LE Y O RG Á NIC A DE PRO TEC C IÓ N DE DA TO S M Á S TER DE FO RM A C IÓ N DEL P RO FESO RA DO P .I.S. A . C URSO 2009 - 2010
Celia Gómez Pérez, Carlos Gómez Gó mez Torrijos, David Cuadrado Zurdo. Universidad Complutense de Madrid
[email protected]¸
[email protected]¸
[email protected],
[email protected],
[email protected].
[email protected].
P.I.S.A. - Ley Orgánica de Protección de Datos
1. Resumen ..................................................................................................................3 1.1. Palabras clave....................................................................................................3 2. Contexto del trabajo .................................................................................................3 2.1. Estructura de la ley............................................................................................4 2.2. Glosario de términos de la LOPD ....................................................................... 4 3. Introducción.............................................................................................................6 4. Niveles de seguridad .................................................................................................7 4.1. Aplicación de los niveles de seguridad ...............................................................7 5. La Agencia Española de Protección de Datos ........................................................... 8 6. Derechos..................................................................................................................8 7. ¿Cómo cumplir con la LOPD?................................................................................ 11 8. Datos y estadísticas de la LOPD............................................................................. 12 9. Casos de estudio.....................................................................................................16 10. Conclusiones........................................................................................................ 18 11. Bibliografía .......................................................................................................... 19
2
P.I.S.A. - Ley Orgánica de Protección de Datos
1. Resumen En este trabajo introduciremos la Ley Orgánica de Protección de Datos (en adelante L.O.P.D.) a nivel muy básico destacando su contexto histórico, sus objetivos, definiciones, datos y estadísticas, algunos ejemplos de sentencias y sacaremos algunas conclusiones sobre dicha ley. El objetivo de este trabajo es acerar un poco más al usuario de a pie la LOPD ya que aunque muchas personas han oído hablar de ella son pocas las personas que conocen a fondo tanto los objetivos como los términos de la propia ley. También hablaremos de la agencia encargada de velar por el cumplimiento de la LOPD, la Agencia Española de Protección de Datos (en adelante A.E.P.D.). Todo ello lo haremos con un lenguaje sencillo y asequible, para todos los públicos, evitando el farragoso lenguaje judicial y haciendo posible su total percepción por parte del usuario. Se ha intentado combinar la teoría de la ley con la aplicación de ejemplos de la misma para intentar facilitar aún más al usuario su comprensión.
1.1. Palabras clave - L.O.P.D. - Datos de carácter personal. - Derechos. - Obligaciones. - Protección de datos.
2. Contexto del trabajo Este trabajo trata sobre la Ley Orgánica de Protección de Datos de Carácter Personal (en adelante LOPD) que se introdujo en España el 13 de diciembre de 1999. Dicha ley surge debido al irresponsable uso de los datos personales por parte de las empresas ya que la informatización de nuestros datos personales es hoy en día habitual, debido al rápido avance de las tecnologías. Las telecomunicaciones actuales permiten una comunicación fácil y rápida entre las empresas, facilitando el transporte de información entre unas y otras. En muchos casos esto se realizaba sin el consentimiento de las propias personas, dueñas de los datos. Así nace la LOPD que tiene por objeto proteger y garantizar las libertades y los derechos fundamentales de las personas físicas, su honor e intimidad personal y familiar.
3
P.I.S.A. - Ley Orgánica de Protección de Datos
2.1. Estructura de la ley La Ley comprende un total de 49 artículos divididos en 7 Títulos y finaliza con una serie de disposiciones. Su estructura es la siguiente: Título I. Disposiciones Generales. Título II. Principios de la Protección de Datos. Título III. Derechos de las Personas. Título IV. Disposiciones Sectoriales. Capítulo I. Ficheros de Titularidad Pública. Capítulo II. Ficheros de Titularidad Privada. Título V. Movimiento Internacional de Datos. Título VI. Agencia Española de Protección de Datos. Título VII. Infracciones y Sanciones. 6 Disposiciones Adicionales. 3 Disposiciones Transitorias. 1 Disposición Derogatoria. 3 Disposiciones Finales. 2.2. Glosario de términos de la LOPD RMS: Abreviatura con que se nombra habitualmente al Reglamento de Medidas de Seguridad. AEPD: Nombre con el que familiarmente se conoce a la Agencia de Protección de Datos. Dato de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables. Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. 4
P.I.S.A. - Ley Orgánica de Protección de Datos Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento. Procedimiento de disociación: Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable. Encargado del tratamiento: La persona física o jurídica, autoridad pública, servicio o cualquier organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. Cesión o comunicación de datos: Toda revelación de datos realizada a una persona distinta del interesado. Fuentes accesibles al público: Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación.
5
P.I.S.A. - Ley Orgánica de Protección de Datos
3. Introducción La LOPD se engloba dentro las leyes similares según la siguiente tabla:
El objetivo de la Ley Orgánica es la protección de los datos de carácter personal.
Los datos de carácter personal NO PODRÁN USARSE para finalidades distintas de aquellas para las que hayan sido recogidos (Art. 4 LOPD). o
Ejemplos:
La entrega de datos en la Administración para ayudas, subvenciones y becas: - En la Administración se deben entregar una serie de datos para que los empleados puedan solicitar ayudas, subvenciones y becas. Estos datos también están protegidos por la Ley. Estos datos solamente se pueden utilizar para dicho fin. La entrega de datos en sorteos: - Estos datos sólo se pueden utilizar para sorteos, salvo que se indique otra cosa. La entrega de datos en empresas: - Entrega de currículum en las empresas, bolsas de trabajo (incluyendo hacerlo a través de Internet), etc.
Medidas de protección estrictas para los datos clasificados como especiales: SALUD, ORIGEN RACIAL O ÉTNICO, VIDA SEXUAL, IDEOLOGÍA, AFILIACIÓN SINDICAL, RELIGIÓN O CREENCIAS (Art.7.2 y 3 LOPD). o
Ejemplos:
Datos especialmente protegidos: El uso de datos de salud en el trabajo: Los datos relativos o a las bajas médicas son datos especialmente protegidos y totalmente confidenciales. No se pueden divulgar sin el expreso consentimiento de la persona. o Historial médico: Los historiales médicos son datos también especialmente protegidos y totalmente confidenciales. Ya se han dado casos de hospitales en los 6
P.I.S.A. - Ley Orgánica de Protección de Datos
que han desaparecido los historiales de los enfermos de SIDA y hepatitis B, pudiendo verse seriamente perjudicadas las personas incluidas en esas listas. No se puede discriminar a una persona, según la Constitución, por datos de salud. OBLIGATORIEDAD DEL SECRETO PROFESIONAL referente a la utilización de datos de carácter personal (Art.10 LOPD). o
Ejemplos:
Obligatoriedad del secreto profesional: o El uso fraudulento de los datos personales a los que se tiene acceso durante el ejercicio de la actividad profesional La cartera de clientes de las empresas son un bien muy preciado y que se debe proteger, evitando el espionaje industrial. Se sabe que hasta la existencia de la LORTAD, los propios empleados vendían estas listas al mejor postor, dejando indefenso al dueño de los datos y dañando a la propia empresa. El uso fraudulento de los datos de los empleados de la Administración, al no tener su consentimiento, está penalizado por la Ley.
4. Niveles de seguridad Las medidas de seguridad exigibles se clasifican en tres niveles: básico, medio y alto. Dichos niveles se establecen atendiendo a la naturaleza de la información tratada, en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la información.
4.1. Aplicación de los niveles de seguridad 1.- Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico. 2.- Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el articulo 28 de la Ley Orgánica 5/1992, deberán reunir, además de las medidas de nivel básico, las calificadas como de nivel medio. 3.- Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas como de nivel alto. 4.- Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo deberán garantizar las medidas de nivel medio establecidas en los artículos 17, 18, 19 y 20.
7
P.I.S.A. - Ley Orgánica de Protección de Datos 5.- Cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias específicas vigentes.
5. La Agencia Española de Protección de Datos La Agencia Española de Protección de Datos (en adelante AEPD) es el órgano de control del cumplimiento de la normativa de protección de datos dentro del territorio español con carácter general, existiendo otras Agencias de Protección de Datos de carácter autonómico, en las Comunidades Autónomas de Madrid, Cataluña y en el País Vasco. Sus funciones son: Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.
Atender las peticiones y reclamaciones efectuadas por las personas afectadas Proporcional información a las personas acerca de sus derechos en materia de tratamiento de los datos de carácter personal. Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de la LOPD y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajusten a sus disposiciones. Ejercer la potestad sancionadora.
6. Derechos Cualquier persona tiene derecho a: 1. Solicitar y obtener información de sus datos de carácter personal ante cualquier empresa u organismo (derecho de acceso). Ejemplo:
Cómo solicitar información de sus datos personales ante cualquier empresa u organismo: En la página web de la Agencia de Protección de Datos (AEPD), se facilitan unos modelos de cartas para poder hacer una solicitud de información ante cualquier empresa u organismo. http://www.agenciaprotecciondatos.org Este es un derecho de todas las personas, y las empresas y organismos están obligados a facilitar dicha información en un plazo máximo de 10 días. De esta forma podremos saber si una empresa tiene nuestros datos personales y cuáles son.
8
P.I.S.A. - Ley Orgánica de Protección de Datos 2. Todas las personas tienen derecho a Rectificar y Cancelar sus datos de carácter personal (derecho de rectificación y cancelación). Ejemplo:
Rectificar los datos personales: En todas las empresas y organismos debe existir un procedimiento claro de cómo se pueden rectificar los datos personales. Rectificación de datos de empleados: Todos los empleados deben conocer cómo y a quién dirigirse para poder cambiar sus datos personales. Rectificación de datos de clientes: Normalmente en estos casos suele existir un Call-center que atienda las llamadas de los clientes. Existirá un número de teléfono específico para poder realizar los cambios en los datos personales.
3. Oponerse al envío de publicidad (derecho de oposición). Ejemplos:
La recepción o envío de publicidad no solicitada: En los extractos bancarios, es muy habitual encontrar publicidad de todo tipo de artículos, desde cadenas de música, hasta automóviles, que podemos adquirir con unas condiciones determinadas. La dirección de correo electrónico también es un dato de carácter personal protegido por la Ley. No se puede utilizar esta dirección para envío de publicidad o información no solicitada o autorizada por su dueño. La Ley de Protección de Datos especifica que cualquier persona puede oponerse al envío de publicidad, de forma que si usted da aviso al banco para no recibir publicidad sino tan sólo la información estrictamente bancaria, éste debe respetarlo. Si no respeta su petición, la Agencia de Protección de Datos (AEPD) se encargará de cursar la sanción correspondiente. Lista Robinson: En la agrupación de empresas de marketing existe una lista, la lista Robinson, en la que están recogidos los datos de todas aquellas personas que no desean recibir ningún tipo de publicidad. Toda empresa u organismo debe conocer esta información, solicitando esta lista mediante una suscripción.
4. Tiene derecho a una indemnización en caso de incumplimiento de la ley (derecho de indemnización).
9
P.I.S.A. - Ley Orgánica de Protección de Datos Ejemplo de comunicación entre una empresa y un cliente:
Los servicios del portal www.XXXXXXXXXX.com que le prestaba YYYYYYYYYY, S.L. van a ser prestados por la sociedad ZZZZZZZZZZZ, S.L. desde la misma página web. Por tanto, la relación contractual que actualmente mantiene con la antigua propietaria, YYYYYYYYYY, S.L. va a concluir, comenzando una nueva relación entre usted y ZZZZZZZZZZ, S.L. sujeta a los mismos términos y condiciones que la anterior. Siempre y cuando nos otorgue su consentimiento. En cumplimiento de las disposiciones establecidas en Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) y las demás disposiciones aplicables, se le comunica que se va a proceder a la cesión de sus datos personales a la mercantil YYYYYYYYYY, S.L,. pasando sus datos a formar parte de un fichero automatizado titularidad de la misma, y siendo tratados por la mercantil de conformidad con la legislación vigente en materia de protección de datos. A los efectos de obtener el consentimiento de los usuarios a la cesión de datos antes referida, por la presente, y de conformidad con lo dispuesto en el artículo 14.2 del RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD, se le informa de que dispone de un plazo de 30 días a contar desde la recepción de la presente comunicación, para manifestar su negativa a la cesión de datos, mediante la remisión de un escrito indicando sus datos identificativos y su negativa a la cesión, en el plazo indicado y por medio de correo contra reembolso o por medio de correo electrónico a la dirección
[email protected]. En caso de que en el referido plazo no se reciba ninguna comunicación en sentido negativo por parte del usuario, se entenderá que presta el consentimiento tácito previsto en la normativa, y por tanto transcurrido dicho plazo se procederá automáticamente a la cesión de sus datos a la mercantil YYYYYYYYYY, S.L. sirviendo esta la presente como comunicación de la primera cesión de datos a la mercantil YYYYYYYYYY, S.L.con domicilio sito en C/ AAAAAA, nº X, Polígono Industrial CCCCC, 00000 HHHH (FFFFF), a los efectos del artículo 27 de la LOPD. Para el ejercicio de los derechos de acceso, impugnación, rectificación y/o cancelación de datos de carácter personal que se contengan en el nuevo fichero automatizado titularidad de YYYYYYYYYY, S.L., deberán contactar con nosotros a través de comunicación escrita a la dirección del responsable del fichero, C/ AAAAAA, nº X, Polígono Industrial CCCCC, 00000 HHHH (FFFFF), o por cualquier otro medio que nos permita reconocer la identidad del Usuario.
10
P.I.S.A. - Ley Orgánica de Protección de Datos
7. ¿Cómo cumplir con la LOPD? Para cumplir la LOPD y llevar a cabo acciones de prevención ES NECESARIO realizar un análisis del riesgo en la organización. Se deben considerar: el sector al que pertenece, los tratamientos que realiza cada departamento, los conocimientos de LOPD por parte de los responsables, y por supuesto, la sensibilización del personal. Sin duda, son elementos clave a la hora de prevenir el incumplimiento de la ley: incidir en la gestión de la LOPD en la organización, incidir en la sensibilización y responsabilidad de las personas con acceso a datos personales e incidir en acciones preventivas para evitar sanciones. Se debe formar y sensibilizar a todos y cada uno de los miembros de la empresa u organización, mediante la divulgación de las obligaciones del Responsable de Fichero a través del organigrama de la organización: • Responsables de Recursos Humanos • Responsables de Seguridad y Salud laboral • Responsables de marketing, comercial o publicidad • Responsables de los Sistemas de Información Es decir, se debe proceder a la sensibilización de todo el personal con acceso a datos personales. Para ello, se debe disponer de una infraestructura organizativa de cumplimiento de la LOPD tal que cuente con un responsable de Seguridad, un Comité de Seguridad (según tamaño y complejidad de la organización). Y se ha de disponer de procedimientos de actuación de manera que aseguren el cumplimiento de las obligaciones en tanto que responsables de fichero, así se asegurarán el cumplimiento de los derechos de los afectados. Hay que ajustarse a los procedimientos obligatorios en el reglamento. Se deben realizar Revisiones periódicas y actualizaciones del Documento de Seguridad. Auditorías centradas en el cumplimiento de la ley y del reglamento. Disponer de un plan de mejora como consecuencia de la auditoria que incluya la priorización de las acciones según el riesgo de sanción, el sector al que pertenece y los tratamientos que realiza la organización. En definitiva, se debe trabajar con BUENAS PRÁCTICAS.
11
P.I.S.A. - Ley Orgánica de Protección de Datos
8. Datos y estadísticas de la LOPD ¿A cuánto puede remontar una sanción que impone la LOPD?
Existen 3 tipos de sanciones cuya cuantía se gradúa atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a cualquier otra circunstancia que sea relevante para determinar el grado de culpabilidad.
Son infracciones leves: Sanciones entre 601,01€ y 60.101,21€
No solicitar la inscripción del fichero en la AEPD. Recopilar datos personales sin informar previamente No atender a las solicitudes de rectificación o cancelación No atender las consultas por parte de la AEPD.
Son infracciones graves: Sanciones entre 60.101,21€ y 300.506,25€
No inscribir los ficheros en la AEPD. Utilizar los ficheros con distinta finalidad con la se crearon. No tener el consentimiento del interesado para recabar sus datos personales No permitir el acceso a los ficheros. Mantener datos inexactos o no efectuar las modificaciones solicitadas No seguir los principios y garantías de la LOPD Tratar datos especialmente protegidos sin la autorización del afectado No remitir a la AEPD las notificaciones previstas en la LOPD. Mantener los ficheros sin las debidas condiciones de seguridad.
Son infracciones muy graves: Sanciones entre 300.506,25€ y 601.012,1€
Crear ficheros para almacenar datos que revelen datos especialmente protegidos. Recogida de datos de manera engañosa o fraudulenta. Recabar datos especialmente protegidos sin la autorización del afectado. No atender u obstaculizar de forma sistemática las solicitudes de cancelación o rectificación. Vulnerar el secreto sobre datos especialmente protegidos. La comunicación o cesión de datos cuando ésta no esté permitida. No cesar en el uso ilegítimo a petición de la AEPD. Tratar los datos de forma ilegítima o con menosprecio de principios y garantías que le sean de aplicación. No atender de forma sistemática los requerimientos de la AEPD. La transferencia temporal o definitiva de datos de carácter personal con destino a países sin nivel de protección equiparable o sin autorización 12
P.I.S.A. - Ley Orgánica de Protección de Datos
Estadísticas: Informe de la Agencia Española de Protección de Datos (AEPD) sobre sanciones en 2008: En 2008, se realizaron 2.362 denuncias de las cuales, destacaron un total de 630 procedimientos sancionadores, casi un 58% más que en 2007, y de ellos, 535 terminaron en multa (un 22,5%), por un importe total de 22,6 millones de euros. Esta cantidad supuso un incremento de un 15% respecto al año anterior (2007). Los tipos de sanciones fueron el 18% leves, el 75% graves y el 7% muy graves. En 2008 se atendieron 1.229 tutelas de derechos (hechos denunciados ante la AEPD) lo que supuso un incremento del 44% respecto al año anterior. El número de consultas aumentó un 52,17% A continuación se muestra un cuadro con los sectores más sancionados generalmente y el tipo de denuncia más frecuente por la que se sancionan:
13
P.I.S.A. - Ley Orgánica de Protección de Datos Algunos datos relevantes de 2008:
NÚMERO DE RECLAMACIONES(2008) Lugar Sector de actividad económica
Procedimientos resueltos
1
Telecomunicaciones
454
2
Entidades Financieras
382
3
Video-vigilanc ia
365
NÚMERO DE SANCIONES POR SECTORES(2008) Lugar Sector de actividad económica
Procedimientos resueltos
1
Telecomunicaciones
190
2
Entidades Financieras
111
3
C omunicaciones electrónicas y spam
39
4
C omercio, transporte y hostelería
31
5
Video-vigilancia
27
14
P.I.S.A. - Ley Orgánica de Protección de Datos Ranking de sanciones en 2009 (datos hasta Septiembre):
Empresas más sancionadas durante el 2009:
La empresa sancionada con la cuantía más elevada en una multa hasta el momento ha sido “Saberlotodo” Internet S.L. con 360.607,32 €. 1 1Sentencia:http://212.170.244.21/portalweb/resoluciones/procedimientos_sancionadores/ps_2007/common/pdfs/PS-00039-
2007_Resolucion-de-fecha-10-08-2007_Art-ii-culo-6.1-LOPD.pdf
Comparativa 2008-2009:
Concluyendo, vemos que el origen de las sanciones depende mayoritariamente de los tratamientos siguientes: 1. Inclusión en Fichero de morosos (art. 29 RLOPD, sector financiero) 2. Calidad de datos: regida de datos desleal, mantener los datos inexactos, no cancelar los datos debidamente (sector telecomunicaciones y otros sectores). 3. Consentimiento: falta de consentimiento previo o falta de consentimiento en la cesión o comunicación de datos (varios sectores). 15
P.I.S.A. - Ley Orgánica de Protección de Datos
4. Publicidad: envío de spam, recepción de publicidad sin consentimiento (varios sectores) 5. Deber de secreto: revelación de información por parte de personal de la organización (varios sectores). 6. Seguridad de los sistemas: ataques informáticos, intrusismo, pérdida de información… 7. Video-vigilancia: falta de información y/o consentimiento (varios sectores).
9. Casos de estudio Vamos a estudiar la ley y algún cambio producido en la misma, como consecuencia de las nuevas situaciones que se producen y de las incidencias observadas en el día a día; para proceder más tarde a ver ejemplos más concretos ó casos de estudio:
La responsabilidad de los grupos de empresas y la LOPD. Informe 0498/2008 Todas las empresas de un grupo, en cualquiera de las formas de relación mercantil que mantengan, deben cumplir la LOPD. Todo NIF tiene una responsabilidad legal de cumplimiento de la LOPD independientemente de las relaciones fiscales, mercantiles e internacionales que pudiera tener.
Veamos un paradigma de reparto de responsabilidades empresas/compañías en cuanto a datos personales:
entre
dos
Responsable de Fichero vs Responsable de Tratamiento Supongamos la siguiente situación de ejemplo: Un corredor de seguros extingue unilateralmente su contrato con una empresa aseguradora, que es la responsable del fichero. El corredor de seguros es, sin embargo, el responsable de tratamiento de los datos. La cuestión que se plantea es: ¿Puede tratar los datos de las pólizas de sus clientes? De acuerdo a la LOPD, debe cancelar sus datos pero significaría la esclavitud frente a las empresas aseguradoras y la imposibilidad de atender a sus clientes. Según informe 0463/2009 la solución está en que el corredor de seguros asuma las obligaciones como Responsable de Fichero y gestione el consentimiento de sus clientes.
Y por último, veamos una cuestión sobre la video-vigilancia y el cambio en la ley que se ha llevado a cabo respecto a este tema: Hasta ahora era necesario que la instalación de las videocámaras y sistemas de vigilancia fueran realizadas por una empresa de seguridad. A partir de 27 de diciembre de 2009 con la ley 25/2009 49, (Conocida como ley Ómnibus) la instalación puede realizarla cualquier empresa siempre y cuando no implique conexión con central de alarma.
16
P.I.S.A. - Ley Orgánica de Protección de Datos Cambios en las leyes y actualizaciones de las mismas se producen diariamente en cuanto a protección de datos se refiere. Los ejemplos anteriores son sólo tres pequeñas muestras de cambios recientes en la legislación.
Ejemplos de sanciones aplicadas: Existen desde casos de sanciones mínimas a pequeñas empresas hasta casos de sanciones de elevado coste a pagar por infracciones que se consideran muy graves. Para comenzar, vamos a detallar una sanción considerada como infracción grave:
Título de la sentencia Sanción protección de datos. Año de la sentencia Madrid, a doce de julio de dos mil seis. Exposición de los hechos Un Colegio Profesional de Fisioterapeutas suscribe con una escuela de osteopatía un convenio por el que le cede a ésta etiquetas con el nombre y dirección de sus colegiados para que esa escuela les pueda remitir a estos cursos sobre osteopatía. Leyes aplicadas Artículo 11 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), tipificada como infracción muy grave en el artículo 44.4.b de dicha norma, de conformidad con lo establecido en el artículo 45 de la citada Ley Orgánica La resolución recurrida considera tal conducta una cesión sin consentimiento del art.11 de la LOPD, calificándola como falta muy grave del art. 44.b) de dicho texto legal; si bien se aminora la sanción en aplicación del art.45.5 de la misma norma. Resultado La sentencia confirma la legalidad del acto recurrido. Partiendo de que no se discute la cesión de esos datos de los colegiados a un tercero, sin embargo no se ha acreditado que los mismos hayan autorizado de forma inequívoca esa cesión, pues el documento de inscripción colegial sólo autorizaba al Colegio para la utilización por éste de sus datos para temas de fisioterapia, pero no para cederlos a terceros. Por otro lado, el convenido suscrito no contiene de forma expresa los requisitos del art.12 de la LOPD. Finalmente, se confirma la culpabilidad del colegio recurrente en la infracción que se le imputa que además se ha visto atenuada de forma cualificada con la aplicación del indicado art.45.4 de la LOPD. Se le impone a dicha entidad una sanción de 60.101,21 euros. La ley es dura con este tipo de actos y cada día, está siendo más rigurosa en cuanto su aplicación. Por otro lado, nos encontramos con casos más comunes en los que la infracción de la ley es un delito leve, como es este caso que fue publicado en la prensa escrita:
17
P.I.S.A. - Ley Orgánica de Protección de Datos Multa de 600 euros por dejar a la vista 42 direcciones de correo electrónico
“Cuidado al mandar mensajes masivos: utiliza el campo CCO” ELPAIS.com - Madrid - 23/02/2007
En este caso, la sanción se debe a que no se trataba de un uso doméstico o personal del correo, sino que su fin era básicamente lucrativo en tanto que se enviaba un mensaje promocional de telefonía móvil por encargo de una pequeña empresa conocida como La Cremallera, que estaba llevando a cabo una campaña para Vodafone. Uno de los destinatarios de este mensaje sintió que se violaba su intimidad al exponer su dirección por no haber sido utilizada la opción de copia oculta (CCO). 1 1
Remitirse a http://www.elpais.com/articulo/internet ... unet_3/Tes
Estos son dos simples ejemplos entre los cientos de ellos que se pueden encontrar cada día en Internet, y que abarcan desde las empresas privadas hasta las instituciones públicas; desde las más pequeñas a las mayores Compañías y Empresas, desde una PYME, hasta una gran multinacional. Hay que ser conscientes de que esta ley nos protege como usuarios en todo ámbito y debemos hacer uso de nuestros derechos y obligaciones al respecto.
10. Conclusiones Pese a las infinitas posibilidades que ofrece Internet como infraestructura económica y cultural para facilitar muchas de las actividades humanas y contribuir a una mejor satisfacción de nuestras necesidades y a nuestro desarrollo personal, el uso de Internet también conlleva riesgos. El avance vertiginoso de la tecnología hace que, por ejemplo, los peligros para nuestra privacidad sean cada vez más sofisticados e invisibles, hasta tal punto que se hacen muy difíciles de detectar para la mayoría de usuarios. El uso indiscriminado de datos personales de usuarios por las empresas, etc. es una práctica muy habitual en los últimos tiempos; y cada vez más se está logrando con mayor éxito la persecución de esta violación de privacidad. Como muestra de la importancia que se está dando (y se le debe de dar) a la protección de datos, cabe destacar que el Consejo de Europa estableció el 28 de enero de 2007 como primera jornada dedicada a asuntos vinculados a la privacidad informática y la protección de datos, y la fecha se volvió un evento anual al que se unieron en 2008 Estados Unidos y Canadá. Ante la gravedad de estos riesgos y la relativa novedad que supone Internet en nuestra sociedad para la mayor parte de los ciudadanos, entendemos que deberían hacerse campañas informativas a nivel nacional a través de todos los medios de comunicación. Al mismo tiempo debe seguir desarrollándose la legislación que regule el uso de Internet y las medidas policiales dirigidas a la captura de los delincuentes del ciberespacio. Y desde luego, comercios, gobiernos y organizaciones deben involucrarse en el tema enseñando a los usuarios de computadoras a proteger su información en línea, fomentando políticas de salvaguardia de la privacidad.
18
P.I.S.A. - Ley Orgánica de Protección de Datos
11. Bibliografía http://www.juntadeandalucia.es/empleo/raute/lopd/curso/lopd/quees.htm BOE http://www.inter-ius.com/html/modules/news/index.php?storytopic=2 casos reales http://www.arcanumdata.com/ley-proteccion-datos/ley-proteccion-de-datos_lopd.htm http://es.wikipedia.org/wiki/LOPD http://www.lopd-proteccion-datos.com/sanciones-lopd.php http://jurisprudencia.vlex.es/vid/11-lopd-45-5-12-as-4-24301854#ixzz0dc8HaHFA http://dialnet.unirioja.es/servlet/articulo?codigo=2937324 http://www.emagister.com/de-8-12-anos-que-peligros-beneficios-tiene-internet-paraninos-cursos-314246.htm#programa Ley Orgánica de Protección de Datos (Trabajo de Andrés, C. y Núñez, M). Real Decreto 994/1999 del 11 de Junio.
19