Vivimos un mundo donde constantemente otorgamos información personal a cualquier compañía, sea del sector salud o comercial, por razones diversas. Además, en esta era digital el 90% de la población española, equivalente a 42 millones de internautas, es asidua a las redes sociales y a la navegación online, según el informe publicado por la plataforma de Hootsuite a principios del 2021.
Debido al riesgo que corremos al momento de divulgar nuestros datos y que sean usados de forma ilegal, La Agencia Española de Protección de Datos, crea La Ley Orgánica de Protección de Datos, conocida por sus siglas LOPD, con el fin de garantizar la protección de los datos personales, las libertades públicas como también, los derechos fundamentales de las personas físicas. Dicha ley fue aprobada el 13 de diciembre del 1999, la cual fue reemplazada 19 años después por La Ley Orgánica de Protección de Datos Personales y Garantía de Derechos Digitales.
Dentro de esta ley se destacan noventa y siete artículos estructurados por 10 títulos, los cuales consisten en:
Título 1. Garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución.
Título 2. Protección a la confidencialidad, consentimiento y tratamiento de datos de naturaleza especial como los penales y los relativos a menores de edad.
(Se mantiene en catorce años la edad a partir de la cual el menor puede prestar su consentimiento).
Título 3. Corresponde a la protección y tratamiento de los datos personales como el acceso, rectificación, supresión, oposición, derecho a la limitación del tratamiento y derecho a la portabilidad.
Título 4. Se concede la publicación de los datos personales a los entes crediticios, en los casos de que existan personas que hayan incumplido algún acuerdo de pago mayor a 50 euros.
Título 5. Corresponde al responsable o encargado del tratamiento de los datos, el cual obliga al ente o personal encargado a evaluar, previamente, los datos de la persona que desean tratar, para posteriormente implementar medidas de seguridad necesarias.
Título 6. Regula las transferencias internacionales de datos.
Título 7. Se ocupa de los reglamentos jurídicos de la Agencia Española de Protección de Datos como autoridad estatal de control. Además, vigila el cumplimiento de las competencias de las autoridades de protección de datos, que pudiesen existir en las comunidades autónomas (Andalucía, Cataluña y País Vasco).
Título 8. Regula los procedimientos en el caso de que hayan vulnerado la normativa de protección de datos.
Título 9. Regula el régimen sancionador por las infracciones a la Ley, determinando a los sujetos responsables y estableciendo un catálogo de infracciones clasificadas en muy graves, graves y leves.
Título 10. Reconoce y garantiza una serie de derechos que la ley denomina como “digitales” tales como la neutralidad de la Red y su acceso universal, el derecho a la seguridad y a la educación digital, el derecho al olvido, el derecho a la portabilidad de los datos digitales y el testamento digital; siendo igualmente regulado el derecho a la desconexión digital, en el marco de las relaciones laborales.
Ahora bien, teniendo en cuenta estos 10 títulos. ¿Qué se considera como datos personales? Toda información en texto, imagen o audio que permita la identificación de una persona.
De igual forma, se debe considerar que existen “Datos de poco riesgo” y “Datos de alto riesgo”.
- Datos de poco riesgo: Son aquellos datos como el nombre y correo electrónico de la persona.
- Datos de alto riesgo: Son aquellos datos relacionados con la preferencia religiosa y la salud personal.
¿Quiénes deben cumplir la LOPD?
Todas las empresas (públicas, privadas y autónomas), sin ningún tipo de indistinción, que manejen datos de carácter personal de clientes, trabajadores, proveedores, etc. Deben cumplir con las normas establecidas por la ley, independientemente de la forma que lleven el registro, sea por medio de un papel o a través de un programa sistematizado. De igual forma, las asociaciones, tiendas online, comunidades de vecinos y sitios web están en la obligación de cumplir a cabalidad con las normativas de la LOPD.
¿Pasos para cumplir las normativas de la LOPD?
- Entregar a la Agencia de Protección de Datos, los formularios correspondientes a los ficheros de los datos de carácter personal.
- Notificar al ente, qué tipo de datos se están tratando en un negocio y su actualización si lo requiere.
- Contemplar los niveles de seguridad que corresponda: Básico, medio y alto.
- Nivel básico de seguridad: Contempla todos los ficheros o tratamientos de carácter personal.
- Nivel medio de seguridad: En este nivel se debe implementar el nivel básico y el medio que contempla los siguientes ficheros de carácter personal:
a. Relativos a la comisión de infracciones administrativas o penales.
b. Relativos a la prestación de servicios de información sobre solvencia patrimonial y crédito.
c. Responsables de administraciones tributarias.
d. Los que tengan como responsables a entidades financieras.
e. Responsables de las entidades gestoras y servicios comunes de la seguridad social.
f. Accidentes en el trabajo y enfermedades profesionales de la seguridad social.
g. Aquellos que tengan un conjunto de datos que ofrezcan definición y características de la personalidad de los ciudadanos.
- Nivel alto de seguridad: En este nivel se implementa además del nivel básico y medio, las medidas del nivel alto en los ficheros de datos de carácter personal:
a. Los que se refieran a datos de ideologías, registro sindical, religión o creencias, origen racial, salud y sexualidad.
b. Datos recabados para fines policiales, sin consentimiento de las personas afectadas.
c. Datos derivados de actos de violencia de género.
d. Tener una copia de seguridad actualizada, tal y como determina el reglamento.
¿Cuáles son las medidas de cumplimiento?
La Agencia Española de Protección de Datos, señala las siguientes medidas para cumplir con la normativa:
- Contar con un Delegado de Protección de Datos.
- Registrar las actividades de tratamiento.
- Medidas de protección de datos desde el diseño y por defecto.
El principio de protección de datos desde el diseño tiene como objetivo cumplir los requisitos definidos en el RGPD (Reglamento General de Protección de Datos), por lo que busca que la protección de datos se encuentre presente en las primeras fases de concepción de un proyecto.
- Análisis de riesgos y adopción de medidas de seguridad.
Las empresas deben garantizar la confidencialidad, la integridad y la disponibilidad de los datos personales.
- Notificación de brechas de seguridad.
- Evaluaciones de impacto sobre la protección de datos.
- La adhesión por parte de responsables y encargados de tratamiento a códigos de conducta, mecanismo de certificación, marcas de protección de datos y sellos.
- Transferencias internacionales de datos.
Un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacios Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega). Se podrán llevar a cabo estas transferencias sin necesidad de una autorización de la AEPD siempre que el tratamiento de datos observe lo dispuesto en el RGPD.
¿Qué sanciones se aplican por el incumplimiento de esta ley?
La Agencia Española de Protección de Datos, sanciona por incumplimiento de la LOPD con una multa desde 900 euros hasta 600.000 euros. Todo dependerá de la infracción y si afecta a los derechos personales de los interesados, los beneficios que se han obtenido o la cantidad de información tratada.
Si necesitas asesoría profesional para gestionar y cumplir la protección de datos, puedes ponerte en contacto con el equipo de Evolvers.
