El art. 18.4 de la Constitución Española establece que “La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.

En este artículo está el fundamento de la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, mediante la cual se da el amparo debido a las personas físicas contra la posible utilización por terceros, en forma no autorizada, de sus datos personales susceptibles de tratamiento.

La Ley ha sido posteriormente desarrollada por el Real Decreto 1720/2007 de 21 de diciembre.

El empresario o autónomo debe por lo tanto tener en cuenta los principios y obligaciones establecidas en la ley cuando en el ejercicio de su actividad trate datos de Carácter Personal. Se entiende por:

Dato de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables. Se exceptúan por tanto los datos relativos a las personas jurídicas, ni a los ficheros que contengan datos de personas físicas que presten sus servicios en aquéllas, consistentes únicamente en nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y nº de fax profesionales. Tampoco se consideran datos personales los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros.

Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Afecta por lo tanto a ficheros en formato electrónico como físico o en cualquier otro tipo de soporte.

Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.  Es decir, existen tres momentos en los que es necesario tener en cuenta los principios de la Ley en relación con los datos personales:

  • Cuando recabamos esos datos
  • Cuando los utilizamos
  • Cuando, en su caso vayamos a cederlos a terceros

Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.

Consentimiento del interesado: es toda manifestación de voluntad libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de los datos personales que le conciernen.

El tratamiento de los datos de carácter personal requiere el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa. Es decir, no podemos utilizar los datos de una persona sin su consentimiento, y para recabarlo debemos comunicar la finalidad y/o finalidades para los que se recaba, a la par que informar a los interesados de los derechos que les asisten respectos a sus datos (los derechos de acceso, rectificación, cancelación y oposición). Si además los datos van a ser objeto de cesión a terceros se debe comunicar al afectado la finalidad a la que se destinarán los datos y el tipo de actividad desarrollado por el cesionario. El consentimiento debe ser expreso.

El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. Existen tres niveles de medidas de seguridad dependiendo de la naturaleza de los datos en función de la mayor o menor necesidad de garantizar su seguridad e integridad. Los tres niveles son:

  • Nivel básico: todos los ficheros que contengan datos de carácter personal
  • Nivel medio: Ficheros de datos relativos a comisión de infracciones administrativas o penales, datos de Hacienda Pública, datos relativos a la prestación de servicios financieros, ficheros de prestación de servicios de información sobre solvencia patrimonial y crédito, y aquéllos que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o comportamiento de los mismos.
  • Nivel alto: ideología, afiliación sindical, religión, creencias, origen racial, salud, vida sexual. Los recabados para fines policiales, los derivados de actos de violencia de género

Por lo tanto, todo empresario, persona o entidad que proceda a la creación de ficheros de datos de carácter personal debe:

  • Elaborar un Documento de seguridad en el que se recojan las medidas técnicas y organizativas implantadas por el responsable del fichero. Para su realización puede servirle de ayuda esta guía para la elaboración del Documento de Seguridad.
  • Notificar previamente a la Agencia Española de Protección de Datos la existencia del fichero y proceder a la inscripción del fichero correspondiente en la Agencia Española de Protección de Datos. La inscripción puede realizarse vía Internet a través del Sistema NOTA.
  • Cuando recojamos datos de carácter personal, debemos obtener el consentimiento informado. Al efecto será necesario, introducir cláusulas en los formularios, contratos, página web, etc.
  • Formar al personal de nuestra organización en los procedimientos implantados relacionados con la protección de datos.
  • En el caso de obtener imágenes por medio de un sistema de videovigilancia, identificar la zona videovigilada con los carteles así como cumplir con el resto de obligaciones.

Para más información consulte la página web de la Agencia Española de Protección de Datos.