Issuu on Google+

01

Introducción a la Ley Orgánica de Protección de Datos ................................................................................................. El objetivo general de este tema es conocer la Ley Orgánica de Protección de Datos (LOPD). Para ello es necesario conocer cuáles son los antecedentes legales, los conceptos básicos en protección de datos personales y las medidas de seguridad aplicables en función de la naturaleza de los datos.

Curso de: WEB 2.0 Módulo 5 1


2


1.1. Antecedentes legales ..................................................................................................... En este apartado conoceremos cuál ha sido la evolución temporal de la normativa relativa a la protección de datos desde la Constitución Española hasta la Ley Orgánica de Protección de Datos.

El tratamiento de datos personales es una actividad común en la actual Sociedad de la Información. Pero la preocupación por los derechos de intimidad y el honor de las personas ya se recogía en la redacción de la Constitución Española del año 1978. En su artículo 18.4 la Constitución Española expresa que: La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el ejercicio pleno de sus derechos”. Posteriormente, en el año 1992 se aprobó la Ley Orgánica 5/1992 de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal, más conocida como LORTAD. Los objetivos de esta ley eran: Regular todos los ficheros automatizados que trataban datos de carácter personal. Establecer pautas para que los individuos o afectados pudieran ejercer los derechos que les eran reconocidos: acceso, rectificación y cancelación. Otorgar competencias al organismo encargado del cumplimento de esta normativa. La redacción del Real Decreto 1332/1994 que delimitaba los procedimientos a seguir en caso de reclamaciones por parte de los afectados.

Después de la LORTAD, en el año 1999, se aprobó el Reglamento de Medidas de Seguridad de los Ficheros Automatizados. Un reglamento de vital importancia para establecer las medidas técnicas y organizativas en el tratamiento de datos de carácter personal en ficheros automatizados.

3


La LORTAD fue de escasa aplicación y casi totalmente derogada por la Ley Orgánica de Protección de Datos (15/1999) de 13 de diciembre. La Ley Orgánica de Protección de Datos (LOPD) nació de la necesidad de incorporar la normativa europea (Directiva 46/ 95/ CE) relativa a la protección de las personas físicas y a la libre circulación de sus datos, a la legislación de todos los estados miembros.

Esta Ley está actualmente en pleno vigor y su aplicación se encuentra desarrollada en el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos de 21 de diciembre de 2007.

Tanto la LOPD como el Reglamento constituyen una importante herramienta para la consecución de su objetivo y representan una de las legislaciones más restrictivas de la Unión Europea en materia de protección de Datos Personales.

1.2. Conceptos básicos ................................................................................................. En este apartado conoceremos los conceptos básicos para entender el desarrollo de la LOPD: la diferencia entre dato e información, dato de carácter personal. El concepto de fichero y la figura del responsable de fichero. Así como otros conceptos clave como los afectados y las fuentes accesibles al público.

La diferencia entre dato e información Un dato se define como “un antecedente necesario para llegar al conocimiento exacto de algo o para deducir las consecuencias legítimas de un hecho“.

4


Dato de carácter personal Según el artículo 3 de la LOPD, un dato de carácter personal se establece como “cualquier información relativa a personas físicas identificadas o identificables“. Esta definición establece que no todos los datos deben ser protegidos y por lo tanto, su tratamiento, posesión o almacenaje, no siempre deberá ser protegido o tratado según la LOPD. Veamos un ejemplo para entender el concepto de dato de carácter personal. Observemos la siguiente tabla sobre los datos obtenidos por un empresario:

Tal y como podemos ver, los datos de la primera columna no nos revelan ninguna información personal, aunque puedan estar organizados o por separado. Por el contrario en la columna de la derecha podemos ver datos que organizados o desorganizados nos revelan información personal sobre una persona física en concreto.

Tratamiento de datos La LOPD en su artículo 3 define el tratamiento de datos como “todas aquellas operaciones y procedimientos técnicos automatizados o no, que permiten la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación de los datos“. Además incluye procesos como “las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias” de los datos. En esta definición es importante destacar que aunque los datos los tengamos informatizados (bases de datos, ficheros informáticos, programas de gestión, correo electrónico, etc.) o bien en soporte papel, todas las operaciones que realicemos con estos datos estarán sujetas a la normativa establecida por la LOPD. Vamos a poner un ejemplo para entender mejor el concepto: Imaginemos que en nuestra organización recibimos datos, por correo ordinario, de personas interesadas en un producto que queremos vender. Estos datos que posteriormente digitalizaremos (grabaremos) y almacenaremos en bases de datos informáticas son datos que nuestra organización está tratando.

5


Los ficheros Todos estos datos se almacenan en ficheros. La LOPD define como fichero “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”. La LOPD se basa en los ficheros en soporte automatizado, pero esta definición debe ser aplicable también a los ficheros en soporte papel. Los ficheros tienen una denominación específica en función de la organización que los posee. La LOPD diferencia dos tipos de titularidad: 1

Ficheros de titularidad pública. Son aquellos que tienen como titular una entidad jurídica pública. Por ejemplo todos aquellos ficheros que contengan datos personales de un ayuntamiento o de una Comunidad Autónoma.

2

Ficheros de titularidad privada. Son aquellos ficheros que pertenecen a una entidad u organización privada. Por ejemplo TVO Channel.

Tanto las entidades públicas como las privadas, tienen la obligación de inscribir sus ficheros ante la Agencia Española de Protección de Datos. Ésta en su Estatuto ha definido las distintas entidades con derecho a la inscripción de sus ficheros: a) La Administración General del Estado. b) Las entidades y organismos de la Seguridad Social. c) Los órganos autónomos del Estado, cualquiera que sea su clasificación. d) Las sociedades estatales y entes del sector público a que se refiere el artículo 6 de la Ley General Presupuestaria. e) Las Administraciones de las Comunidades Autónomas y de sus Territorios Históricos. f) Las entidades que integran la Administración Local y los entes y organismos dependientes de la misma. g) Cualesquiera otras personas jurídico-públicas, así como las personas privadas, físicas o jurídicas.

6


El responsable del fichero o del tratamiento El responsable del fichero es la persona que, en una organización, decide sobre la finalidad, contenido y uso del tratamiento de los datos o de los ficheros de datos personales. La LOPD hace la diferenciación entre el tipo de persona que puede ejercer como responsable del fichero o del tratamiento: ⇒ Una persona jurídica, independientemente de su denominación social. Por ejemplo una asociación, una sociedad limitada, un autónomo, la Administración del Estado, etc. ⇒ Una persona física. Cualquier persona puede ser responsable del fichero o del tratamiento.

Existe una excepción respecto a las personas físicas como responsable del fichero: la LOPD establece en su artículo 2 que la normativa no será aplicable en el caso que el responsable del fichero sea una persona física cuando la finalidad sea exclusivamente personal o doméstica.

Otros conceptos: Los afectados Los afectados del tratamiento de datos personales se definen como las personas físicas titulares de los datos que el responsable del fichero va a tratar. Es importante destacar que una persona jurídica no podrá ser nunca un afectado en aplicación de la LOPD. Fuentes accesibles al público Las fuentes accesibles al público son aquellos ficheros que contienen datos de carácter personal y que pueden ser consultados por cualquier persona física o jurídica. La LOPD establece un listado cerrado de fuentes accesibles al público: • • •

El censo promocional. Los repertorios telefónicos. Los listados de grupos profesionales. Es decir, los ficheros que corresponden a colegios de abogados, de ingenieros, administradores, médicos, etc. Cabe destacar que los campos de estos ficheros que se consideran fuentes accesibles al público son: el nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertinencia al grupo.

7


Los diarios y boletines oficiales.

Los medios de comunicación.

1.3. Ámbito de aplicación de la normativa ................................................................................................. En este apartado vamos a conocer cuáles son los principales ámbitos de aplicación de la Ley Orgánica de Protección de Datos. Además de los que, por el contrario, no son susceptibles de la aplicación de la LOPD.

8


Los ámbitos de aplicación de la LOPD El artículo 2.1. de la LOPD establece los siguientes ámbitos en los que se aplica la normativa de protección de datos: 1. A todos aquellos datos de carácter personal a través de los cuales podamos obtener una información de una determinada persona que nos lleve a poder identificarla. 2. En los sectores públicos y privados. 3. En todos aquellos datos de carácter personal que sean tratados con soporte informático. Como por ejemplo programas de ofimática, programas corporativos de gestión, etc. Así como los que sean tratados en soporte papel (libros de registro, agendas, etc.).

Los ámbitos de no aplicación de la LOPD No se aplica la LOPD ni toda su normativa relacionada a los siguientes ámbitos: 1. A los datos de personas jurídicas públicas o privadas. Excepto cuando nos referimos a los datos de un empresario individual o autónomo o cuando dispongamos de un dato personal unido al dato empresarial. 2. A los datos personales de personas fallecidas, ficheros de materias clasificadas o ficheros de terrorismo. 3. A los ficheros regulados por la legislación de régimen electoral, ficheros de videocámaras de las Fuerzas y Cuerpos de Seguridad o datos del Registro Civil.

1.4. Tipología de datos y medidas de seguridad ................................................................................................. En este apartado vamos a conocer cómo se clasifican los datos de carácter personal y cuáles son las medidas de seguridad aplicables en función de los datos que vayamos a tratar. La clasificación de los datos personales se ha realizado en función de la información que contienen sobre la persona.

9


Esta clasificación está realizada a partir del Reglamento de Medidas de Seguridad de los Ficheros Automatizados (RMS) que lo hace a partir de las medidas de seguridad a aplicar dependiendo de los datos que se quieren almacenar o tratar. Éstos son los diferentes niveles de datos que existen:

Datos de nivel básico Según el RMS “todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico“. De esta forma podemos decir que los datos de carácter personal de nivel básico son los que no están clasificados como datos de nivel medio o alto. Estos son algunos de los datos que se consideran de nivel básico: ⇒ ⇒ ⇒ ⇒ ⇒ ⇒ ⇒ ⇒ ⇒

10

Los datos identificativos (nombre, NIF, NIE, pasaporte...). Las características personales. Los gustos y aficiones: el perfil. Datos académicos o profesionales. Como los incluidos en un Currículum Vitae. Una fotografía. La dirección de correo electrónico. Vídeo. Voz. Huellas biométricas.


Datos de nivel medio La RMS en sus artículos 4.2 y 4.3 establece una diferenciación concreta entre los datos de nivel medio en función de la información que contienen: 1.

Información general. Los datos personales de nivel medio con información general son los que nos permiten obtener el perfil de un afectado relacionado con su estilo de vida: aficiones, gustos, estilo de vida, etc. Un buen ejemplo de este nivel de datos es un Currículum Vitae. En él podemos encontrar datos de aficiones deportivas, intereses culturales, lúdicos, etc.

2.

Información específica. Los datos personales de nivel medio con información específica son aquellos que hacen referencia a infracciones administrativas o penales, datos sobre la Hacienda Pública, los servicios financieros de una persona, así como los ficheros de morosos o impagados.

Datos de nivel alto El RMS, en su artículo 4.3 establece un listado concreto de los datos personales más sensibles y establece claramente cuáles son los datos de carácter personal de nivel alto. ⇒

⇒ ⇒

⇒ ⇒

Datos de ideología. Son todos aquellos datos que revelan la tendencia u orientación política de una persona. Además se incluyen los datos relacionados con la afiliación sindical. Un dato que cualquier empresa conoce de un trabajador. Datos de religión. Aquellos datos que revelan la orientación religiosa de una persona. Datos de creencias. Estos datos son similares a los datos de religión pero teniendo en cuenta las “obligaciones” específicas de algún culto. Un ejemplo podría ser la tendencia de un trabajador perteneciente a los Testigos de Jehová que no pueden realizarse transfusiones de sangre. Datos de origen racial. Son el conjunto de datos que nos permiten conocer el origen racial de una persona. Datos de salud. Son aquellos que son tratados en centros de salud, clínicas privadas y revelan aspectos de la salud de una persona. Datos de vida sexual. Aquellos que revelan la tendencia sexual de una persona. Es importante destacar que en este nivel no se incluyen los datos de hombre/ mujer o varón/ hembra.

11


Las Medidas de seguridad Todos estos datos deben estar sujetos a las medidas de seguridad correspondientes establecidas por el Reglamento de Medidas de Seguridad de los Ficheros Automatizados. Este reglamento establece una correspondencia entre la sensibilidad de los datos y las medidas que se les debe aplicar.

En esta tabla se relacionan los datos de carácter personal con estas medidas necesariamente aplicables para cumplir con la LOPD:

Cabe destacar que aunque cada nivel de datos personales tiene sus medidas de seguridad específicas, éstas son acumulativas. Es decir que para los datos de nivel alto se aplican las medidas de seguridad de nivel alto además de las de nivel medio y básico. Para los datos de nivel medio se aplican las de nivel medio y básico. Y para las de nivel básico solamente las específicas de su categoría.

12


proteccion de datos