Ley de protección de datos: lo que debes saber

En España, la protección de datos personales se considera un tema de máxima importancia. El artículo 18.4 de la constitución española de 1978 indica: “La ley limitará el uso de las tecnologías de la información para garantizar el honor, la intimidad personal y familiar de los ciudadanos y todos sus derechos”.

La primera ley orgánica que trata explícitamente de la protección de datos apareció recién en 1992 con la ley 5/92, de 29 de octubre. Esta ley fue modificada posteriormente por la Ley Orgánica 15/1999, de 13 de diciembre. 

Posteriormente, el Tribunal Constitucional declaró inconstitucionales algunos párrafos de esta ley en la sentencia 292/2000. La última modificación de la ley es el Real Decreto 1720/2007. Este es un documento complejo expresado en 158 artículos.

En 1993 se creó la “Agencia Española de Protección de Datos” (Agencia Española de Protección de Datos) con el fin de controlar y hacer cumplir estas leyes en España. También, se crearon agencias autonómicas en Madrid, Cataluña y el País Vasco.

Ámbito territorial de aplicación

Con la internacionalización del alojamiento de datos, con el alojamiento distribuido y el alojamiento en la nube, no siempre está claro dónde se almacenan físicamente los datos. No obstante, será de aplicación la legislación española cuando:

• El almacenamiento y tratamiento se realice como parte de las actividades de una organización registrada en España.
• La entidad responsable del tratamiento no esté registrada en España pero esté sujeta a la legislación española de acuerdo con las normas del derecho internacional.
• El responsable del tratamiento no esté establecido en territorio de la Unión Europea pero utilice instalaciones de almacenamiento y tratamiento situadas en España. Esto no se aplica si dichas instalaciones se utilizan únicamente con fines de tránsito.

Una empresa tiene el deber de informar a las personas

Cuando una empresa u organización recolecta datos personales, ya sea con un formulario en una página web o con cualquier otro método de recolección de datos, debe informar al individuo de manera explícita y previa de lo siguiente:

1. La existencia de un fichero de recogida de sus datos, los fines del almacenamiento de los datos y los destinatarios de esta información.
2. El carácter obligatorio o facultativo de la información recabada.
3. Las consecuencias de facilitar o no facilitar los datos.
4. Los derechos a acceder, rectificar, suprimir u oponerse a los datos almacenados.
5. La identidad del responsable del tratamiento y almacenamiento de los datos o de su representante.

Si la información personal se ha recopilado indirectamente, existe la obligación de informar a la persona dentro de los 3 meses posteriores al almacenamiento inicial de datos.

Si la información ha sido recabada de “fuentes de libre acceso” (por ejemplo guías telefónicas o registros profesionales) y el objetivo es publicidad o estudios de mercado, la empresa está obligada a informar a la persona de los 5 puntos anteriores, cuando se ponga en contacto.

Los sitios web deberán incluir una declaración de privacidad (o enlaces a ella) que explique los 5 puntos anteriores, en la parte inferior de cualquier formulario que recopile información personal.

Datos con protección especial

La constitución española establece que nadie está obligado a facilitar información sobre su ideología, religión, afiliación sindical, afiliación a partidos políticos o creencias. Al solicitar estos datos, se debe indicar que la persona tiene derecho a negarse. La persona tiene que dar su consentimiento por escrito.

Los archivos mantenidos por partidos políticos, sindicatos, iglesias, confesiones religiosas u organizaciones sin fines de lucro con objetivos políticos, filosóficos o religiosos no necesitan tener un consentimiento por escrito, pero aún así requieren el consentimiento con respecto a los datos de los miembros.

Queda expresamente prohibido el tratamiento de datos de infracciones administrativas y penales. Solo las administraciones públicas autorizadas tienen derecho a almacenar este tipo de datos.

El tratamiento de datos sobre origen racial, información de salud o preferencias sexuales está restringido a organizaciones médicas y/o profesionales de la salud. Comprensiblemente, en casos de emergencia médica, el consentimiento del paciente no es obligatorio.

Confidencialidad de los datos y comunicación a terceros

La confidencialidad de los datos es obligatoria y cualquier transferencia a un tercero necesitará no solo el consentimiento de la persona, sino también una explicación de por qué es necesaria esta transferencia. El interesado podrá revocar el consentimiento en cualquier momento.

No se requiere consentimiento en los casos en que los datos se recopilan de fuentes disponibles gratuitamente.

La comunicación de datos personales a terceros sin el consentimiento del titular de los datos, es una de las infracciones más comunes y graves. Los tipos de infracciones pueden ser muy diversos.

Ejemplos son la venta de bases de datos de clientes a otras empresas o enlaces en páginas web similares a “recomendar esta página a un amigo”.

Este último ejemplo es controvertido, pero muestra cuán importante es la protección de la privacidad. Varios sitios web españoles fueron multados por este tipo de enlaces ya que el “amigo” recibía un correo electrónico de marketing no solicitado del sitio web: en la práctica, correos electrónicos no solicitados (Spam).

La transferencia de información personal incrustada en cookies de terceros (las cookies son pequeños archivos de texto que almacenan información en el navegador web) a terceros también está regulada y será objeto de un artículo específico ya que existe una nueva regulación de la UE para esto.

Medidas de seguridad

Las organizaciones o empresas que recopilan información personal están obligadas a proteger los datos contra el acceso no autorizado o la alteración no autorizada. En caso de una brecha de seguridad (en la base de datos de un sitio web, por ejemplo), la organización será responsable de los daños y perjuicios.

Dependiendo del tipo de información que se maneje la ley está considerando 3 niveles de seguridad:

• Seguridad básica, para cualquier información o proceso que trate datos personales.
• Seguridad media, para cualquier información relacionada con información financiera personal o infracciones administrativas y penales.
• Alta seguridad, para datos recogidos sin consentimiento por fuerzas policiales en el marco de una investigación, datos relacionados con ideología, religión, afiliación sindical, afiliación a partidos políticos, creencias, origen racial y comportamiento sexual.

La ley establece qué medidas de seguridad deben emplearse, pero en la mayoría de los casos, las empresas sólo manejan datos relacionados con la seguridad básica. En estos casos y sin entrar en detalles las empresas tendrán que:

• Designar a una persona responsable de la seguridad y privacidad de los datos.
• Asegúrese de que los empleados actúen de manera responsable y sepan exactamente a qué datos pueden acceder en el marco de sus funciones y cómo manejar los datos.
• Implementar un sistema de control que impida el acceso de personas no autorizadas.
• Copia de seguridad de forma segura y periódica de los datos.