La Ley Orgánica de Protección de Datos, más fácil

  • Ley Orgánica de Protección de Datos

La Ley Orgánica 15/1999 de 21 de Diciembre, de Protección de Datos de Carácter Personal, es una de esas leyes que ha ido “cogiendo cuerpo” desde su aprobación a finales de 1999.

En sus inicios, la mayoría de las empresas no tenía muy claro que era eso de la Ley Orgánica de Protección de Datos. Tampoco le daban mucha importancia, hasta que llegaron las primeras sanciones de la Agencia Española de Protección de Datos. Entonces la cosa empezó a moverse.

La mayor parte de las organizaciones comenzaron poco a poco a incluir cláusulas y textos informativos sobre la Ley. Sin demasiado entusiasmo, todo hay que decirlo.

La LOPD, como se conoce mayoritariamente a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, es un texto complejo aunque a primera vista no lo parezca. Se acompaña de un Reglamento que la desarrolla, el Real Decreto 1720/2007, que contiene principalmente las medidas de carácter técnico que se deben implementar para proteger los datos personales de la organizaciones públicas y privadas.

Ambos textos legales se complementan entre sí y nos dan el marco principal para el tratamiento de datos personales. En esta entrada voy a centrarme “únicamente” en la Ley (no es poca cosa, créenos). Mi intención es que puedas entenderla mejor incluso si no tienes conocimientos de Derecho y quieres saber si tu empresa cumple con la normativa o no.

Una ley con menos de 50 artículos como es la LOPD puede parecer fácil de implementar ¿verdad? Pues en este caso nada más lejos de la realidad. Su aplicación en la vida diaria de las empresas y organizaciones ha demostrado que estamos ante una normativa bastante enrevesada. Eso es lo que vamos a intentar cambiar aquí.

Una norma que prevé sanciones de hasta 600.000 euros debería ser más sencilla de comprender y de aplicar. Como este objetivo no se puede cumplir de una sola vez, iremos “destripando” la Ley en sucesivas entradas.

Vamos entonces con una primera visión general de la Ley Orgánica de Protección de Datos.

¿Cuándo aplica la LOPD?

Hay que cumplir con la LOPD si:

  1. Tu empresa es española y realizas tus actividades en España, manejando datos personales. Por ejemplo, tienes una empresa con varios trabajadores y tienes los datos personales de esos trabajadores.

  2. Tu empresa no es española pero utilizas medios ubicados en España para tratar los datos personales, salvo que esos medios se utilicen sólo para transmitir información. Por ejemplo, tu empresa está ubicada fuera de España pero los servidores que almacenan los datos personales de tus trabajadores están en España.

Como verás, en los dos casos hablamos de empresas. La LOPD no es de aplicación a nuestras actividades personales. Por ello, por ejemplo, no aplica a la agenda de contactos de tu móvil o de tu correo electrónico.

¿Qué datos personales podemos solicitar a una persona y cómo tenemos que guardarlos?

A la hora de pedirle a alguien sus datos personales, no podemos pedir todos los que queramos. Sólo podremos solicitar aquellos que sean necesarios para la actividad concreta que queramos llevar a cabo. Por ejemplo, si le pedimos a una persona sus datos de contacto para enviarle información sobre nuestros productos a su correo electrónico, no podremos pedirle que nos dé además la dirección de su casa, puesto que no la necesitamos.

Una vez alguien nos haya dado algún dato personal, debemos guardarlo siempre actualizado. Es decir, si el dato personal en concreto ha cambiado, tenemos que cambiarlo por el actual y eliminar el antiguo.

¿Qué derechos tienen las personas cuyos datos manejamos? ¿De qué tenemos que informarles?

Cuando le pedimos a alguien sus datos personales, la Ley Orgánica de Protección de Datos nos obliga a informarle de una serie de puntos:

  1. De que vamos a incluirlos en un fichero que habremos inscrito previamente en la Agencia Española de Protección de Datos.

  2. De que puede o no darnos sus datos personales y que ocurre si no nos da dichos datos.

  3. De los datos que identifican a nuestra empresa y de la dirección postal o electrónica en la que puede ejercitar sus derechos sobre Protección de Datos (si, los conocidos como derechos ARCO).

¿A quién podemos darle los datos de una persona o quién puede acceder a ellos?

Una vez hayamos obtenido los datos personales de una persona, tenemos que tener muy claro que no podemos dárselos a quien queramos, cuando queramos y como queramos.

¿Por qué? Porque esa persona es la única dueña de sus datos y por tanto es la única que puede autorizarte a que se los des a otros. Es decir, a que hagas una cesión de sus datos. Así que, si quieres darle esos datos a otra empresa o a otra persona, necesitas que la persona que te los dio a ti esté de acuerdo. Existen varias excepciones a esto, pero de momento quédate con esta idea y te ahorrarás muchos problemas.

¿Y qué ocurre si necesitas darle esos datos personales a un proveedor para que te preste algún servicio?

Que en este caso no necesitarás que el dueño de los datos esté de acuerdo. Esto se debe a que en estas situaciones la LOPD no considera que exista una cesión de datos personales.

Pero no podrás darle a tu proveedor los datos personales de cualquier forma. Tendrás que firmar con él un contrato que contenga los requisitos que exige la Ley.

¿Hay que aplicar alguna medida de seguridad concreta a los datos personales que manejamos?

Sobre los datos personales que guardemos, tenemos que aplicar varias medidas de seguridad.

Dichas medidas son tanto medidas puramente informáticas o de protección de tu documentación en papel, como medidas respecto a la organización de nuestra empresa. Es importante entender, por tanto, que no bastará con hacer algunos “ajustes” en nuestros ordenadores o servidores. Además, por poner un ejemplo, tendremos que contar en determinados casos con un Responsable de Protección de Datos (o DPO, Data Protection Officer).

Las medidas de seguridad están detalladas en el Reglamento de la LOPD. Estas medidas varían en función de la categoría de datos personales con los que estemos trabajando. Por supuesto, las veremos en detalle en este blog, en próximas entradas sobre la Ley Orgánica de Protección de Datos.

2 Comments

  1. Iker 18 octubre, 2016 at 16:19 - Reply

    Hola,
    Lo primero he de decir que me parece un blog muy interesante ya que consigue explicar de forma sencilla la complejidad que hay detras de la ley de protección de datos. En mi caso, trabajo como responsable IT en una empresa internacional y es un tema cada vez más presente y donde hay muchos grises (al menos para mi) ya que a pesar de tener un marco Europeo común, este delega ciertas parcelas a cada pais. Por tanto, esto se hace muy complejo cuando eres una empresa internacional y los datos y usuarios están en diferentes paises.
    En concreto me gustaría conocer un poco más la ley Alemana ya que nos estamos encontrando con bastantes problemas allí y desconocemos dicha ley. ¿tienes conocimientos sobre ella? ¿conoces alguna asesoria que pudiera ayudarnos?

    Se agradece mucho que haya personas que dediquen su tiempo a compartir su experiencia y ayudar a los demás.

    Muchas gracias!
    Iker

  2. |S| + |C| 19 octubre, 2016 at 21:33 - Reply

    Hola Iker,

    Gracias por tu comentario!

    Efectivamente es como comentas, tenemos un marco común en la UE pero hasta ahora no se ha podido evitar que las legislaciones nacionales tengan algunas particularidades.

    Si tienes dudas sobre la Ley alemana de Protección de Datos dinos en qué te podemos ayudar, ya que la conocemos (no con la misma profundidad que la Ley española, pero la conocemos).

    Un saludo!

Leave A Comment