Como ya explicábamos en el anterior post, si eres tanto una persona física o jurídica que tanga datos personales (datos de clientes, proveedores, trabajadores…) ya sea en formato papel o electrónico debes cumplir con la Ley de Protección de Datos. Os dejamos un breve resumen de las obligaciones que hay que cumplir.
Calidad de los datos.
Los datos que se recojan deben ser adecuados, pertinentes y no excesivos en relación al ámbito y finalidad. No pueden usarse con otra finalidad distinta para la que fueron recogidos. Deben rectificarse si no son exactos y cancerlarse cuando dejen de ser necesarios para la finalidad para la que fueron recabados.
Derecho de información en la recogida de datos.
Cuando se esté recabando información mediante formularios u otros impresos se debe informar de:
– La existencia de un fichero o tratamiento de datos de carácter personal. De la finalidad de la recogida de éstos y de los destinatarios de la información.
– Carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
– Las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
– Que existe la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
– La identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
Consentimiento del afectado.
Debe ser inequívoco salvo que la ley diga lo contrario y podrá revocarse cuando exista causa justificada.
Datos especialmente protegidos.
Los datos de nivel medio o alto (ideologías, creencias religiosas, sexualidad… ) no deben ser recogidos, a no ser que sean absolutamente necesarios. El apartado 2 del artículo 16 de la Constitución dice que nadie puede ser obligado a declarar sobre su ideología, religión o creencias. Por ello se debe informar al usuario que tiene derecho a no informar sobre dichos datos en el caso de que estemos recabando dicha información.
Deber de secreto.
El responsable o encargado están obligados al secreto profesional y al deber de guardarlos.
Comunicación o cesión de datos.
Los datos pueden ser cedidos a terceros cuando exista consentimiento del interesado y sea para el cumplimiento de fines relacionados con las funciones legítimas del cedente. Sin embargo existen situaciones en las que no es necesario el consentimiento.
Respecto al consentimiento, puede ser revocado y será nulo cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán sus datos.
Acceso a los datos por cuenta de terceros (Encargo de tratamiento).
Cuando el Responsable del fichero no es el mismo sobre el que recae el tratamiento del fichero se debe hacer un contrato de encargo de tratamiento donde se indique cómo se tratarán los datos y las medidas de seguridad adoptadas.
Derechos de las personas.
Las personas tienen derecho de:
– Acceso: Solicitar de forma gratuita información sobre sus datos de carácter personal sometidos a tratamiento
– Rectificación, modificación y cancelación.
– Oposición.
Medidas de Seguridad establecidas por ley.
El responsable del fichero o el encargado de su tratamiento debe tomar las medidas necesarias para garantizar la seguridad de los datos personales, evitar su pérdida, alteración o acceso no autorizado.
Cuando los datos se guarden en soporte informático la ley establece unas medidas de seguridad que serán mayores cuando los datos recogidos sean de nivel medio o alto. La ley exige redactar un documento de seguridad siguiendo un modelo. Os dejamos el enlace a la Guía de Seguridad y al modelo de Documento de Seguridad.
Inscripción de ficheros.
El responsable debe notificar a la Agencia de Protección de Datos la existencia de un fichero antes de su creación. Si vamos a crear un fichero «Clientes», notificaremos el nombre del fichero, la finalidad con que se crea, estructura… pero NO comunicaremos los datos de los clientes.
Para la inscripción de ficheros:
– 1º Vamos al Servicio Electrónico NOTA. Leemos la información que nos proporcionan y clicamos en «Continuar». El mismo servicio nos aporta una guía rápida para entender cómo se cumplimenta la solicitud.
– 2º Iniciamos «Nueva Notificación» e indicaremos la titularidad del fichero a notificar (si publico o privado).
– 3º Iniciaremos la solicitud. Nos dan a elegir con o sin certificado digital. Seguimos todos los pasos que nos indique y al cabo de un mes se recibirá como respuesta la confirmación de la inscripción del fichero.
Este proceso debe repetirse por cada fichero existente: cliente, proveedores, trabajadores…