Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
El hecho de recabar o intentar recabar datos innecesarios e inadecuados en relación con el ámbito y finalidades legítimas para las que se hayan obtenido, debe ser constitutiva de infracción, incluso aunque dichos datos no lleguen a ser incorporados en ficheros.
Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados.
Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
El deber de información al afectado, previo al tratamiento de sus datos de carácter personal, es uno de los principios fundamentales.
Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
• De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
• Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
• De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
• De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición (ARCO).
• De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante. Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.
El afectado debe dar su consentimiento al tratamiento de sus datos personales. Si no, INFRACCIÓN GRAVE.
Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
Se considera INFRACCIÓN MUY GRAVE la cesión de datos de carácter personal sin consentimiento del interesado.
Cualquier conjunto organizado de datos personales debe ser inscrito en la AEPD (Agencia Española de Protección de Datos). Figurarán necesariamente el responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad, con indicación del nivel básico, medio o alto exigible y las cesiones de datos de carácter personal que se prevean realizar.
Deberán comunicarse a la AEPD los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación.
La notificación de los ficheros habrá de ser previa a la creación de los mismos.
Constituye una INFRACCIÓN GRAVE, "mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad”.
Las condiciones de seguridad exigidas, entre otros, afectan a aspectos relacionados con:
• Identificación y autenticación
• Control de acceso
• Registro de accesos
• Gestión de soportes y documentos
• Registro de entrada y salida de soportes
• Gestión y distribución de soportes
• Criterios de archivo y almacenamiento de la información
• Acceso a datos a través de redes de comunicaciones
• Régimen de trabajo fuera de los locales de la ubicación del fichero
• Traslado de documentación
• Copia o reproducción
• Funciones y obligaciones del personal
• Videovigilancia
El incumplimiento de la normativa puede ser denunciado por cualquier persona física ante la AEPD y puede dar lugar a un expediente sancionador.
Infracción Sanción
Leve Multa de 900 hasta 40.000 euros
Grave Multa de 40.001 a 300.000 euros
Muy Grave Multa de 300.001 a 600.000 euros
En la última memoria de actividades de la AEPD correspondiente al ejercicio 2013, se recoge que en 2013 se presentaron en la AEPD 10.604 denuncias y reclamaciones, que finalmente derivaron en sanciones económicas por un importe superior a 22 millones de euros.