Normativa 

Para empezar, daremos una visión general a la normativa de referencia respecto al tema. Esta visión general puede adolecer del rigor necesario debido a la necesidad de recoger los aspectos más importantes en el espacio reservado para este artículo. De ahí nuestra recomendación de consultar la normativa completa.

En el BOE de fecha 14 de diciembre del pasado año, se publicó el texto de la nueva Ley Orgánica sobre la Protección de Datos de Carácter Personal que ha entra en vigor el pasado día 14 de enero. Esta LO deroga la anterior LORTAD y se une a la legislación nacional y comunitaria sobre la materia:

- Directiva Comunitaria 46/1995 de 24 de Octubre de 1995, relativa a la protección de personas físicas en lo que respecta al Tratamiento de Datos Personales y a su libre circulación.
- R.D. 994/99 de 11 de junio de Reglamento de Medidas de Seguridad de los ficheros que contengan datos de carácter personal.
- R.D. 1332/94 de 20 de junio que desarrolla aspectos fundamentales de la antigua LORTAD de 1992.
- Directiva Comunitaria 66/1997 relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones. Regula la transferencia de datos a través de medios telemáticos.

A este respecto, cabe destacar el cambio sustancial que se produce con respecto a la LORTAD. La nueva Ley Orgánica de 1999 elimina de su título el término Tratamiento Automatizado, queriendo decir con esto que ahora lo que se protege no es el modo de tratar la información de carácter personal, sino esta misma información y los derechos que giran alrededor de ella. 

Expresamente queda derogada la anterior Ley de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (LORTAD) de 29 de octubre de 1992. Sin embargo, y mientras no se aprueben las normas complementarias a la Ley, siguen en vigor las normas reglamenta-rias existentes en cuanto no se opongan a lo previsto en la misma. 

Generalidades

Esta Ley tiene por objeto garantizar y proteger, en el marco del tratamiento de los datos personales (cualquier información sobre personas físicas identificadas o identificables), las libertades públicas y los derechos fundamentales de las personas físicas (honor, intimidad personal y familiar, etcétera).

Resulta aplicable a los datos de carácter personal registrados en soporte físico, siempre que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior. 

El tratamiento de datos recoge todas las operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

Respecto del tratamiento de los datos, la Ley contempla dos figuras importantes, como son:

a) Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. Es decir, un despacho respecto a los datos personales contenidos en las bases de datos de sus sistemas de información.
b) Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. Es decir, un despacho respecto a los datos personales propiedad de sus clientes y que le son entregados para la prestación del servicio de nóminas, rentas, etc.

Quedan fuera del régimen de protección establecido en la Ley; los ficheros mantenidos por personas físicas en el ejercicio de sus actividades personales o domésticas (por ejemplo, agendas de teléfonos), y los ficheros sometidos a normativa especial sobre materias clasificadas y de terrorismo.

Principios rectores de la protección

Los datos de carácter personal  se pueden recoger para su tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades concretas que motivan su obtención, y no podrán usarse para finalidades incompatibles con aquellas que motivaron su obtención. Deben, en todo momento, responder con veracidad a la situación del afectado, por tanto, se exige una labor de puesta al día. 

Facultades y derechos de los interesados

Los interesados a los que se soliciten datos personales deben ser previamente informados de modo expreso, preciso e inequívoco, de: la finalidad de la recogida, los destinatarios de la información, la existencia del fichero o tratamiento de datos personales, el carácter obligatorio o voluntario de las respuestas, la identidad y dirección del responsable del tratamiento o de su representante, las consecuencias de la obtención de los datos o de la negativa a suministrarlos y la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. 

Como principio básico se establece la necesidad de consentimiento por parte del afectado para el tratamiento de sus datos de carácter personal. La Ley desarrolla una serie de excepciones a la necesidad de consentimiento. Una de estas excepciones es la que se refiere a la existencia de relaciones contractuales entre el propietario del fichero y el afectado.

Comunicación o cesión de datos

Sólo con el previo consentimiento del interesado, que puede revocarse en cualquier momento, y para el cumplimiento de fines directamente relacionados con las funciones legítimas de ce-dente y cesionario, puede darse la comunicación o cesión de los datos personales obtenidos.

No se considera comunicación de datos el acceso de un tercero a éstos cuando se ocasione con motivo de la prestación de algún servicio al responsable de su tratamiento. 

La Agencia de Protección de Datos (APD)

Es la encargada por la Ley para la vigilancia del cumplimiento de las obligaciones impuestas por la legislación sobre protección de datos. De su tratamiento legal cabe destacar el Registro General de Protección de Datos, órgano de la Agencia, en el que se deben inscribir, entre otros, los ficheros de titularidad privada y las autorizaciones. 

Actualmente la APD sólo actúa en inspecciones de oficio sobre sectores sensibles: información de solvencia económica, publicidad directa, sector sanitario, sector financiero, seguros, etc. Sobre el resto de sectores y en las empresas pequeñas, la inspección se limita a actuar, por estrategia y por escasez de recursos, en caso de denuncia. 

Se recomienda el contacto con la APD, en especial el acceso a su página web con el fin de obtener información sobre: normativa, consultas, preguntas frecuentes, legalización de fiche-ros, etcétera.

 Agencia de Protección de Datos.
 Pº de la Castellana, 41. Madrid. (28046)
 www.agenciaprotecciondatos.org
 agencia@agenciaprotecciondatos.org

Medidas de seguridad

Nuestros ficheros de datos personales deben estar protegidos de acuerdo a los requisitos legales. De lo contrario, nos encontraríamos con que cualquiera, usuario o no, tendría acceso ilegítimo a la referida información, con lo que podría visualizarla, copiarla o incluso venderla, sin el consentimiento, y aún con la ignorancia de los afectados y de los responsables del fichero. Para evitar estas situaciones de las que diariamente somos víctimas (publicidad no deseada, llamadas telefónicas promocionales, etcétera), se deben incorporar medidas de seguridad según las referencias del R.D. 994/99 de 11 de junio por el que se aprueba el Reglamento de medidas de seguridad de los ficheros que contengan datos de carácter personal.

Dichas medidas van en función de las características de los datos. Se recogen tres niveles de seguridad: 

- Básico, para todos los ficheros que contengan datos de carácter personal;
- Medio, para todos los ficheros que contengan datos relativos a la comisión de in-fracciones administrativas o penales, Hacienda Pública, servicios financieros, y aquellos que permitan obtener una evaluación de la personalidad del individuo;
- Alto, para todos los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual

Por lo tanto, el Responsable del fichero o tratamiento deberá elaborar e implantar una normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información. Este es el llamado Documento de Seguridad.

Este Documento de Seguridad ha de contener, como mínimo: el ámbito de aplicación del do-cumento, medidas y normas que garantizan la seguridad, funciones y obligaciones del personal, estructura de los ficheros con datos personales, descripción de los sistemas de información que los tratan, procedimiento de notificación, gestión y respuesta ante las incidencias, procedimientos de realización de copias de respaldo y de recuperación de datos. Como decíamos anteriormente, el contenido variará en función del nivel de seguridad aplicado a los ficheros.

Los plazos de implantación de dichas medidas de seguridad en el caso de ficheros automatizados son: para el nivel básico, el 26 de marzo de 2000; para el nivel medio, el 26 de junio de 2000; y para el nivel alto, el 26 de junio de 2001.

Igualmente, las sanciones por infracciones varían en función de la gravedad de las mismas. Sin entrar en detalle podemos indicar que las sanciones por faltas leves varían desde 100.000 ptas. a 10 millones de ptas.; las sanciones por faltas graves varían de 10 a 50 millones de ptas.; y las sanciones por faltas muy graves varían desde 50 a 100 millones de ptas.

Implicaciones

A la vista de esta normativa, los plazos de implantación de las medidas de seguridad y las sanciones por incumplimiento, es inevitable sentir cierta inquietud. Sin embargo, todavía nos encontramos en un buen momento para empezar nuestro camino hacia el cumplimiento de la legislación vigente en materia de protección de los datos personales que manejamos. Tal y como decíamos más arriba, la APD sólo está actuando de oficio en los casos y sectores más sensibles, aunque si existe denuncia, su actuación es inmediata. Esta estrategia de actuación de la APD está motivada principalmente por la falta de medios técnicos y humanos, y por cierto retraso en la aplicación de la normativa que padecen las administraciones y organismos públicos locales, autonómicos y nacionales. A pesar de lo cual, las actuaciones de la APD no dejan de sucederse (recientemente, multa a un famoso portal de Internet, por un descuido temporal en la seguridad de los datos de miles de abonados).

Como muestra de hasta que punto los despachos profesionales están afectados por esta normativa, recogemos la respuesta de la APD a una consulta sobre los ficheros de nóminas que aparece en la sección de consultas de su web “En consecuencia y a la vista de la normativa anterior si en un fichero de nóminas no se contienen datos que hagan referencia a datos especialmente protegidos se aplicarán las medidas de nivel básico, pero si se contemplan datos de salud, como podría ser el caso de reflejar minusvalías a los efectos de la declaración de la renta, o datos de ideología sindical cuando se aplica el descuento de la cuota sindical, se le aplicarán las medidas de nivel alto.”. Esto implica que tanto los ficheros de nuestro personal, como los ficheros del personal de nuestros clientes que utilizamos para el cálculo de nóminas, pueden requerir medidas de seguridad de nivel alto.

Otra muestra de la trascendencia del tema se encuentra en el caso de que el una empresa se vea obligada por ley a realizar auditoría de sus cuentas anuales. En este caso, el auditor debe informarle que si existe una carencia respecto a la aplicación de la normativa sobre protección de datos personales, se encontrará con una salvedad en el informe de auditoría como consecuencia de una contingencia no cubierta. 

A nivel interno lo aconsejable es conocer la normativa, y empezar su aplicación en solitario o con la ayuda de consultores especializados en el tema. Nuestras primeras actuaciones deberán ir encaminadas a la redacción del Documento de Seguridad, la utilización de Tarjetas Alfa o similares para la solicitud del consentimiento de los afectados, la revisión de nuestros sistemas de información, la formación y concienciación a nuestros empleados y la inscripción de nuestros ficheros en la APD. Para conocer algunos casos de aplicación de la normativa, no tenemos más que entrar en la página web de grandes empresas y acceder al apartado “Confidencialidad”, “Nota Legal” o similares. En estos apartados se informa de la finalidad de los datos recogidos, los derechos del afectado, las posibles cesiones de los datos, etc. Igualmente, en algunos formularios de solicitud de datos aparecen leyendas del tipo: “Sus datos serán tratados conforme a la L.O. 15/1999 de 13 de diciembre sobre Protección de Datos de Carácter Personal. Podrá ejercer sus derechos de acceso, rectificación, anulación, cancelación escribiendo a Empresa X, con domicilio en ....”. 

A la hora de desarrollar el sistema de seguridad que vamos a aplicar a nuestros datos personales hemos detectado dos planteamientos bien diferentes: por un lado, una visión jurídica; y por otro lado, una visión informática. Ambos planteamientos adolecen de elementos propios de la  otra perspectiva. Es decir, un planteamiento jurídico del tema es perfecto en cuanto al respeto y cumplimiento de la ley, sin embargo, le falta la visión práctica de las características y la problemática de la gestión de un sistema de información. Por otro lado, un planteamiento excesivamente informático del tema, adolece de aspectos jurídicos también deseables. La solución intermedia puede venir de la aportación de los aspectos positivos y operativos de ambas perspectivas. El objetivo es que establezcamos un sistema de seguridad para los datos personales que cumpliendo con la filosofía y espíritu de la normativa sea operativo. Debemos evitar que una excesiva rigidez y burocracia impida el funcionamiento normal de nuestro despacho.

Contrato de Outsourcing

Un aspecto fundamental de cara al cumplimiento de la normativa es el establecimiento de un contrato de outsourcing entre el despacho y nuestro cliente, que establezca claramente el tipo de relación mercantil entre ambas partes y, sobre todo, que deje claro que los datos personales de nuestro cliente los tenemos a nuestra disposición en virtud del desarrollo de una actividad de prestación de servicios y no para una utilización diferente. La formalización de este contrato beneficia a ambas partes. En el supuesto de un contrato de prestación de servicios cuyo objeto es el cálculo de nóminas del personal, el cliente del despacho protege los derechos de sus empleados, y el despacho profesional se asegura de que con respecto a los datos personales que su cliente le suministra, encarna la figura de Encargado del tratamiento.

Oportunidades de negocio

Por último, nos ocuparemos de los aspectos positivos y oportunidades que podemos y debemos aprovechar al amparo de la normativa. Esta normativa, como otras muchas (por ejemplo, Prevención de Riesgos Laborales, Medio Ambiente, Sistemas de Calidad, etc.), desencadenan diferentes actuaciones en nuestras empresas y en nuestros clientes, y en consecuencia posibilitan la aparición de oportunidades de negocio.

A nivel interno queda claro que debemos establecer nuestro sistema de seguridad para los datos personales de los que somos responsables y para los datos personales de los que somos encargados del tratamiento. A continuación, y desde la posición en la que nos encontramos respecto a nuestros clientes, y el conocimiento que tenemos de su negocio, debemos informarles de la existencia de la obligación que tienen de aplicar la normativa vigente. En este sentido, podemos plantearnos de qué manera facilitamos a nuestros clientes el que adopten las medidas necesarias para cumplir con la ley en esta materia. Las posibilidades son dos: en primer lugar, preparar nuestro despacho para ofrecer los servicios de consultoría y asesoramiento en la materia a nuestra base de clientes; y, en segundo lugar, trabajar en colaboración con empresas especializadas en estos servicios, para que los presten a nuestros clientes.

Además de los servicios de consultoría especializada, aparecen otras oportunidades de negocio relacionadas con los sistemas de información. En primer lugar, herramientas informáticas específicas para la aplicación de la normativa, que incluyen aspectos como: medidas de seguridad que se deben adoptar, elaboración del documento de seguridad, registro de incidencias y de soportes informáticos, manual del usuario on line; y, en segundo lugar, las funcionalidades que se deben incorporar a los sistemas informáticos de gestión de nuestros despachos para que nos faciliten el cumplimiento de la normativa: acceso a los sistemas mediante usuarios autorizados y claves secretas, bloqueo de usuarios, accesos restringidos según módulos y tipo datos, copias de seguridad y recuperación, registro de accesos, registro de incidencias, etc.
 

Conclusión

El tema es lo suficientemente importante como para que nos pongamos manos a la obra, y empecemos a informar y concienciar a nuestros clientes. No deberíamos empezar a actuar a raíz de las inspecciones de la APD, bien sea de oficio bien sea por denuncia. La estrategia actual de la APD no debe motivar la relajación a la hora de tomar las medidas oportunas para cumplir con la ley. Indudablemente hay sectores de actividad que por la naturaleza de los datos que manejan tienen una urgencia mayor en la aplicación de medidas de seguridad. No obs-tante, esto es cuestión de tiempo. En poco tiempo, estos sectores estarán dentro de la legali-dad, y serán otros, entre los cuales se encuentran la mayoría de los despachos profesionales, los que serán objetivo de las actividades de inspección.
 

(*)Colegiado nº: 5424.