jueves, 22 de julio de 2010

Guía implantación LOPD en Pymes (II)

Antes de comentar las fases que propongo para la adecuación de pymes y micropymes a la LOPD, creo que es necesario comentar aquellos términos más importantes de la Ley y el Reglamento que la desarrolla. Todo ello, para cumplir el objetivo de estos post, es decir, hacerlos más comprensibles para quienes no estén familiarizados con la LOPD. Es cierto que, lógicamente, se perderá rigor en las definiciones (todas ellas se pueden consultar en la Ley y el Reglamento, donde se encontrará una definición exhaustiva de las mismas), pero entiendo que se ganará en su comprensión.

Por tanto, la definición (a mi manera) de los términos más importantes es la siguiente:

- Dato de carácter personal: cualquier dato de una persona física que lo identifique (por ejemplo: nombre y apellidos, foto, imagen de una videocámara,…) o a través del cual se le pueda identificar (por ejemplo: dirección de correo electrónico compuesta por la inicial del nombre y primer apellido, la voz,…), y cualquier otro dato perteneciente a una persona física identificada o identificable (por ejemplo: estado civil, su salario,...).

- Interesado o afectado: persona física titular de sus datos de carácter personal (todos somos interesados o afectados con respecto a nuestros datos).

- Fichero: conjunto organizado de datos de carácter personal, bien esté informatizado, en soporte papel o se encuentre al mismo tiempo informatizado y en soporte papel. Por ejemplo: Fichero de Personal, Fichero de Contactos,…

- Responsable de Fichero o Tratamiento: persona física (autónomo) o jurídica (pyme o micropyme) que decide sobre la creación, finalidad y uso del Fichero o Tratamiento.

- Encargado de Tratamiento: persona física (autónomo) o jurídica (pyme o micropyme) que sola o conjuntamente con otras accede a los datos de un Responsable de Fichero o Tratamiento para prestarle un servicio. Ejemplos típicos serían las Asesoría Laborales, Contables, Fiscales, Jurídicas, etc. que acceden a los datos de una empresa para la elaboración de nóminas,…

Una misma persona física o jurídica puede desempeñar un doble papel en lo que respecta a la protección de datos de carácter personal. Por ejemplo, una Asesoría de las citadas anteriormente será responsable de los ficheros que precise para el normal desarrollo de sus actividades como empresa (de sus propios ficheros de empleados, clientes, proveedores, contactos,…) y será al mismo tiempo encargado de tratamiento de los ficheros de sus clientes que sean Responsables de Fichero o Tratamiento a los que precise acceder para prestarles a estos un servicio (ficheros de empleados de sus empresas cliente para elaborar las nóminas,…).

El Responsable del Fichero o Tratamiento y, en su caso, los Encargados de Tratamiento son los responsables indicados en la Ley y, por tanto, quienes deben cumplir la normativa y se exponen a las correspondientes sanciones en caso de incumplimiento.

- Cesión o comunicación de datos: revelación de datos de carácter personal a cualquier persona física o jurídica diferente del interesado (ejemplos típicos son: a otro autónomo, a otra empresa, a una administración pública, a una mutua, etc.). No se considera cesión el acceso a los datos por parte de un Encargado de Tratamiento.

- Cesionario: persona física o jurídica a la que se revelan los datos. Será Responsable del Fichero o Tratamiento de esos datos que se le ceden, ya que los utilizará para sus propias finalidades.

- Agencia Española de Protección de Datos (AEPD): es una autoridad de control independiente cuya principal misión es la de velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación y, en especial, defender los derechos de los afectados. Es obligatorio que los Responsables de Fichero o Tratamiento le declararen los ficheros que utilizan (Entre otras cuestiones, se declaran los campos que contiene cada fichero, no el contenido concreto de los mismos).

Además, describo muy brevemente los principales principios de la Ley:

- Calidad de los datos: no se pueden solicitar datos excesivos con respecto a la finalidad para la que estos se recaban, no se podrán utilizar para fines incompatibles para los que se recogen y deben ser exactos y estar permanentemente actualizados. El detalle de este principio se encuentra en el artículo 4 de la LOPD.

- Derecho de información: en el momento de recabarse los datos se le debe informar a las personas, básicamente, de la existencia de un fichero o tratamiento, de quién es el Responsable del Fichero o Tratamiento, de la finalidad para la que van a ser utilizados y, si es el caso, de los destinatarios o cesionarios de la información. Un ejemplos típico de cómo informar a los interesados es el incluir el texto correspondiente en formularios, páginas web, mensajes de correo electrónico, carteles ubicados en los lugares de recogida de datos, carteles de videovigilancia, etc. El detalle se encuentra en el artículo 5 de la LOPD. Para el caso concreto de videovigilancia existe una instrucción de la AEPD en la que en su artículo 3 se trata este asunto (Instrucción 1/2006, de 8 de noviembre).

- Consentimiento del interesado: En principio, el tratamiento o cesión de los datos de carácter personal requieren del consentimiento inequívoco del interesado (hay datos - salud, afiliación política y sindical, etc, - para los que éste deberá ser expreso y, para algunos de ellos, expreso y por escrito) salvo que haya una Ley que disponga otra cosa (por ejemplo la cesión de los datos de los trabajadores a las administraciones tributarias,..) o se encuentre entre los supuestos para los que la propia LOPD establece que no se precisará el consentimiento (por ejemplo: para ceder los datos del salario de los trabajadores a las entidades bancarias correspondientes para hacer efectivo su pago, ya que esta cesión es necesaria para el cumplimiento del contrato laboral suscrito entre el empleado y la empresa,…). El detalle se encuentra en el artículo 6 de la LOPD.

Para Finalizar, también muy brevemente, indicar que los principales derechos de los interesados son los siguientes:

- Consulta de los ficheros inscritos (declarados a la AEPD) en el Registro General de Protección de Datos (se puede hacer a través de la página web de la AEPD - www.agpd.es -). Se verán los ficheros declarados del Responsable de Fichero o Tratamiento seleccionado y, entre otra información referente a los mismos, los campos que contienen los ficheros.

- Acceso, rectificación, cancelación y oposición: los puede ejercer cualquier interesado ante el Responsable del Fichero o Tratamiento, que debe implantar un procedimiento para responder, y, básicamente, consisten, respectivamente, en el derecho que el interesado tiene a conocer los datos concretos que se tratan sobre él, a rectificar aquellos que resulten ser inexactos o incompletos, a cancelar aquellos que sean excesivos o revocar el consentimiento que dio para que se trataran y a oponerse al tratamiento de los datos. Si el Responsable del Fichero o Tratamiento no atiende la solicitud del interesado, éste puede solicitar la tutela de la AEPD.

Una vez dicho esto, en los siguientes post describiré las fases que propongo para la adecuación de pymes y micropymes a la LOPD.

No hay comentarios:

Publicar un comentario