La Ley Orgánica de Protección de Datos impone ciertos requisitos a las empresas respecto a la protección de los datos de particulares que pueden estar en diferentes bases de datos de la empresa. Datos de empleados, de clientes, de proveedores, de posibles clientes,....
Cuando se trate de ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas no existe esta obligación.
Las empresas además, deberán llevar auditorias bianuales según el nivel de protección requerido por el tipo de datos que manejan. Aunque estas auditorias pueden ser desarrolladas por medios propios, es interesante contar con empresas especializadas que ayuden a despejar dudas sobre la correcta manera de proceder.
La normativa de protección de datos tipifica faltas y sanciones que pueden llegar a los 600.000 euros, pero que pueden ser evitadas con una actuación diligente.
Principales obligaciones en materia de protección de datos:
- Orientar al principio de proporcionalidad y calidad de los mismos la recogida de los datos. Los datos personales objeto de tratamiento deberán ser adecuados, pertinentes, no excesivos, exactos, actuales y veraces, no pudiendo utilizarse para finalidades incompatibles con aquella para la cual fueron recogidos, salvo para fines históricos, estadísticos o científicos. No podrán recabarse datos por medios fraudulentos, desleales o ilícitos. Si los datos personales fueran incompletos o inexactos, en todo o en parte, deberán ser rectificados o completados.
- Guardar secreto profesional. No podrán comunicarse a terceros y deberán guardarse de forma que no puedan conocerse ilícitamente. Esta obligación subsiste incluso una vez finalizada la relación del interesado con el responsable del fichero.
- Informar al interesado de forma expresa, precisa e inequívoca de los siguientes aspectos en la recogida de sus datos personales:
- De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
- Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas, salvo que ello pueda deducirse por la naturaleza de los datos solicitados o las circunstancias en que se solicitan.
- De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
- De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
- De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
- Respetar los derechos del interesado.
- Derecho de acceso, rectificación y cancelación. El ejercicio de estos derechos se ejercitarán de forma gratuita por el interesado mediante solicitud escrita dirigida al responsable del fichero adjuntando copia de documentación que acredite su identidad. Existen en todo caso excepciones legalmente previstas que habrá que tener en cuenta.
- Derecho de oposición. El interesado al que le asista un interés legítimo tiene derecho a oponerse al tratamiento de sus datos cuando no sea necesario recabar su consentimiento, siempre que una Ley no disponga lo contrario. El responsable del fichero excluirá el tratamiento de datos relativo al afectado.
- Inscribir los ficheros automatizados de carácter personal de titularidad privada. Toda empresa que proceda a la inclusión de datos de personas físicas en un fichero automatizado está obligada a inscribir dicho fichero en el Registro General de Protección de Datos dependiente de la Agencia Española de Protección de Datos antes de su creación.
- Observar las medidas de seguridad que correspondan. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias para garantizar la seguridad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado, teniendo en cuenta el estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos
Se establecen tres niveles de protección en función del tipo de datos personales tratados. Todos los ficheros que contengan datos de carácter personal deberán adoptar las siguientes medidas de seguridad calificadas como de nivel básico:- Elaborar un documento de seguridad de obligado cumplimiento para todo el personal con acceso a datos automatizados de carácter personal y a los sistemas de información. Este documento deberá actualizarse en función de los cambios en su sistema u organización. Elaborar y llevar un registro de incidencias.
- Elaborar y llevar una relación del personal usuario autorizado.
- Elaborar un inventario de los soportes informáticos con datos de carácter personal, almacenarlos con acceso restringido a las personas autorizadas, determinar la forma y momento en que se realizarán las copias de los datos, con un mínimo de una vez por semana salvo que no se hubieran producido cambios.