JOSÉ ANTONIO RUIZ MILANÉS
21/06/2013 10:37

Apuntes sobre la realidad de la Normativa de Protección de Datos

Hace más de 20 años que en España disponemos de normativa específica encaminada a regular el tratamiento que se realiza respecto a los datos de personas físicas: inicialmente estuvo en vigor la denominada LORTAD, que posteriormente fue derogada por la vigente Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, la muy conocida LOPD. Por tanto, entendemos que no es nada nuevo para el empresario y/o profesional independiente, el ser conscientes de la necesidad de cumplimiento de la LOPD, así como de su Reglamento de Desarrollo, desde el inicio mismo de la prestación de servicios. Sin embargo, y provocado por la falta de información y por una serie de empresas que han ofrecido asesoramiento en el campo de las actividades de cumplimiento a la norma, se han creado una serie de creencias que poco tienen que ver con la realidad, y que a veces terminan con sorpresas desagradables…

Por este motivo vamos a intentar plasmar de manera clara y sencilla una serie de recomendaciones y/o criterios que deberían ser tenidos en cuenta por la empresa para evitar conductas que pudieren contravenir la legislación, así como para comprobar, si un tercero no ha realizado la adaptación, que ésta cumpla las directrices marcadas por LOPD.

 

En primer lugar es importante entender que la función que cumple la normativa de Protección de Datos de Carácter Personal no es poner trabas o “prohibir” tratar datos de personas físicas, sino viene a reconocer y regular una serie de derechos a todos los ciudadanos, que se pueden resumir en saber quién, como y para qué ha recogido sus datos, y que obviamente se convierten en obligaciones para las empresas y profesionales que recogen esos datos.

Es importante este concepto puesto que la ley no prohíbe realizar recogidas y tratamientos de datos personales, lo que hace es darnos los cauces y garantías que tienen que revestir esas operaciones para respetar los derechos de los ciudadanos.

 

Una vez que hemos abordado ese punto de vista, cualquier empresa y profesional que proceda a la recogida de datos de personas físicas, por ejemplo clientes, deberá observar los siguientes requisitos: por un lado deberá proceder a inscribir los denominados “Ficheros” ante la Agencia Española de Protección de Datos; de la misma forma procederá a informar a las personas físicas, controlar a todas las partes que intervienen en el tratamiento de los datos, y finalmente disponer de unas medidas de seguridad adecuadas, aparte de saber canalizar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición por parte de las personas físicas.

 

Como punto de partida es importante tener claro que no podemos recoger los datos que “queramos”, solo podemos recoger los datos personales que sean necesarios y adecuados para el cumplimiento de la finalidad. Ejemplo, no necesito conocer la ideología política de una persona para hacer una tarjeta de socio.

 

En cuanto a los “ficheros”, debemos aclarar que en modo alguno debemos identificar “fichero” con un fichero informático o en papel; cuando hablamos de fichero  nos referimos al conjunto de datos que recogemos para destinarlos a una finalidad en concreto, por tanto nuestra empresa debería tener tantos ficheros inscritos como diferentes tratamientos haga con los datos. Ejemplo, fichero de clientes, contactos, marketing….

 

De la misma forma, debemos tener claro que informamos adecuadamente (y si es necesario, pedimos consentimiento por escrito) al cliente en el momento de la recogida de los extremos que establece la Ley: nuestra identificación, que vamos a hacer con los datos y las direcciones para que pueda ejercer sus derechos.

La ley no establece la forma que debe revestir el cumplimiento del deber de información, pero si nos exige que estos datos deben ser necesariamente puestos en conocimiento de la persona en el momento de la recogida; por tanto pueden ser válidas multitud de fórmulas: carteles, textos legales, grabaciones telefónicas…

 

Por otra parte debemos tener claro todas las partes intervinientes en el tratamiento de los datos, ya que si los hemos recogido nosotros, somos los responsables de “velar” por el adecuado cumplimiento de la normativa en el tratamiento efectivo que hagan nuestros empleados y proveedores (asesores, etc..). Por tanto siempre debe mediar un documento por escrito regulando esta situación.

 

Debemos disponer en nuestra empresa de las medidas de seguridad correspondientes para el tratamiento de los datos, tal y como se pormenorizan en el Reglamento de Desarrollo de la LOPD. En este punto es importante destacar que las medidas de seguridad serán adecuadas al tipo de dato que hayamos recogido; no es lo mismo recoger y almacenar el nombre y apellidos de una persona, que el resultado de una prueba médica…

En cualquier caso, la implantación de las medidas de seguridad establecidas por la Ley debe ser tomada desde un punto de vista racional y útil para la empresa interpretando lo establecido por la normativa.

 

 Finalmente indicar que la empresa debe tener en su poder el denominado Documento de Seguridad, donde se refleja la completa política de observancia de la normativa por parte de la empresa, y que debe estar actualizado y adecuado a la realidad de la empresa, así como de un proceso de atención y articulación para que las personas puedan ejercer sus derechos de acceso, rectificación, cancelación y oposición.

 

Como vemos la observancia de la normativa de Protección de Datos de Carácter Personal por parte de una empresa debe ser abordada como un ejercicio de análisis de la propia empresa; debemos saber que hacemos, como trabajamos, como contacta el cliente con nosotros, con quien trabajamos, con quien colaboramos, quienes son nuestros proveedores… , a partir del cual desarrollar los medios legales que me permitan cumplir con la Ley.

 

Para esto es muy importante conocer el marco regulador en el que se encuentra nuestra actividad empresarial, puesto que la LOPD no es más que otra ley dentro del conjunto de nuestro Ordenamiento Jurídico al que estamos sometidos, e intentar aplicar la citada LOPD sin tener en cuenta al resto de leyes que tenemos que cumplir nos llevaría a contradicciones y situaciones tremendamente absurdas, ya que de nada nos serviría disponer de altas medidas de seguridad informáticas, si no disponemos de los documentos legales que regulen adecuadamente la cesión de datos que realizamos a cualquier proveedor de servicios…

 

José A. Ruiz Milanés
Abogado