament. És la prova de la responsabilitat en aplicar les mesures de
seguretat al fitxer no només per part de l'entitat responsable sinó també pel seu
personal i càrrecs, així com pels possibles encarregats de tractament.
establir clàusules generals d'obligació a la confidencialitat en els contractes laborals del
personal, amb col·laboradors, tercers, etc.
comparació amb altres de països veïns. Dependrà en tot cas de la infracció comesa i
especialment de la qualitat de la dada implicada, però el nivell econòmic de les
sancions se situa, en funció del grau de la infracció, en:
· Sanció per infracció lleu: de 900 € a 40.000 €
privat que per a l'administració pública. En cas que sigui l'administració la que cometi
una infracció el procediment passarà per una investigació que pot concloure amb
sancions disciplinàries sobre l'òrgan i els càrrecs infractors, però no amb sanció
econòmica. Té això cert sentit doncs els diners sortirien de la hisenda pública per anar
a parar a la hisenda pública. Però no cal passar per alt que segons la qualificació de les
dades que fa la pròpia llei, és precisament l'administració la que posseeix dades de
major qualitat: serveis sanitaris, educatius, tributaris, etc.. Per aquesta raó seria
desitjable que la normativa s'adaptés de forma immediata, per garantir els drets dels
afectats.
infracció com el procediment i sancions disposades en la
matèria, tot establint una distinció en quant al procés
sancionador si la infracció és comesa per entitats de dret
públic, administracions públiques, o de dret privat, la resta.
De manera que en el primer cas parlarem d'amonestacions i
procediments disciplinaris i en el segon de sancions
econòmiques. A més, cal pensar que, com es desprèn
de l'article 44 que defineix els tipus i gravetat de les
infraccions, a l'analitzar el conjunt de resolucions dels
procediments, en la majoria dels casos ens trobem davant
una infracció que com a mínim serà greu i que partirà doncs d'una sanció econòmica
mínima de 60.101,21 €.
processos que donen compliment internament a la normativa. On figuri un
responsable de seguretat, la identificació i registre dels fitxers, la normativa aplicable,
el registre d'usuaris, de suports, l'inventari de sistemes d'informació i aplicacions, i tot
allò relacionat amb la implantació a l'entitat de la normativa. És un document de
garantía mínima de compliment amb les obligacions derivades de la normativa que
tota entitat hauria de disposar, però que per si mateix no implica el compliment de les
mesures de seguretat.
Implicacions i futur
drets i deures que suposa la garantia legal de protecció de les
nostres dades personals té nombroses implicacions. En primer
lloc hem de veure tot aquest marc normatiu com a un conjunt
de garanties respecte de l'ús de les dades personals per part dels
responsables del fitxer. En el sentit que hem d'estar informats
de per a què es recullen les nostres dades i de quin serà el destí de les mateixes, alhora
de garantir-nos l'exercici dels drets d'accés, rectificació, cancel·lació i oposició de les
mateixes.
Igualment, el règim sancionador disposat a la llei suposa una amenaça clara per a les
empreses, tot i que desigual. Doncs no distingeix entre una gran corporació que fa
transferència il·legal de dades per a benefici comercial d'entre una petita o mitjana
empresa, per la qual cosa el fet que es té en compte en imposar la sanció es la infracció i
no la posició del responsable del fitxer. Això provoca que determinades corporacions
empresarials amb potencial i capital suficient puguin destinar una partida del seu
pressupost anual al pagament de les possibles sancions en protecció de dades, donat
que el rendiment econòmic que les seves infraccions en l'àmbit de l'acció comercial
serà superior al import de les eventuals sancions. Mentre que una entitat privada sense
aquesta posició es veurà greument afectada.
Tanmateix, en el context de la societat del coneixement i amb el desenvolupament i
implantació al món professional de les TIC no es poden obviar les obligacions
respectives dels proveïdors de serveis tecnològics i del comerç electrònic. Més encara
si sabem que les cessions de dades són constants, especialment en consideració a la
subcontractació de serveis de hosting, de còpies de seguretat, de processos de
reconstrucció, d'assistència a distància, i un llarg etc. Per això resulta interessant
vincular l'estudi de la normativa en matèria de protecció de dades amb la Llei 34/2002,
d'11 de juliol, de Serveis de la Societat de la Informació i Comerç Electrònic (LSSI-CE)..
Especialment important per a l'aplicació de la normativa en matèria de comerç
electrònic i d'usos d'Internet. És aquest un àmbit encara per descobrir i no cal dir que al
legislador se li escapa de les mans, tot i que, en qualsevol cas, són creixents els
procediments sancionadors de l'Agencia Espanyola de Protecció de Dades on aquesta
llei i matèria son objecte de sanció.
La regulació en matèria de Protecció de Dades Personals suposa unes garanties de drets
dels afectats i alhora imposa unes obligacions als responsables dels fitxers, les mesures
de seguretat a aplicar sobre els fitxers així com la garantia que tot usuari o encarregat
de tractament tindrà coneixement de l'existència de la normativa i adquirirà un
compromís de confidencialitat. Però si s'analitza al detall tota la regulació, que des del
RDLOPD és quelcom més concreta, cal adonar-se que el seu compliment íntegre es
pràcticament impossible. I, donat que el règim sancionador disposat és molt dur, no és
d'estranyar que l'aparició d'aquesta normativa hagi suposat una nova quota de mercat
per a empreses de serveis d'assessorament i consultoria que, arrel de la preocupació
que genera aquesta qüestió i afegint l'exigència dels estàndards de qualitat
internacionals, no pot fer més que créixer. Igualment, també el creixement de serveis
destinats a la destrucció de documentació, gestió d'arxius, allotjament de dades
remots, serveis de reconstrucció, etc.
I és que la protecció de dades entesa de forma global afectat tots els tipus d'activitat i el
seu àmbit d'aplicació és constant i creixent, doncs les dades personals són la base de les
relacions de servei. Al mateix ritme, per tant, es van desenvolupant tot un seguit de
novetats tecnològiques i de formació per a professionals al respecte. No podem separar
la Protecció de Dades de l'ús de les Tecnologies de la Informació i la Comunicació, de
la Signatura digital, del Certificat digital, ús d'Internet, entre altres eines avui habituals
en el marc laboral i sobre les quals la protecció de dades té una significació molt
important. En un entorn de e-administració creixent i de serveis online en creixement
exponencial, la Protecció de Dades Personals jugarà un paper transcendental en els
propers anys. Especialment si tenim en compte que el percentatge d'entitats,
responsables de fitxer, públics i privats, que tenen fitxers registrats (primer pas per al
compliment de la normativa) a les agencies és insignificant encara avui.
Una de les millors formes per adonar-se de la importància creixent que aquest àmbit
normatiu està prenent és comprovar les resolucions de l'agència espanyola [3] on es pot
verificant la diversitat de processos sancionadors, la diversitat d'entitats implicades i la
multitud de possibilitats d'infringir la norma, tanmateix per ésser conscients de fins a
quin punt podem exercir els nostres drets a la intimitat i correcta gestió de les nostres
dades, no deixant impune qualsevol infracció.
Aquesta llei afecta a totes les dades que fan referència a persones físiques registrades
sobre qualsevol suport, informàtic o no. Queden exempts del compliment d'aquesta
normativa aquelles dades recollides per a ús domèstic, les matèries classificades de
l'estat i aquells fitxers que recullen dades sobre terrorisme i altres formes
de delinqüència organitzada (no simple delinqüència).
sobre qualsevol suport, informàtic o no. Queden exempts del compliment d'aquesta
normativa aquelles dades recollides per a ús domèstic, les matèries classificades de
l'estat i aquells fitxers que recullen dades sobre terrorisme i altres formes
de delinqüència organitzada (no simple delinqüència).
A partir d'aquesta llei es varen formar l'Agència Espanyola de Protecció de Dades,
d'àmbit estatal, i l'Agència Catalana de Protecció de Dades, en l'àmbit de Catalunya, que
vetllen pel compliment d'aquesta normativa.
d'àmbit estatal, i l'Agència Catalana de Protecció de Dades, en l'àmbit de Catalunya, que
vetllen pel compliment d'aquesta normativa.
Nivells de la LOPD
Les dades de caràcter personal s'estructuren en diferents
nivells que classifiquen els registres en tres nivells de
seguretat. Ho són:
nivells que classifiquen els registres en tres nivells de
seguretat. Ho són:
· noms i cognoms de persones físiques vives
· números de DNI, NIF i passaport
· adreces físiques que s'hi associïn o s'hi puguin associar a través del tractament informàtic
· telèfons i adreces de correu electrònic que s'hi associïn o s'hi puguin associar a través del tractament informàtic
· fotografies on es pugui reconèixer clarament algú
· veu a través de la qual es pugui reconèixer algú
· dades genètiques i mèdiques associades a persones concretes
· dades biomètriques
· dades referides a creences, filiació política o sindical
· dades referides a la raça
· qualsevol dada que permeti identificar algú (la llei no opta per una enumeració tancada, sinó per la definició anteriorment exposada; per tant, la intenció és atorgar el màxim de protecció possible atesos els continus avenços de la ciència i la tècnica)
Nivell bàsic
· Identificatiu.
· Personal.
· Circumstàncies socials.
· Acadèmics i professionals.
· Detall d'empleats.
· Informació comercial
· Econòmic-financer i d'assegurances
· Transacció
Nivell mitjà
· Infraccions administratives o penals.
· Hisenda pública.
· Serveis Financers.
· Solvència patrimonial i crèdits.
· Avaluació de la personalitat.
Nivell alt
· Ideologia.
· Creences.
· Origen racial.
· Salut.
· Vida sexual.
Principals elements derivats de la legislació espanyola
Conceptes legals previs
La Constitució Espanyola de 1978 fa referència en 3 articles al tractament de les
dades, tot i que la jurisprudència reconeix que no es pronuncia clarament:
dades, tot i que la jurisprudència reconeix que no es pronuncia clarament:
· Article 18.4: El legislador va deixar clar que la llei ha de limitar l'ús de la informàtica per tal de garantir l'honor i la intimitat personal i familiar dels ciutadans i el ple exercici dels seus drets.
· Article 20.1: Dret a comunicar o rebre lliurement informació.
S'ha de tenir en compte, que al regular un dret fonamental segons la Constitució [1] la
seva aprovació ha de ser per llei orgànica, el que suposa tenir la majoria absoluta
al Congrés dels Diputats
seva aprovació ha de ser per llei orgànica, el que suposa tenir la majoria absoluta
al Congrés dels Diputats
Àmbit d'Aplicació
La LOPD estableix, en línies generals, que la llei és aplicable a totes aquelles empreses i
administracions que donin servei a ciutadans dins del territori espanyol (Per exemple
afectaria a una empresa que donés servei a ciutadans espanyols des de qualsevol lloc
del món).
administracions que donin servei a ciutadans dins del territori espanyol (Per exemple
afectaria a una empresa que donés servei a ciutadans espanyols des de qualsevol lloc
del món).
Per contra la llei no afecta a:
· Fitxers mantinguts per persones físiques en exercici exclusivament personal o domèstic.
· Fitxers de matèries classificades.
· Fitxers establerts per a la investigació de terrorisme i de delictes greus relacionats amb la delinqüència organitzada.
· Persones ja mortes.
Objecte
L'article 1 de la Llei Orgànica 15/99 de Protecció de dades estableix: "La present Llei
Orgànica té per objecte garantir i protegir, en allò referent al tractament de les dades
personals, les llibertats públiques i els drets fonamentals de les persones físiques, i
especialment del seu honor i intimitat personal i familiar".
Orgànica té per objecte garantir i protegir, en allò referent al tractament de les dades
personals, les llibertats públiques i els drets fonamentals de les persones físiques, i
especialment del seu honor i intimitat personal i familiar".
En l'article 2 de la citada Llei se n'estableix la competència i àmbit d'aplicació. La manca de concreció de la pròpia llei ha fet que es generin molts dubtes al voltant de determinades definicions i aspectes normatius de la mateixa. En tot cas resulta evident la necessitat que té el legislador de protegir les dades personals, en el sentit de desenvolupar i garantir el dret fonamental a la intimitat així com establir una legislació de control sobre el tràfic i gestió de les dades personals dels ciutadans.
Conceptes bàsics
· Dada Personal: qualsevol informació del tipus que sigui que permeti identificar o faci identificable la persona física (no la persona jurídica).
· Afectat: persona identificada o identificable a qui corresponen les dades personals.
· Fitxer: Tot conjunt organitzat de dades de caràcter personal, que permeti accés a les dades amb criteris determinats, qualsevol que sigui la forma o modalitat de creació, enregistrament, organització, tractament i accés.
· Responsable del fitxer: persona física o jurídica de naturalesa pública o privada a qui pertany el fitxer, amb independència que executi o no materialment el tractament.
· Sistema de Tractament: qualsevol forma o modalitat que permeti l'ús i gestió de les dades, des que es registren fins que s'eliminen.
· Encarregat de Tractament: pot ser el responsable del fitxer o qualsevol altra persona física o jurídica de naturalesa privada o pública que tracti per encàrrec del responsable les dades de caràcter personal dels fitxers. Alhora, aquest encarregat de tractament pot fer-ho sol o conjuntament i en cada cas estan tots els agents implicats obligats a la normativa de confidencialitat desenvolupada.
· Usuari: qualsevol persona que tingui accés a les dades personals que componen el o els fitxer/s del responsable.
· Responsable de Seguretat: persona o persones físiques o jurídiques que tenen la funció de vetllar pel compliment, aplicació i manteniment del document de seguretat.
· Document de seguretat: recull de normativa i processos per a l'aplicació dels aspectes regulats en matèria de protecció de dades que tot Responsable de Fitxer ha de tenir obligatòriament.
· Comunicació de dades: qualsevol cessió de les dades personals del responsable del fitxer a tercers. Tota comunicació o cessió de dades entre parts s'ha de donar en un marc regulat entre les parts de confidencialitat estricta i s'han de garantir l'aplicació de les mesures de seguretat corresponents així com que les dades seran tractades per a la finalitat amb que van ser registrades, amb l'excepció dels requeriments de determinades administracions públiques relacionades amb les funcions policials, de justícia i sanitat.
Fitxer de dades personals
És el punt de partida de la normativa. Un fitxer serà qualsevol conjunt organitzat de
dades personals, de propietat pública o privada, qualsevol que sigui la seva forma
d'enregistrament i tractament amb una finalitat determinada. No ha estat fins
al RDLOPD que s'ha concretat que el sistema de tractament en paper constitueix també
un fitxer. Per tant, tota entitat de dret públic o privat té fitxers que contenen dades
personals registrades per a diferents finalitats. Cal identificar-los i classificar-los per
funcionalitat i naturalesa i registrar-los públicament.
dades personals, de propietat pública o privada, qualsevol que sigui la seva forma
d'enregistrament i tractament amb una finalitat determinada. No ha estat fins
al RDLOPD que s'ha concretat que el sistema de tractament en paper constitueix també
un fitxer. Per tant, tota entitat de dret públic o privat té fitxers que contenen dades
personals registrades per a diferents finalitats. Cal identificar-los i classificar-los per
funcionalitat i naturalesa i registrar-los públicament.
Totes les mesures de seguretat que es desenvolupen s'han d'aplicar sobre els fitxers en
funció del seu sistema de tractament. Són així l'element central en matèria de
protecció de dades personals, ja que són el conjunt de dades registrades i tractades per a
una o diverses finalitats concretes. En qualsevol suport. I és propietat del responsable
del fitxer, que és qui ha d'assumir l'aplicació de la normativa corresponent sobre els
fitxers.
funció del seu sistema de tractament. Són així l'element central en matèria de
protecció de dades personals, ja que són el conjunt de dades registrades i tractades per a
una o diverses finalitats concretes. En qualsevol suport. I és propietat del responsable
del fitxer, que és qui ha d'assumir l'aplicació de la normativa corresponent sobre els
fitxers.
Qualitat de la dada i nivells de seguretat
L'article 4.1 de la LOPD estableix que: les dades de caràcter personal només es podran
recollir pel seu tractament, així com sotmetre'ls al citat tractament, quan siguin
adequades, pertinents i no excessives en relació amb l'àmbit i les finalitats
determinades, explícites i legítimes per les que s'hagin obtingut.
recollir pel seu tractament, així com sotmetre'ls al citat tractament, quan siguin
adequades, pertinents i no excessives en relació amb l'àmbit i les finalitats
determinades, explícites i legítimes per les que s'hagin obtingut.
La LOPD defineix quina és la qualitat de la dada, en base a la qual s'estableixen els
nivells de seguretat que sobre el seu tractament cal aplicar i que desenvolupa
el RDLOPD. Això tindrà implicacions respecte al sistema de tractament i també
respecte als usuaris (control d'accessos, registre, identificació, autenticació,
compromís de confidencialitat del personal, etc.). En tot cas, els nivells es defineixen
en tres nivells:
nivells de seguretat que sobre el seu tractament cal aplicar i que desenvolupa
el RDLOPD. Això tindrà implicacions respecte al sistema de tractament i també
respecte als usuaris (control d'accessos, registre, identificació, autenticació,
compromís de confidencialitat del personal, etc.). En tot cas, els nivells es defineixen
en tres nivells:
· Nivell Bàsic: qualsevol fitxer que contingui dades personals de qualsevol tipus que facin identificable la persona: nom, imatge, adreça, etc.
· Nivell Mitjà: fitxers que continguin, a més de les anteriors, dades relatives a la comissió d'infraccions administratives o penals, hisenda pública, serveis financers i aquells corresponents a la prestació de serveis de solvència i crèdit. Generalment, però s'entén que estarem davant dades de nivell mitjà quant aquestes permetin fer una valoració d'entorn social i psicològic de la persona, més enllà de la seva simple identificació.
· Nivell Alt: fitxer que contingui dades personals sobre ideologia, religió, creences, origen racial, salut o vida sexual o els registrats per a fins policials sense consentiment. Aquestes són les dades que han de ser especialment protegides.
En funció del nivell de dades registrades en el fitxer amb un o altre sistema de
tractament, caldrà aplicar unes mesures de seguretat concretes que es desenvolupen al
RDLOPD per a cada un dels nivells. Igualment, el règim sancionador és diferent en
funció de la qualitat de la dada implicada en la infracció. De manera que la normativa
protegeix especialment les dades qualificades com a nivell alt, que tenen una especial
relació amb els drets fonamentals de les persones.
tractament, caldrà aplicar unes mesures de seguretat concretes que es desenvolupen al
RDLOPD per a cada un dels nivells. Igualment, el règim sancionador és diferent en
funció de la qualitat de la dada implicada en la infracció. De manera que la normativa
protegeix especialment les dades qualificades com a nivell alt, que tenen una especial
relació amb els drets fonamentals de les persones.
Registre de fitxers
Tot responsable de fitxer haurà de registrar a L'Agència Espanyola de Protecció de Dades tants fitxers com tingui identificats. No tenir els fitxers registrats és una primera infracció. Això té nombroses implicacions i obligacions concretes per als responsables de fitxer i alhora suposa una garantia mínima de qualitat per la persona respecte de les seves dades personals. El registre de fitxers és d'accés públic [2] i el que es comunica a l'agència és la identificació del fitxer, el contingut de les dades (la seva qualitat) així com la finalitat i cessions que se'n facin i la identificació de tercers implicats en la gestió i/o tractament de les dades. No es comuniquen les dades concretes, sinó la seva composició per a cada un dels fitxers. I es fa a través de l'aplicació informàtica única que l'agencia disposa públicament.
Consentiment informat i drets
Aquest és un altre element cabdal de la legislació, regulat en l'article 6 de la LOPD. En el
moment que es recull la dada de caràcter personal el responsable del fitxer ha de fer-ho
obtenint el consentiment informat de l'afectat. Alhora, ha d'informar la persona
afectada, com a mínim, dels següents aspectes:
moment que es recull la dada de caràcter personal el responsable del fitxer ha de fer-ho
obtenint el consentiment informat de l'afectat. Alhora, ha d'informar la persona
afectada, com a mínim, dels següents aspectes:
· Identitat del Responsable del Fitxer i advertència de l'existència de fitxer on seran registrades les dades.
· Dels drets que assisteixen l'afectat respecte de les seves dades personals: accés, rectificació, cancel·lació i oposició.
· De la finalitat amb què són recollides i de l'ús que se'n donarà, així com de possibles cessions a tercers.
Nombrosos procediments sancionadors s'han iniciat per incompliments d'aquests
elements que recullen els articles 5 i 6 de la LOPD, bàsicament per cessions de dades no
informades o per l'ús de finalitats diferents per a les que es van registrar i no
informades en el moment de recollida de la dada, ni tampoc captat el consentiment
necessari per a la cessió. Són moltes les implicacions que es poden derivar d'aquesta
obligació i molts els casos en que es vulnera, com es pot comprovar sobre el total de
procediments sancionadors que disposa públicament l'agència espanyola de protecció
de dades [3] on identifica l'article o articles concrets que s'han vulnerat.
elements que recullen els articles 5 i 6 de la LOPD, bàsicament per cessions de dades no
informades o per l'ús de finalitats diferents per a les que es van registrar i no
informades en el moment de recollida de la dada, ni tampoc captat el consentiment
necessari per a la cessió. Són moltes les implicacions que es poden derivar d'aquesta
obligació i molts els casos en que es vulnera, com es pot comprovar sobre el total de
procediments sancionadors que disposa públicament l'agència espanyola de protecció
de dades [3] on identifica l'article o articles concrets que s'han vulnerat.
A la pràctica, els responsables de fitxer han optat per incloure clàusules generals en
formularis de recollida de les dades personals. Que en un o altre moment verifiquen
que l'afectat hagi signat o acceptat de forma explícita o tàcita.
formularis de recollida de les dades personals. Que en un o altre moment verifiquen
que l'afectat hagi signat o acceptat de forma explícita o tàcita.
La llei però també estableix una sèrie d'excepcions en les que no és necessari demanar
consentiment informat:
consentiment informat:
· Quan la llei digui el contrari.
· Quan el destinatari sigui el Defensor del poble, el Ministeri fiscal espanyol o la judicatura, el Tribunal de comptes, el Síndic de Greuges, la Sindicatura de Comptes, etc.
· Quan la cessió de dades sigui entre administracions llevat que el motiu pel qual es van recollir sigui diferent al motiu pel qual es cedeixen.
· Quan la cessió de dades de salut sigui per motiu d'urgència.
· Quan es refereixi a persones vinculades per una relació comercial, laboral o administrativa i siguin necessàries pel manteniment de les relacions o quan el tractament respongui a la lliure i legítima acceptació d'una relació, el desenvolupament, compliment i control de la qual impliqui necessàriament la connexió d'aquest tractament amb fitxers de tercers.
Comunicació i cessió de dades personals a tercers
Una altra obligació fonamental per al responsable del fitxer la trobem en la cessió i
comunicació de dades i es desprèn dels articles 11 i 12 de la LOPD. La cessió també ha de
tenir el coneixement i consentiment de l'afectat i això no sempre és així. Aquesta
obligació adquireix especial rellevància en el context actual de subcontractació de
serveis per les entitats. De manera que podria ser que la dada fos recollida per un
responsable del fitxer i que després fos cedida a un tercer per a un tractament específic.
Per exemple, les dades d'uns treballadors passades al servei contractat d'assessoria
laboral, sense coneixement ni consentiment dels afectats, podrien ser posteriorment
utilitzades per enviar-los publicitat comercial de serveis.
comunicació de dades i es desprèn dels articles 11 i 12 de la LOPD. La cessió també ha de
tenir el coneixement i consentiment de l'afectat i això no sempre és així. Aquesta
obligació adquireix especial rellevància en el context actual de subcontractació de
serveis per les entitats. De manera que podria ser que la dada fos recollida per un
responsable del fitxer i que després fos cedida a un tercer per a un tractament específic.
Per exemple, les dades d'uns treballadors passades al servei contractat d'assessoria
laboral, sense coneixement ni consentiment dels afectats, podrien ser posteriorment
utilitzades per enviar-los publicitat comercial de serveis.
En qualsevol comunicació o cessió de dades, per a tractament o no, hi ha d'haver un
contracte entre el responsable del fitxer i aquest tercer encarregat del tractament on
s'estableixin quines són les finalitats del tractament i on l'encarregat del tractament es
comprometi a complir amb la normativa vigent en matèria de protecció de dades.
Resulta doncs una garantia força important per a l'afectat i en el recull de processos
sancionadors de l'Agència Espanyola trobem importants sancions econòmiques per
cessió il·legal de dades. L'article 9 de la LOPD estableix que el responsable del fitxer i en
el seu cas l'encarregat del tractament seran els responsables d'aplicar les mesures de
seguretat en les dades.
contracte entre el responsable del fitxer i aquest tercer encarregat del tractament on
s'estableixin quines són les finalitats del tractament i on l'encarregat del tractament es
comprometi a complir amb la normativa vigent en matèria de protecció de dades.
Resulta doncs una garantia força important per a l'afectat i en el recull de processos
sancionadors de l'Agència Espanyola trobem importants sancions econòmiques per
cessió il·legal de dades. L'article 9 de la LOPD estableix que el responsable del fitxer i en
el seu cas l'encarregat del tractament seran els responsables d'aplicar les mesures de
seguretat en les dades.
Confidencialitat del personal
Una altra de les implicacions normatives a tenir molt present i que és fonamental per al correcte tractament de les dades personals és la que es desprèn de l'article 10 de la LOPD, que estableix: "El responsable del fitxer i aquells que intervinguin en qualsevol fase del tractament de les dades de caràcter personal resten obligats al secret professional respecte dels mateixos i al deure de guardar-los, obligacions que subsistiran encara després de finalitzar les seves relacions amb el titular del fitxer o, en el seu cas, amb el responsable del mateix."
Resulta aquest un altre dels articles la vulneració del qual se centra una bona part dels
processos sancionadors que instrueix l'agència espanyola.[3] Doncs implica una
diversitat molt extensa d' àmbits i és una obligació general que recau sobre
qualsevol usuari que tingui accés a les dades de qualsevol fitxer del responsable o
encarregat del tractament. És la prova de la responsabilitat en aplicar les mesures de
seguretat al fitxer no només per part de l'entitat responsable sinó també pel seu
personal i càrrecs, així com pels possibles encarregats de tractament.
processos sancionadors que instrueix l'agència espanyola.[3] Doncs implica una
diversitat molt extensa d' àmbits i és una obligació general que recau sobre
qualsevol usuari que tingui accés a les dades de qualsevol fitxer del responsable o
encarregat del tractament. És la prova de la responsabilitat en aplicar les mesures de
seguretat al fitxer no només per part de l'entitat responsable sinó també pel seu
personal i càrrecs, així com pels possibles encarregats de tractament.
També en aquest cas els responsables del fitxer han anat optant majoritàriament per
establir clàusules generals d'obligació a la confidencialitat en els contractes laborals del
personal, amb col·laboradors, tercers, etc.
establir clàusules generals d'obligació a la confidencialitat en els contractes laborals del
personal, amb col·laboradors, tercers, etc.
Règim sancionador
El règim sancionador establert per la legislació espanyola és més estricte en
comparació amb altres de països veïns. Dependrà en tot cas de la infracció comesa i
especialment de la qualitat de la dada implicada, però el nivell econòmic de les
sancions se situa, en funció del grau de la infracció, en:
comparació amb altres de països veïns. Dependrà en tot cas de la infracció comesa i
especialment de la qualitat de la dada implicada, però el nivell econòmic de les
sancions se situa, en funció del grau de la infracció, en:
· Sanció per infracció lleu: de 900 € a 40.000 €
· Sanció per infracció greu: de 40.001 € a 300.000 €
· Sanció per infracció molt greu: de 300.001 € a 600.000 €
Això no obstant, el procediment sancionador no és el mateix per a les entitats de dret
privat que per a l'administració pública. En cas que sigui l'administració la que cometi
una infracció el procediment passarà per una investigació que pot concloure amb
sancions disciplinàries sobre l'òrgan i els càrrecs infractors, però no amb sanció
econòmica. Té això cert sentit doncs els diners sortirien de la hisenda pública per anar
a parar a la hisenda pública. Però no cal passar per alt que segons la qualificació de les
dades que fa la pròpia llei, és precisament l'administració la que posseeix dades de
major qualitat: serveis sanitaris, educatius, tributaris, etc.. Per aquesta raó seria
desitjable que la normativa s'adaptés de forma immediata, per garantir els drets dels
afectats.
privat que per a l'administració pública. En cas que sigui l'administració la que cometi
una infracció el procediment passarà per una investigació que pot concloure amb
sancions disciplinàries sobre l'òrgan i els càrrecs infractors, però no amb sanció
econòmica. Té això cert sentit doncs els diners sortirien de la hisenda pública per anar
a parar a la hisenda pública. Però no cal passar per alt que segons la qualificació de les
dades que fa la pròpia llei, és precisament l'administració la que posseeix dades de
major qualitat: serveis sanitaris, educatius, tributaris, etc.. Per aquesta raó seria
desitjable que la normativa s'adaptés de forma immediata, per garantir els drets dels
afectats.
El Títol VII de la LOPD configura tant la naturalesa de la
infracció com el procediment i sancions disposades en la
matèria, tot establint una distinció en quant al procés
sancionador si la infracció és comesa per entitats de dret
públic, administracions públiques, o de dret privat, la resta.
De manera que en el primer cas parlarem d'amonestacions i
procediments disciplinaris i en el segon de sancions
econòmiques. A més, cal pensar que, com es desprèn
de l'article 44 que defineix els tipus i gravetat de les
infraccions, a l'analitzar el conjunt de resolucions dels
procediments, en la majoria dels casos ens trobem davant
una infracció que com a mínim serà greu i que partirà doncs d'una sanció econòmica
mínima de 60.101,21 €.
infracció com el procediment i sancions disposades en la
matèria, tot establint una distinció en quant al procés
sancionador si la infracció és comesa per entitats de dret
públic, administracions públiques, o de dret privat, la resta.
De manera que en el primer cas parlarem d'amonestacions i
procediments disciplinaris i en el segon de sancions
econòmiques. A més, cal pensar que, com es desprèn
de l'article 44 que defineix els tipus i gravetat de les
infraccions, a l'analitzar el conjunt de resolucions dels
procediments, en la majoria dels casos ens trobem davant
una infracció que com a mínim serà greu i que partirà doncs d'una sanció econòmica
mínima de 60.101,21 €.
Document de Seguretat
És el document que tot responsable de fitxer ha de elaborar i disposar on es reculli el
processos que donen compliment internament a la normativa. On figuri un
responsable de seguretat, la identificació i registre dels fitxers, la normativa aplicable,
el registre d'usuaris, de suports, l'inventari de sistemes d'informació i aplicacions, i tot
allò relacionat amb la implantació a l'entitat de la normativa. És un document de
garantía mínima de compliment amb les obligacions derivades de la normativa que
tota entitat hauria de disposar, però que per si mateix no implica el compliment de les
mesures de seguretat.
processos que donen compliment internament a la normativa. On figuri un
responsable de seguretat, la identificació i registre dels fitxers, la normativa aplicable,
el registre d'usuaris, de suports, l'inventari de sistemes d'informació i aplicacions, i tot
allò relacionat amb la implantació a l'entitat de la normativa. És un document de
garantía mínima de compliment amb les obligacions derivades de la normativa que
tota entitat hauria de disposar, però que per si mateix no implica el compliment de les
mesures de seguretat.
Implicacions i futur
El desenvolupament a través de la Llei Orgànica del conjunt de
drets i deures que suposa la garantia legal de protecció de les
nostres dades personals té nombroses implicacions. En primer
lloc hem de veure tot aquest marc normatiu com a un conjunt
de garanties respecte de l'ús de les dades personals per part dels
responsables del fitxer. En el sentit que hem d'estar informats
de per a què es recullen les nostres dades i de quin serà el destí de les mateixes, alhora
de garantir-nos l'exercici dels drets d'accés, rectificació, cancel·lació i oposició de les
mateixes.
drets i deures que suposa la garantia legal de protecció de les
nostres dades personals té nombroses implicacions. En primer
lloc hem de veure tot aquest marc normatiu com a un conjunt
de garanties respecte de l'ús de les dades personals per part dels
responsables del fitxer. En el sentit que hem d'estar informats
de per a què es recullen les nostres dades i de quin serà el destí de les mateixes, alhora
de garantir-nos l'exercici dels drets d'accés, rectificació, cancel·lació i oposició de les
mateixes.
Igualment, el règim sancionador disposat a la llei suposa una amenaça clara per a les
empreses, tot i que desigual. Doncs no distingeix entre una gran corporació que fa
transferència il·legal de dades per a benefici comercial d'entre una petita o mitjana
empresa, per la qual cosa el fet que es té en compte en imposar la sanció es la infracció i
no la posició del responsable del fitxer. Això provoca que determinades corporacions
empresarials amb potencial i capital suficient puguin destinar una partida del seu
pressupost anual al pagament de les possibles sancions en protecció de dades, donat
que el rendiment econòmic que les seves infraccions en l'àmbit de l'acció comercial
serà superior al import de les eventuals sancions. Mentre que una entitat privada sense
aquesta posició es veurà greument afectada.
empreses, tot i que desigual. Doncs no distingeix entre una gran corporació que fa
transferència il·legal de dades per a benefici comercial d'entre una petita o mitjana
empresa, per la qual cosa el fet que es té en compte en imposar la sanció es la infracció i
no la posició del responsable del fitxer. Això provoca que determinades corporacions
empresarials amb potencial i capital suficient puguin destinar una partida del seu
pressupost anual al pagament de les possibles sancions en protecció de dades, donat
que el rendiment econòmic que les seves infraccions en l'àmbit de l'acció comercial
serà superior al import de les eventuals sancions. Mentre que una entitat privada sense
aquesta posició es veurà greument afectada.
Tanmateix, en el context de la societat del coneixement i amb el desenvolupament i
implantació al món professional de les TIC no es poden obviar les obligacions
respectives dels proveïdors de serveis tecnològics i del comerç electrònic. Més encara
si sabem que les cessions de dades són constants, especialment en consideració a la
subcontractació de serveis de hosting, de còpies de seguretat, de processos de
reconstrucció, d'assistència a distància, i un llarg etc. Per això resulta interessant
vincular l'estudi de la normativa en matèria de protecció de dades amb la Llei 34/2002,
d'11 de juliol, de Serveis de la Societat de la Informació i Comerç Electrònic (LSSI-CE)..
Especialment important per a l'aplicació de la normativa en matèria de comerç
electrònic i d'usos d'Internet. És aquest un àmbit encara per descobrir i no cal dir que al
legislador se li escapa de les mans, tot i que, en qualsevol cas, són creixents els
procediments sancionadors de l'Agencia Espanyola de Protecció de Dades on aquesta
llei i matèria son objecte de sanció.
implantació al món professional de les TIC no es poden obviar les obligacions
respectives dels proveïdors de serveis tecnològics i del comerç electrònic. Més encara
si sabem que les cessions de dades són constants, especialment en consideració a la
subcontractació de serveis de hosting, de còpies de seguretat, de processos de
reconstrucció, d'assistència a distància, i un llarg etc. Per això resulta interessant
vincular l'estudi de la normativa en matèria de protecció de dades amb la Llei 34/2002,
d'11 de juliol, de Serveis de la Societat de la Informació i Comerç Electrònic (LSSI-CE)..
Especialment important per a l'aplicació de la normativa en matèria de comerç
electrònic i d'usos d'Internet. És aquest un àmbit encara per descobrir i no cal dir que al
legislador se li escapa de les mans, tot i que, en qualsevol cas, són creixents els
procediments sancionadors de l'Agencia Espanyola de Protecció de Dades on aquesta
llei i matèria son objecte de sanció.
La regulació en matèria de Protecció de Dades Personals suposa unes garanties de drets
dels afectats i alhora imposa unes obligacions als responsables dels fitxers, les mesures
de seguretat a aplicar sobre els fitxers així com la garantia que tot usuari o encarregat
de tractament tindrà coneixement de l'existència de la normativa i adquirirà un
compromís de confidencialitat. Però si s'analitza al detall tota la regulació, que des del
RDLOPD és quelcom més concreta, cal adonar-se que el seu compliment íntegre es
pràcticament impossible. I, donat que el règim sancionador disposat és molt dur, no és
d'estranyar que l'aparició d'aquesta normativa hagi suposat una nova quota de mercat
per a empreses de serveis d'assessorament i consultoria que, arrel de la preocupació
que genera aquesta qüestió i afegint l'exigència dels estàndards de qualitat
internacionals, no pot fer més que créixer. Igualment, també el creixement de serveis
destinats a la destrucció de documentació, gestió d'arxius, allotjament de dades
remots, serveis de reconstrucció, etc.
dels afectats i alhora imposa unes obligacions als responsables dels fitxers, les mesures
de seguretat a aplicar sobre els fitxers així com la garantia que tot usuari o encarregat
de tractament tindrà coneixement de l'existència de la normativa i adquirirà un
compromís de confidencialitat. Però si s'analitza al detall tota la regulació, que des del
RDLOPD és quelcom més concreta, cal adonar-se que el seu compliment íntegre es
pràcticament impossible. I, donat que el règim sancionador disposat és molt dur, no és
d'estranyar que l'aparició d'aquesta normativa hagi suposat una nova quota de mercat
per a empreses de serveis d'assessorament i consultoria que, arrel de la preocupació
que genera aquesta qüestió i afegint l'exigència dels estàndards de qualitat
internacionals, no pot fer més que créixer. Igualment, també el creixement de serveis
destinats a la destrucció de documentació, gestió d'arxius, allotjament de dades
remots, serveis de reconstrucció, etc.
I és que la protecció de dades entesa de forma global afectat tots els tipus d'activitat i el
seu àmbit d'aplicació és constant i creixent, doncs les dades personals són la base de les
relacions de servei. Al mateix ritme, per tant, es van desenvolupant tot un seguit de
novetats tecnològiques i de formació per a professionals al respecte. No podem separar
la Protecció de Dades de l'ús de les Tecnologies de la Informació i la Comunicació, de
la Signatura digital, del Certificat digital, ús d'Internet, entre altres eines avui habituals
en el marc laboral i sobre les quals la protecció de dades té una significació molt
important. En un entorn de e-administració creixent i de serveis online en creixement
exponencial, la Protecció de Dades Personals jugarà un paper transcendental en els
propers anys. Especialment si tenim en compte que el percentatge d'entitats,
responsables de fitxer, públics i privats, que tenen fitxers registrats (primer pas per al
compliment de la normativa) a les agencies és insignificant encara avui.
seu àmbit d'aplicació és constant i creixent, doncs les dades personals són la base de les
relacions de servei. Al mateix ritme, per tant, es van desenvolupant tot un seguit de
novetats tecnològiques i de formació per a professionals al respecte. No podem separar
la Protecció de Dades de l'ús de les Tecnologies de la Informació i la Comunicació, de
la Signatura digital, del Certificat digital, ús d'Internet, entre altres eines avui habituals
en el marc laboral i sobre les quals la protecció de dades té una significació molt
important. En un entorn de e-administració creixent i de serveis online en creixement
exponencial, la Protecció de Dades Personals jugarà un paper transcendental en els
propers anys. Especialment si tenim en compte que el percentatge d'entitats,
responsables de fitxer, públics i privats, que tenen fitxers registrats (primer pas per al
compliment de la normativa) a les agencies és insignificant encara avui.
Una de les millors formes per adonar-se de la importància creixent que aquest àmbit
normatiu està prenent és comprovar les resolucions de l'agència espanyola [3] on es pot
verificant la diversitat de processos sancionadors, la diversitat d'entitats implicades i la
multitud de possibilitats d'infringir la norma, tanmateix per ésser conscients de fins a
quin punt podem exercir els nostres drets a la intimitat i correcta gestió de les nostres
dades, no deixant impune qualsevol infracció.
normatiu està prenent és comprovar les resolucions de l'agència espanyola [3] on es pot
verificant la diversitat de processos sancionadors, la diversitat d'entitats implicades i la
multitud de possibilitats d'infringir la norma, tanmateix per ésser conscients de fins a
quin punt podem exercir els nostres drets a la intimitat i correcta gestió de les nostres
dades, no deixant impune qualsevol infracció.
No hay comentarios:
Publicar un comentario