PROTECCION DE DATOS DE CARÁCTER PERSONAL

PROTECCION DE DATOS DE CARÁCTER PERSONAL

-   ficheros automatizados -

 

1)                         LEGISLACIÓN, NIVELES DE SEGURIDAD, RESPONSABLES, OBLIGACIONES, PLAZOS, INFRACCIONES Y SANCIONES.

 

2)                         SUPUESTOS CONCRETOS: FICHEROS DE NÓMINAS, SERVICIOS FINANCIEROS, DATOS HACIENDA PUBLICA.

 

1) LEGISLACION

 

§         Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal. (BOE 14-12-1999)

 

§         Real Decreto 994/1999, de 11 de junio, del Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal. (BOE 25-06-1999)

 

A  QUIEN AFECTA LA LEY

 

A empresarios y profesionales, así como a entidades en general, que en el marco de sus actividades traten datos de carácter personal (personas físicas identificadas o identificables) registrados en cualquier tipo de soporte físico (manual o informático).

 

NIVELES DE SEGURIDAD

 

§    Nivel básico:  para todos los ficheros que contengan datos de carácter personal.

 

§    Nivel medio: para los ficheros con datos relativos a la comisión de infracciones penales o administrativas,  Hacienda pública, servicios financieros, y a los que se refieran a solvencia patrimonial o crédito, como a los que permitan obtener una evaluación de la personalidad del individuo.

 

§    Nivel alto: para los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual.

 

PERIODO IMPLANTACIÓN MEDIDAS DE SEGURIDAD:

 

v      Datos de nivel básico: hasta el 26-03-2000

v      Datos de nivel medio: hasta el 26-06-2000.

v      Datos de nivel alto: hasta el 22-06-2001, ampliado hasta el 22-06-2002 por resolución de 22 de junio de 2001.

 

INFRACCIONES Y SANCIONES:

 

-          Infracciones leves: multa de 601,01 a 60.101,21 euros.

Ej. No solicitar inscripción en el Registro General.

 

-          Infracciones graves: multa de 60.101,21 euros a  300.506,05 euros.

Ej. No solicitar inscripción en el Registro General cuando haya sido requerido por el Director de la Agencia.

-          Infracciones muy graves: multa de 300.506,05 euros a 601.012,10 euros.

RESPONSABLE DEL FICHERO:

 

Cualquier persona física o jurídica, de naturaleza pública o privada, u órgano administrativo que decida sobre la finalidad, contenido y uso del trato.

 

OBLIGACIONES:

 

§         Notificar e inscribir los ficheros de datos personales al Registro General de la Agencia de Protección de datos.

 

INSTRUCCIONES PARA DECLARAR LOS DATOS

 

Ø      Para declarar los datos hay que utilizar el formulario aprobado y publicado en el BOE 27-06-2000, en la parte correspondiente a ficheros de titularidad privada (se puede obtener en la página web de la Agencia o fotocopiando directamente el BOE).

 

Ø       Puede realizarse a través de Internet, o mediante soporte magnético, para lo cual deberá proceder a descargarse e instalarse el programa de ayuda para la generación de notificaciones a través de Internet o en soporte magnético, que se encuentra disponible en la página Web de la Agencia de Protección de datos - apartado de Registro General - y seguir sus instrucciones. La hoja de solicitud generada por el programa se deberá enviar al número de FAX 91 4483680 o correo ordinario.

 

Tanto el formulario como la inscripción es gratuita. La remisión puede realizarse por correo o entregándola en mano en el Registro de la Agencia salvo que se realice a través de Internet.

 

Ø      Cada notificación podrá englobar varias operaciones y procedimientos técnicos que permitan la recogida, grabación, conservación, etc., de datos personales. Será indiferente la terminología técnica o tablas que incluyan los diseños informáticos de los sistemas de información. Se tendrá que notificar por cada declaración de ficheros la información que corresponda con el conjunto de datos asociados a un tratamiento o uso de los mismos, con una finalidad o finalidades compatible y determinadas.

 

§         Informar a los afectados, en la recogida de datos de manera expresa, precisa e inequívoca:

 

-          De la existencia de un fichero, de la finalidad de la recogida de los datos y del destinatario de la información.

-          Del carácter obligatorio o voluntario de sus respuestas.

-          De las consecuencias de su negativa a suministrarlas.

-          De la posibilidad de ejercer sus derechos.

-          De la identidad y dirección del Responsable del fichero.

 

§         Solicitar el consentimiento inequívoco del titular para el tratamiento y la cesión de sus datos, salvo supuestos concretos de la LOPD.

 

§         Dar respuesta inmediata al titular de los datos personales, cuando solicite su acceso, rectificación, cancelación o se oponga al tratamiento, de sus datos personales.

 

§         Implantar y actualizar las medidas técnicas y organizativas que eviten la alteración, pérdida, tratamiento o acceso no autorizado de los datos personales, tanto a nivel físico como informático.

 

§         Redactar el documento de seguridad donde se recojan las medidas de seguridad realizadas para proteger los datos de carácter personal. De cumplimiento obligatorio por el personal de la empresa con acceso a los datos personales.

 

Ø      El documento de seguridad (art.8) para niveles de seguridad medio o alto no es de obligada presentación en la Agencia, sino tan sólo ha de estar disponible por si les fuera requerido. La Agencia no ha elaborado ningún modelo de este documento.

 

§         Realizar una auditoria, al menos cada 2 años, en el caso de empresas que traten datos considerados de protección nivel medio.

 

2) SUPUESTOS CONCRETOS

 

FICHERO DE NÓMINAS

 

El artículo 4 del Reglamento de Medidas de Seguridad regula los niveles

 

Si en un fichero de nóminas no se contienen datos que hagan referencia a datos especialmente protegidos (art. 4.3: ideología, religión, creencias, salud o vida sexual, etc.) se aplicarán las medidas de nivel básico, pero si se contemplan datos de salud, como podría ser el caso de reflejar minusvalías a los efectos de la declaración de la renta, o datos de ideología sindical cuando se aplica el descuento de la cuota sindical, se le aplicarán las medidas del nivel alto.

 

SERVICIO FINANCIEROS - nivel medio -

 

v    Integran el concepto de "servicio financiero" del art. 4.2 del Reglamento de Medidas de Seguridad: las actividades del epígrafe 65 (intermediación financiera) y las del 67.1 (auxiliares de las anteriores) - Real Decreto 1560/1992 de clasificación nacional de las actividades económicas:

 

Intermediación monetaria, actividades relacionadas con la Banca Central, Bancos, Cajas y Cooperativas, actividades de arrendamiento financiero, las llevadas a cabo por Sociedades de crédito hipotecario, entidades de financiación, sociedades mediadoras en el mercado de dinero y el ICO, así como las efectuadas por Instituciones de inversión colectiva de carácter financiero, Sociedades y fondos de capital riesgo y otras sociedades de inversión en activos financieros. También los servicios relacionados con la Administración de mercados financieros, y las llevadas a cabo por sociedades de garantía recíproca y de reafianzamiento, sociedades de tasación, casas de cambio, fondos de garantía de depósito y sus sociedades gestoras.

 

v    Se incluye, dentro de los servicios de intermediación financiera, los relacionados con seguros de vida (incluso si se realizan por entidades de previsión social), los planes de pensiones y, dentro del epígrafe referido a "seguros no vida", los seguros de daños y el reaseguro. Asimismo se consideran actividades de intermediación financiera las efectuadas por agentes y corredores de seguros e intermediarios de seguros.

 

 

DATOS DE HACIENDA PÚBLICA - nivel medio -

 

Integran el concepto de "Hacienda Pública" del art. 4.2 del Reglamento de Medidas de Seguridad: ficheros cuya titularidad corresponda a la Administración Pública que ostente potestades en materia tributaria: la Aeat, las Comunidades Autónomas en materia de tributos cedidos o las Hacienda Locales en padrones fiscales de tributos locales.