Cumplir con la Ley de Protección de Datos requiere de conocimientos y recursos especializados. La complejidad de la normativa en general, y en particular la aplicable en los países Europeos, suele ser percibida como una pesada carga, especialmente por parte de empresas pequeñas. Sin embargo, las consecuencias de un error en su cumplimiento pueden ser importantes, no sólo por la cuantía de las sanciones, sino por el daño reputacional que puede suponer para el negocio. La próxima entrada en vigor de la nueva regulación europea de protección de datos, hará que la situación requiera si cabe mayor atención por parte de las pequeñas y medianas empresas, en donde se constata que existe un gran desconocimiento y muchas dudas con respecto a los detalles de la ley de protección de datos y su aplicación. Con este artículo iniciaremos una serie en la que vamos a hacer un breve repaso de los conceptos y principios básicos de la legislación de protección de datos y trataremos de aclarar algunas de las dudas más frecuentes. Hay que aclarar que se trata de un resumen de los conceptos esenciales y/o que más duda generan, y no una transcripción literal, exacta o exhaustiva de la reglamentación.
Sobre los datos de carácter personal objeto de protección
Empezaremos por el principio: ¿Qué son los datos de carácter personal protegidos por la ley? Son aquellos datos que se refieren a una persona identificada o identificable.
El matiz de “identificable” es muy importante e implica que aunque un dato “A” que aisladamente considerado no permitiera por sí mismo la identificación de un individuo, lo hiciera al combinarlo con otra información adicional que pueda ser obtenida sin un esfuerzo excesivo, entonces aquel dato “A” es considerado un dato de carácter personal. Por ello, datos como la matrícula de un coche o la dirección IP de una conexión son datos de carácter personal. Según este criterio, también se considerará que contiene datos de carácter personal un fichero aunque los identificadores directos de los individuos (ej: DNI, nombre y apellidos) hayan sido encriptados, ya que conociendo la clave de cifrado (la información adicional) podría llegar a identificarse a los individuos a los que hace referencia.
Dentro de los datos de carácter personal, aquellos que hacen referencia a orientación sexual, salud, orientación ideológica o religiosa u origen racial o étnico son considerados como una categoría especial que requerirán un tratamiento y protección superior.
Los requisitos de protección de datos, aplican con independencia de cómo la información es usada o almacenada. Las comunicaciones escritas, así como grabaciones de vídeo o audio pueden contener datos de carácter personal, e incluso muestras analíticas de laboratorio contienen datos de carácter personal ya que contienen la traza de ADN del individuo.
Algunos dudas típicas:
Aunque la ley de protección de datos no cubre la protección de los datos relacionados con personas jurídicas, hay que tener en cuenta que, en lo relativo a la información que se tenga sobre las personas físicas que trabajan en ellas, sí que se deben aplicar las medidas de protección en la medida en que sobre estas personas se almacene algo más que su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales. Todo dato adicional, como por ejemplo el teléfono o domicilio personal, DNI, etc. hacen que el fichero sea objeto de protección, por exceder de lo meramente imprescindible para contactar con el sujeto en su empresa.
Del mismo modo ocurre con los datos referidos a los empresarios individuales y que aparecen exclusivamente ligados a su actividad comercial o que identifican, aún con su nombre y apellidos, un determinado establecimiento o la marca de un determinado producto o servicio. Si se hacen comunicaciones de márketing al domicilio particular de estos empresarios, entonces estas actividades son objeto de la legislación de protección de datos. Además, hay que tener en cuenta que aunque la comunicación comercial sea dirigida a la dirección comercial, el uso de comunicaciones electrónicas o llamadas automatizadas, implica tener en cuenta que hay que recabar el consentimiento y tener en consideración la legislación aplicable a las comunicaciones comerciales por estos medios.
En el ámbito de las relaciones laborales y los recursos humanos, los datos relativos a los empleados o candidatos a puestos de trabajo en una organización son obviamente datos de carácter personal. Incluso entran en esta categoría las anotaciones que un empleador haga en un archivo ofimático con sus valoraciones sobre el rendimiento del empleado. Es frecuente observar organizaciones que, por desconocimiento, controlan muy bien el tratamiento de los datos de los clientes, pero que no aplican el mismo rigor con los datos de los empleados o candidatos.
Otra duda frecuente es si deben ser considerados como ficheros de nivel alto y por tanto especialmente protegidos, aquellos en los se puede encontrar de manera incidental información sobre orientación religiosa o ideológica. Por ejemplo, en el caso de un fichero de transferencias de una entidad financiera en donde podría aparecer el pago una cuota de afiliación a un sindicato o una donación a alguna asociación religiosa. En este sentido hay que tener en cuenta que el reglamento de desarrollo de la Ley de Protección de Datos, indica que se aplicará el nivel básico a datos de ideología, afiliación sindical o creencias en los casos en que el tratamiento esté orientado a realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros. Por otro lado, en general, también se aplicarán las medidas de nivel básico cuando se trate de ficheros o tratamientos no automatizados que de forma incidental o accesoria contengan estos datos sin guardar relación con la finalidad del mismo; es decir, en aquellos casos en que la finalidad del fichero no es el tratamiento de datos sensibles ni el responsable del fichero ha solicitado este dato, sino que es el interesado el que lo aporta.
En cuanto a la exclusión por parte de la ley de los tratamientos de datos personales por parte de personas particulares en el ámbito de sus actividades personales o domésticas del ámbito familiar, hay que tener en cuenta que cuando un particular difunde por Internet información que contiene datos personales de otros individuos, siendo esta información accesible por una multiplicidad de personas, entonces, este tratamiento es objeto de protección y está sujeto a la ley.
Roles en el tratamiento de datos de carácter personal
El primer rol a tener en cuenta y diferente del resto es el de titular de los datos; es decir, la persona a la que hacen referencia los datos personales. También se le suele referir como ‘el interesado’.
Por su parte, el responsable de un fichero (o responsable del tratamiento) de datos personales es la entidad, persona o el órgano administrativo que decide sobre la finalidad, el contenido y el uso del tratamiento delos datos personales del fichero.
Por otro lado, se encuentra la figura del encargado del tratamiento que es la persona o entidad, autoridad pública, servicio o cualquier otro organismo que, sólo o con otros, trate datos por cuenta del responsable del fichero. Cuando el responsable desea usar los servicios de un tercero para tratar los datos en su nombre, entonces esta relación deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado tratará los datos conforme a las instrucciones del responsable, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
Hay que tener en cuenta que no se considera encargado del tratamiento a la persona física que tenga acceso a los datos personales en su condición de empleado dentro de la relación laboral que mantiene con el responsable del fichero. En este caso, el empleado es considerado un destinatario de los datos que está autorizado a tratarlos, siempre que este procesamiento esté realizado en el marco del desempeño de las tareas vinculadas a la relación laboral.
Cualquier persona o entidad, autoridad pública, servicio o cualquier otro organismo que está legalmente separada del responsable de un fichero y que recibe de este los datos para un tratamiento en el que no actúa bajo las instrucciones del responsable, es una tercera parte destinataria (cesionaria) de datos. En estos casos, el tratamiento solo será posible en la medida en que haya una base legal para el mismo. Es importante aclarar que las distintas empresas que constituyen un grupo entrarían en esta categoría de tercera parte receptora de datos, en casos de cesión de datos entre ellas; por ejemplo cuando una empresa ceda los datos a la casa matriz. En estos casos, debe haber una notificación previa de esta cesión y consentimiento por parte de los titulares de los datos. Otro ejemplo, es el de aquellos casos en los que una empresa cede datos a un organismo oficial o autoridad como consecuencia de sus obligaciones legales (ej: cuando se ceden a la agencia tributaria los datos de salarios de los empleados); entonces la legitimación de la cesión viene determinada por la propia ley que obliga a ceder estos datos.
Responsabilidad legal
Hay que tener en cuenta que aunque la responsabilidad legal última de un tratamiento es del responsable del fichero, los eventuales encargados del tratamiento asumen también una responsabilidad en la aplicación de las medidas de control cuando por error u omisión son causantes de un incidente de protección de datos. Cuando un encargado de tratamiento actúa fuera de las condiciones requeridas por el encargado del fichero, entonces con este quebrantamiento el encargado está actuando de manera ilegítima y tiene una responsabilidad completa.
Epílogo
Cerramos aquí este primer post dedicado a clarificar algunos de los conceptos y principios básicos de la protección de datos de carácter personal. Esperemos haber conseguido nuestro propósito. En la próxima entrega profundizaremos más en otros aspectos de la regulación como son los principios que legitiman el procesamiento, el consentimiento y el interés legítimo; hasta entonces, un fuerte abrazo y gracias por la atención.
Negocios bajo control 