Legalidad

Los aspectos más importantes de la ley de protección de datos

La era de las nuevas tecnologías obliga a cualquiera a adaptarse a ellas o quedarse por detrás. Esto ha supuesto la modificación de la normativa que estaba vigente. Era necesaria una normativa más nueva y actual, que asegurara la protección de los datos de personas físicas reales.

Es importante extremar las precauciones con este tema, porque con un simple nombre, número de identificación o localización, se puede llegar a determinar la identidad completa de una persona.

Además, hay unos datos que tienen una mayor protección: ideología, estado de salud de las personas, origen racial, orientación sexual y comisión de actuaciones penales.

¿Qué es la ley de protección de datos?

Es una ley de carácter orgánico que fue aprobada en las Cortes Generales, cuyo objetivo principal es el de adaptar el Derecho interno español al Reglamento General de Protección de Datos. En diciembre de 2018, entró en vigor la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los derechos digitales. Con esta nueva normativa quedaría derogada la antigua Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

La nueva ley tiene por objetivo principal, que los datos personales de todos los usuarios estén bajo la protección de legisladores europeos. ¿Pero qué se considerará dato personal? Será considerado dato personal, todo aquel que proporcione información con la que sea posible reconocer a la persona física.

Principios de protección de datos:

El Reglamento General de Protección de datos señala un conjunto de principios que los responsables y encargados del tratamiento deben tener en cuenta a la hora de su tratamiento:

  • Principio de transparencia y lealtad: transparencia en la información sobre el tratamiento de los datos personales y veracidad a la hora de su utilización.
  • Principio de integridad y confidencialidad: actuación activamente con la finalidad de proteger los datos empleados frente a cualquier riesgo.
  • Principio de minimización de datos: pedir solo aquellos datos que sean estrictamente necesarios.
  • Principio limitación de finalidad: definir correctamente la finalidad para la que van a ser utilizados los datos solicitados.
  • Principio limitación de tenencia de datos: una vez la finalidad de la utilización de los datos se ha dado por concluida, esos datos deben ser borrados o destruidos.
  • Principio de exactitud: los datos deben ser exactos, no hay margen de error.

Cómo cumplir con la ley de protección de datos

La nueva ley de protección de datos incluye nuevas obligaciones que hay que cumplir en este ámbito. A continuación, se mencionan los pasos a seguir: 

  1. Registrar los tratamientos realizados en la empresa: el registro será de obligado cumplimiento para empresas con más de 250 trabajadores o bien para aquellas compañías que hagan uso de datos, y ello pueda suponer un riesgo. Por otra parte, hay entidades que deben hacer públicas sus actividades de tratamiento, como pueden ser: Tribunal Supremo, Audiencia Nacional, Fundaciones que pertenezcan al sector público, etcétera.

En este registro deberán figurar:

  • Plazos de eliminación de la información.
  • Finalidad de la recogida de datos.
  • Identidad y datos del responsable, del representante y del Delegado de Protección de Datos en caso de existir.
  • Descripción de categorías de interés y datos.
  • Descripción de las medidas adoptadas para garantizar la seguridad de toda la información.
  • Información sobre la cesión de datos a terceros.
  1. Consentimiento inequívoco: hace referencia a la obligación del deber de contar con el consentimiento para poder buscar, almacenar y utilizar los datos del interesado. Para ello se debe contar con el consentimiento de la persona, puede ser un formulario, una firma o cualquier otro documento con el que se pueda demostrar que la persona está informada sobre la utilización de sus datos.
  2. Consentimiento de menores: el tratamiento de los datos de un menor es algo muy delicado. Los menores pueden otorgar consentimiento en la utilización de sus datos en caso de ser mayores de 14 años. Sin embargo, en muchas ocasiones no se puede proceder de esta forma y se requiere el consentimiento de los padres o tutores legales.
  3. Obligación en la cesión de información: las empresas están obligadas a informar a la persona interesada sobre las vías de actuación para ejercer sus derechos. 
  4. Análisis de riesgos: los responsables de la utilización de datos deben dar cuenta sobre la posibilidad de que existan ciertos riesgos a la hora de utilizar determinados datos del interesado.
  5. Comunicación de incidentes de la seguridad: en caso de que haya un incidente que afecte a la seguridad de los datos personales, se debe notificar a todas las personas que puedan verse afectadas por ello en un plazo máximo de 72 horas.
  6. Evaluación de impacto: los responsables deberán de valorar si es recomendable llevar a cabo una evaluación del impacto que su tratamiento produce en la protección de datos. En función de la conclusión a la que se llegue, se elegirán las medidas técnicas y organizativas que más se adecuen a lo que se necesita.
  7. Contratos de Encargado del Tratamiento: los responsables del tratamiento de datos le dan derecho al encargado de utilizar las informaciones de los interesados. Para que esto sea posible se realizará la firma de un contrato en el que quede recogida esta cesión de “poderes”.

Cómo implementar la ley de protección de datos

Desde que la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los derechos digitales, entró en vigor, todas las entidades, ya sean públicas o privadas, que trabajen con datos personales de terceros están obligadas a cumplir con el Reglamento General de Protección de Datos. 

En ese caso las empresas deben contar con dos figuras que velarán por el debido cumplimiento y aplicación de la normativa:

  • Responsable de tratamiento de datos personales: esta figura se encargará de tomar las decisiones adecuadas acerca del tipo de tratamiento y la finalidad con la que se van a utilizar datos personales en una relación comercial.
  • Encargado de tratamiento de datos personales: esta persona tendrá acceso a las bases de datos del responsable de tratamiento. Y tendrá que operar de acuerdo con las recomendaciones y órdenes del responsable.

Plantilla de autorización para la ley de protección de datos

Es un documento necesario con el que deben contar las empresas a la hora de cumplir con la normativa de Protección de Datos. Los clientes deben firmar que otorgan el consentimiento a la empresa, para utilizar sus datos personales en caso de que fuera necesario.

En este documento se debe de incluir el lugar de almacenamiento de los datos, cómo se puede ejercer el derecho de acceso, rectificación, cancelación, oposición, limitación y portabilidad, además, de informar sobre la finalidad del uso de los mismos.

Este documento debe incluir la firma del cliente a modo de justificante, para dar cuenta de que él está de acuerdo con el uso de sus datos. En caso de que el cliente no firme, no se podrá hacer uso de sus datos.

¿Qué puede pasar tras el uso de datos personales sin consentimiento?

Si se ha realizado una vulneración de la normativa de protección de datos, el Reglamento General de Protección de Datos cuenta con una autoridad de control principal y un procedimiento de cooperación entre las autoridades de los Estados miembros.

Puede ser que ante la resolución de una problemática no se llegue a un mutuo acuerdo, por ello, el Comité Europeo de Protección de Datos tomará la determinación de la decisión final.

En este marco la Ley Orgánica cuenta con una clasificación que permite diferenciar entre las faltas leves, graves y muy graves. En la Ley Orgánica queda reflejada que los elementos que pueden tenerse en cuenta son los que estén incluidos en el artículo 45.4 y 5 de la Ley Orgánica 15/1999, tales con la vinculación de la actividad desempeñada por el infractor con la realización de tratamientos de datos.