domingo, 10 de julio de 2011

Infracciones de la Ley de Protección de Datos en la Recogida de datos personales


La Recogida de Datos Personales.

El artículo 5 de la LOPD obliga a las empresas a informar a las personas de las que recogen datos, acerca de una serie de puntos, previamente a la recogida de esos datos personales.

Los puntos sobre los que hay que informar son:


a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Lo del “previamente” se entiende a partir de un momento dado. Todavía hay muchas empresas que no cumplen la LOPD y tratan datos personales…Por tanto difícilmente han podido informar a nadie.

Desde el punto de vista de las Infracciones se distinguen dos tipos de recogida de datos:
  • Recogida de datos directamente del propio interesado. (Formularios de recogida in situ, vía web, etc.)
  • Los datos no se recogen directamente del propio interesado. (Normalmente por cesiones de datos entre empresas, un curriculum que se recibe por correo, o por email, etc.)
Las infracciones tienen lugar cuando no se informa al interesado de los puntos exigidos por la Ley de Protección de Datos Personales.
  •  Es una FALTA LEVE no informar cuando los datos se recogen directamente del interesado.

En este caso resulta muy fácil implantar el procedimiento de información y aplicarlo.

  • Es una FALTA GRAVE no informar cuando los datos no han sido recogidos directamente del interesado.

Recordar aquí que las sanciones por faltas graves empiezan en 40.000€. En este caso la empresa tiene tres meses para informar, pero se requiere bastante control interno de la situación para no olvidarse de la obligación de informar.

En el caso de que sea otra empresa la que nos ceda los datos, debemos asegurarnos de que esa empresa ha informado al interesado, en cuyo caso no lo tendremos que hacer nosotros.
  • Cuando los datos se recogen de fuentes accesibles al público ( listas de teléfonos…) y se destinen a la finalidad de publicidad o prospección comercial, no es aplicable el contenido del artículo 5 pero se debe informar al interesado en cada comunicación que se le realice de:
  • El origen de los datos.
  • La identidad y dirección del Responsable del Fichero.
  • Las finalidades del tratamiento.
  • La posibilidad del ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
Al poner un formulario de toma de datos en una página web
¿en qué casos basta con que haya un enlace a los textos legales y en qué otros se ha de implantar un mecanismo que asegure que han sido revisados?

"El consentimiento, salvo cuando el tratamiento se refiera a los datos especialmente protegidos, regulados por el artículo 7 de la Ley Orgánica, podrá obtenerse de forma expresa o tácita, es decir, tanto como consecuencia de una afirmación específica del afectado en ese sentido, como mediante la falta de una manifestación contraria al tratamiento, para la que se hayan concedido mecanismos de fácil adopción por el afectado y un tiempo prudencial para dar la mencionada respuesta negativa."

Por lo que, la clave está en la definición del nivel de seguridad que será de aplicación al tipo de datos recogidos.

Para datos básicos será suficiente la inclusión de un enlace que lleve a la política de privacidad o aviso legal:

En el supuesto de que la recogida  de datos se realice a través de una página web, las obligaciones a las  que acabamos de referirnos, suelen cumplirse mediante formularios y cláusulas a los que se accede a través de enlaces como pueden ser “aviso legal” o  “política de protección”. También es importante incluir algún tipo de “link” de este tipo en relación con los derechos de los interesados de rectificación, cancelación, acceso y oposición.

Sin embargo, en el caso de datos especialmente protegidos:

En cuanto al consentimiento informado, este habrá de recabarse de tal forma que resulte imposible la introducción de dato alguno sin que previamente el afectado haya conocido la advertencia que contenga las menciones a las que nos hemos referido, pudiendo servir como prueba del consentimiento la acreditación de que el programa impide introducir los datos sin antes haber aceptado el aviso legal al que hemos hecho referencia. Todo ello tiene por objeto asegurar que el consentimiento de los afectados sea efectivamente específico e inequívoco tal y como exige la Ley.

Importante en la recogida de datos personales hay que informar siempre si se van a utilizar los datos recogidos y si van a formar parte de algún fichero. Ejemplos de donde recogemos datos: presupuesto, albaranes, órdenes de reparación, inscripciones, altas,  formularios en las webs, etc.

Recomendación final: Las empresas deben mentalizarse y poner en práctica el principio de INFORMAR SIEMPRE AL INTERESADO de cualquier cosa que vaya a hacer con sus datos.