+34 917 103 094
» Desarrollos informáticos y consultoría

¿Afecta la normativa de protección de datos a mi empresa o asociación?

Si manejamos datos de cualquier naturaleza de personas físicas debemos cumplir lo dispuesto en la LOPD.

La LSSI se aplica a cualquiera que proporcione cualquier tipo de “servicio de la sociedad de la información” siempre que represente una actividad económica para el prestador.

 

LOPD
La Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD) afecta a cualquiera que almacene cualquier dato de personas.

Se trata de un auténtico derecho fundamental, refrendado por el Tribunal Constitucional, que indica que “el objeto de protección del derecho fundamental a la protección de datos no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por tercero pueda afectar a sus derechos sean o no fundamentales”.
LSSI
La Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), incorpora en nuestro ordenamiento legislativo la Directiva 2000/31/CE del Consejo y del Parlamento Europeo en la que se regulan determinados aspectos jurídicos de los Servicios de la Sociedad de la Información, en particular los relativos al comercio electrónico.
Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

El hecho de recabar o intentar recabar datos innecesarios e inadecuados en relación con el ámbito y finalidades legítimas para las que se hayan obtenido, debe ser constitutiva de infracción, incluso aunque dichos datos no lleguen a ser incorporados en ficheros.
Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados.

Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
El deber de información al afectado, previo al tratamiento de sus datos de carácter personal, es uno de los principios fundamentales.

Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
• De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
• Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
• De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
• De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición (ARCO).
• De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante. Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.
El afectado debe dar su consentimiento al tratamiento de sus datos personales. Si no, INFRACCIÓN GRAVE.
Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

Se considera INFRACCIÓN MUY GRAVE la cesión de datos de carácter personal sin consentimiento del interesado.
Cualquier conjunto organizado de datos personales debe ser inscrito en la AEPD (Agencia Española de Protección de Datos). Figurarán necesariamente el responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad, con indicación del nivel básico, medio o alto exigible y las cesiones de datos de carácter personal que se prevean realizar.

Deberán comunicarse a la AEPD los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación.

La notificación de los ficheros habrá de ser previa a la creación de los mismos.
Constituye una INFRACCIÓN GRAVE, "mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad”.

Las condiciones de seguridad exigidas, entre otros, afectan a aspectos relacionados con:
• Identificación y autenticación
• Control de acceso
• Registro de accesos
• Gestión de soportes y documentos
• Registro de entrada y salida de soportes
• Gestión y distribución de soportes
• Criterios de archivo y almacenamiento de la información
• Acceso a datos a través de redes de comunicaciones
• Régimen de trabajo fuera de los locales de la ubicación del fichero
• Traslado de documentación
• Copia o reproducción
• Funciones y obligaciones del personal
• Videovigilancia
El incumplimiento de la normativa puede ser denunciado por cualquier persona física ante la AEPD y puede dar lugar a un expediente sancionador.

Infracción Sanción
Leve Multa de 900 hasta 40.000 euros
Grave Multa de 40.001 a 300.000 euros
Muy Grave Multa de 300.001 a 600.000 euros

En la última memoria de actividades de la AEPD correspondiente al ejercicio 2013, se recoge que en 2013 se presentaron en la AEPD 10.604 denuncias y reclamaciones, que finalmente derivaron en sanciones económicas por un importe superior a 22 millones de euros.
Los proveedores de servicios de la sociedad de la información deben cumplir con el deber de informar en su web o medio electrónico equivalente de lo siguiente:
• Nombre o denominación social
• Residencia o domicilio o la dirección de uno de sus establecimientos permanentes en España
• Dirección de correo electrónico y cualquier otro dato que permita establecer con él una comunicación directa y efectiva
• Los datos de su inscripción en el Registro Mercantil en el que, en su caso, se encuentren inscritos o de aquel otro registro público en el que lo estuvieran para la adquisición de personalidad jurídica o a los solos efectos de publicidad
• En el caso de que su actividad estuviese sujeta a un régimen de autorización administrativa previa, los datos relativos a dicha autorización y los identificativos del órgano competente encargado de su supervisión.
• El número de identificación fiscal
• Cuando el servicio de la sociedad de la información haga referencia a precios, se facilitará información clara y exacta sobre el precio del producto o servicio, indicando si incluye o no los impuestos aplicables y, en su caso, sobre los gastos de envío
• Los códigos de conducta a los que, en su caso, esté adherido y la manera de consultarlos electrónicamente
• Si ejerce una profesión regulada deberá indicar:
o Los datos del Colegio profesional al que, en su caso, pertenezca y número de colegiado
o El título académico oficial o profesional con el que cuente
o El Estado de la Unión Europea o del Espacio Económico Europeo en el que se expidió dicho título y, en su caso, la correspondiente homologación o reconocimiento
o Las normas profesionales aplicables al ejercicio de su profesión y los medios a través de los cuales se puedan conocer, incluidos los electrónicos

El incumplimiento significativo del deber de información detallado anteriormente constituye una FALTA GRAVE.
Los proveedores de servicios de acceso a Internet y los prestadores de servicios de correo electrónico o de servicios similares deberán informar a sus clientes de forma permanente, fácil, directa y gratuita sobre las medidas de seguridad que apliquen en la provisión de los mencionados servicios.

A partir del 29 de marzo de 2008, los proveedores de acceso a Internet están obligados a informar a sus usuarios sobre los medios técnicos que permitan la protección frente a las amenazas de seguridad en Internet (virus informáticos, programas espías, spam) y sobre las herramientas para el filtrado de contenidos no deseados.
Cuando los prestadores de servicios empleen dispositivos de almacenamiento y recuperación de datos en equipos terminales deben recabar el consentimiento de los destinatarios después de que los mismos hayan sido informados de manera clara y completa sobre su utilización y finalidad, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

El consentimiento del destinatario podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél proceda a su configuración o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso a datos con el fin de efectuar o facilitar técnicamente la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Se considera INFRACCION LEVE la utilización de cookies cuando no se hubiera facilitado la información u obtenido el consentimiento del destinatario (multa de hasta 30.000€).

Sería INFRACCION GRAVE la reincidencia en el plazo de tres años (multa de 30.001 a 150.000€).
Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

La prestación de consentimiento expreso exige la manifestación de una voluntad libre, informada, específica e inequívoca, que no deje lugar a duda, de aceptación del envío de comunicaciones comerciales realizadas por correo electrónico u otro medio de comunicación individual equivalente.

El incumplimiento de lo anterior constituye una FALTA GRAVE.

El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente.
En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.
Infracción Sanción
Leve Multa de hasta 30.000 euros
Grave Multa de 30.001 a 150.000 euros
Muy Grave Multa de 150.001 a 600.000 euros