La llei
orgànica 15/1999 de protecció de dades de caràcter personal (LOPD) com hem comentat en punts anteriors, afecta a totes les dades que fan referència
a persones físiques registrades sobre qualsevol suport, informàtic o no. Queden
exempts del compliment d'aquesta normativa aquelles dades recollides per a ús
domèstic, les matèries classificades de l'estat i aquells fitxers que recullen
dades sobre terrorisme i altres formes de delinqüència organitzada (no simple delinqüència).
A partir d'aquesta llei es varen formar l'Agència
Espanyola de Protecció de Dades, d'àmbit estatal, i l'Agència Catalana de Protecció de Dades, en
l'àmbit de Catalunya, que vetllen pel compliment d'aquesta normativa.
Farem un resum dels punts importants, que ja hem tocat en altres entrades, amb videos o conceptes básics.
Farem un resum dels punts importants, que ja hem tocat en altres entrades, amb videos o conceptes básics.
CONCEPTES BÀSICS
- Dada Personal: qualsevol informació del tipus que sigui que permeti identificar o faci identificable la persona física (no la persona jurídic
- Afectat: persona identificada o identificable a qui corresponen les dades personals.
- Fitxer: Tot conjunt organitzat de dades de caràcter personal, que permeti accés a les dades amb criteris determinats, qualsevol que sigui la forma o modalitat de creació, enregistrament, organització, tractament i accés.
- Responsable del fitxer: persona física o jurídica de naturalesa pública o privada a qui pertany el fitxer, amb independència que executi o no materialment el tractament.
- Sistema de Tractament: qualsevol forma o modalitat que permeti l'ús i gestió de les dades, des que es registren fins que s'eliminen.
- Encarregat de Tractament: pot ser el responsable del fitxer o qualsevol altra persona física o jurídica de naturalesa privada o pública que tracti per encàrrec del responsable les dades de caràcter personal dels fitxers. Alhora, aquest encarregat de tractament pot fer-ho sol o conjuntament i en cada cas estan tots els agents implicats obligats a la normativa de confidencialitat desenvolupada.
- Usuari: qualsevol persona que tingui accés a les dades personals que componen el o els fitxer/s del responsable.
- Responsable de Seguretat: persona o persones físiques o jurídiques que tenen la funció de vetllar pel compliment, aplicació i manteniment del document de seguretat.
- Document de seguretat: recull de normativa i processos per a l'aplicació dels aspectes regulats en matèria de protecció de dades que tot Responsable de Fitxer ha de tenir obligatòriament.
- Comunicació de dades: qualsevol cessió de les dades personals del responsable del fitxer a tercers. Tota comunicació o cessió de dades entre parts s'ha de donar en un marc regulat entre les parts de confidencialitat estricta i s'han de garantir l'aplicació de les mesures de seguretat corresponents així com que les dades seran tractades per a la finalitat amb que van ser registrades, amb l'excepció dels requeriments de determinades administracions públiques relacionades amb les funcions policials, de justícia i sanitat.
FITXER DE DADES PERSONALS
És el punt de partida de
la normativa. Un fitxer serà qualsevol conjunt organitzat de
dades personals, de propietat pública o privada, qualsevol que sigui la seva
forma d'enregistrament i tractament amb una finalitat determinada. No ha estat
fins al RDLOPD que s'ha concretat que el sistema de
tractament en paper constitueix també un fitxer. Per tant, tota entitat de dret
públic o privat té fitxers que contenen dades personals registrades per a
diferents finalitats. Cal identificar-los i classificar-los per funcionalitat i
naturalesa i registrar-los públicament.
Totes les mesures de seguretat que es desenvolupen s'han d'aplicar
sobre els fitxers en funció del seu sistema de tractament. Són així l'element
central en matèria de protecció de dades personals, ja que són el conjunt de
dades registrades i tractades per a una o diverses finalitats concretes. En
qualsevol suport. I és propietat del responsable
del fitxer, que és qui ha d'assumir
l'aplicació de la normativa corresponent sobre els fitxers.
Tot responsable de
fitxer haurà de registrar a L'Agència Espanyola de Protecció de Dades tants fitxers com tingui identificats.
No tenir els fitxers registrats és una primera infracció. Això té nombroses
implicacions i obligacions concretes per als responsables de fitxer i alhora
suposa una garantia mínima de qualitat per la persona respecte de les seves
dades personals. El registre de fitxers és d'accés públic i el que es comunica a l'agència és la identificació del
fitxer, el contingut de les dades (la seva qualitat) així com la finalitat i
cessions que se'n facin i la identificació de tercers implicats en la gestió
i/o tractament de les dades. No es comuniquen les dades concretes, sinó la seva
composició per a cada un dels fitxers. I es fa a través de l'aplicació
informàtica única que l'agencia disposa públicament.
CONSENTIMENT INFORMAT I DRETS
Aquest és un altre
element cabdal de la legislació, regulat en l'article
6 de la LOPD. En el moment que es recull la dada de caràcter personal el
responsable del fitxer ha de fer-ho obtenint el consentiment informat de
l'afectat. Alhora, ha d'informar la persona afectada, mínim, dels següents aspectes:
- Identitat del Responsable del Fitxer i advertència de l'existència de fitxer on seran registrades les dades.
- Dels drets que assisteixen l'afectat respecte de les seves dades personals: accés, rectificació, cancel·lació i oposició.
- De la finalitat amb què són recollides i de l'ús que se'n donarà, així com de possiblescessions a tercers.
A la pràctica, els responsables de fitxer han optat per incloure clàusules generals en formularis de recollida de les dades personals. Que en un o altre moment verifiquen que l'afectat hagi signat o acceptat de forma explícita o tàcita.
La llei però també
estableix una sèrie d'excepcions en les que no és necessari demanar consentiment informat:
- Quan la llei digui el contrari.
- Quan es recullen fonts accessibles al públic.
- Quan el destinatari sigui el Defensor del poble, el Ministeri fiscal espanyol o la judicatura, el Tribunal de comptes, el Síndic de Greuges, la Sindicatura de Comptes, etc.
- Quan la cessió de dades sigui entre administracions llevat que el motiu pel qual es van recollir sigui diferent al motiu pel qual es cedeixen.
- Quan la cessió de dades de salut sigui per motiu d'urgència.
- Quan es refereixi a persones vinculades per una relació comercial, laboral o administrativa i siguin necessàries pel manteniment de les relacions o quan el tractament respongui a la lliure i legítima acceptació d'una relació, el desenvolupament, compliment i control de la qual impliqui necessàriament la connexió d'aquest tractament amb fitxers de tercers.
COMUNICACIÓ I CESSIÓ DE DADES PERSONALS A TERCERS
Una altra obligació
fonamental per al responsable del fitxer la trobem en la cessió i comunicació
de dades i es desprèn dels articles
11 i 12 de la LOPD. La cessió també ha de
tenir el coneixement i consentiment de l'afectat i això no sempre és així.
Aquesta obligació adquireix especial rellevància en el context actual de
subcontractació de serveis per les entitats. De manera que podria ser que la
dada fos recollida per un responsable del fitxer i que després fos cedida a un
tercer per a un tractament específic. Per exemple, les dades d'uns treballadors
passades al servei contractat d'assessoria laboral, sense coneixement ni
consentiment dels afectats, podrien ser posteriorment utilitzades per
enviar-los publicitat comercial de serveis.
En qualsevol comunicació
o cessió de dades, per a tractament o no, hi ha d'haver un contracte entre el
responsable del fitxer i aquest tercer encarregat del
tractament on
s'estableixin quines són les finalitats del tractament i on l'encarregat del
tractament es comprometi a complir amb la normativa vigent en matèria de
protecció de dades. Resulta doncs una garantia força important per a l'afectat
i en el recull de processos sancionadors de l'Agència Espanyola trobem
importants sancions econòmiques per cessió il·legal de dades. L'article 9 de la LOPD estableix que el responsable del
fitxer i en el seu cas l'encarregat del tractament seran els responsables
d'aplicar les mesures de seguretat en les dades.
CONFIDENCIALITAT DEL PERSONAL
Una altra de les
implicacions normatives a tenir molt present i que és fonamental per al
correcte tractament de les dades personals és la que es desprèn de l'article 10 de la LOPD, que
estableix: "El
responsable del fitxer i aquells que intervinguin en qualsevol fase del
tractament de les dades de caràcter personal resten obligats al secret
professional respecte dels mateixos i al deure de guardar-los, obligacions que
subsistiran encara després de finalitzar les seves relacions amb el titular del
fitxer o, en el seu cas, amb el responsable del mateix."
També en aquest cas els
responsables del fitxer han anat optant majoritàriament per establir clàusules
generals d'obligació a la confidencialitat en els contractes laborals del
personal, amb col·laboradors, tercers, etc.
RÈGIM SANCIONADOR
El règim sancionador
establert per la legislació espanyola és més estricte en comparació amb altres
de països veïns. Dependrà en tot cas de la infracció comesa i especialment de
la qualitat de la dada implicada, però el nivell econòmic de les sancions se
situa, en funció del grau de la infracció, en:
·
Sanció per infracció
lleu: de 900 € a 40.000 €
·
Sanció per infracció
greu: de 40.001 € a 300.000 €
·
Sanció per infracció
molt greu: de 300.001 € a 600.000 €
El Títol VII de la LOPD configura tant la naturalesa de la infracció com el procediment i sancions disposades en la matèria, tot establint una distinció en quant al procés sancionador si la infracció és comesa per entitats de dret públic, administracions públiques, o de dret privat, la resta. De manera que en el primer cas parlarem d'amonestacions i procediments disciplinaris i en el segon de sancions econòmiques. A més, cal pensar que, com es desprèn de l'article 44 que defineix els tipus i gravetat de les infraccions, a l'analitzar el conjunt de resolucions dels procediments, en la majoria dels casos ens trobem davant una infracció que com a mínim serà greu i que partirà doncs d'una sanció econòmica mínima de 60.101,21 €.
DOCUMENT DE SEGURETAT
És el document que tot
responsable de fitxer ha de elaborar i disposar on es reculli el processos que
donen compliment internament a la normativa. On figuri un responsable de
seguretat, la identificació i registre dels fitxers, la normativa aplicable, el
registre d'usuaris, de suports, l'inventari de sistemes d'informació i
aplicacions, i tot allò relacionat amb la implantació a l'entitat de la
normativa. És un document de garantía mínima de compliment amb les obligacions
derivades de la normativa que tota entitat hauria de disposar, però que per si
mateix no implica el compliment de les mesures de seguretat.
Per qualsevol informació relacionada, podeu acceder al següent link de l'Autoritat Catalana de Protecció de Dades:
Cap comentari:
Publica un comentari a l'entrada