Si bien las cuestiones referidas a datos de carácter personal deben abordarse con profesionales de la materia, se aportan aquí algunas indicaciones básicas al respecto.
Sitios de referencia para consulta: Agencia Española de Protección de Datos – Agencia Vasca de Protección de Datos
Los datos de carácter personal se clasifican en tres niveles, de acuerdo con el nivel de protección que requieren
1- Nivel Básico
Aplica, entre otros, a los ficheros que solo contengan datos identificativos y a todos los niveles medio y alto de seguridad.
Ejemplos: Nombre, domicilio, teléfono, DNI, número de afiliación a la seguridad social, fotografía, firmas, correos electrónicos, datos bancarios, edad, fecha de nacimiento, sexo, nacionalidad, etc.
2- Nivel Medio
Aplica, entre otros, a los ficheros que contengan datos relativos a solvencia patrimonial, operaciones financieras y de crédito.
Ejemplos: Datos de personalidad, hábitos de consumo, hábitos de carácter, datos de seguridad social, solvencia patrimonial y crédito, antecedentes penales, sanciones administrativas, pruebas psicotécnicas, currículos, etc.
3- Nivel Alto
Aplica a los ficheros que contienen datos especialmente protegidos como los que se refieren a ideología, afiliación sindical y política, religión y creencias, origen racial, salud, alimentación, bajas laborales, vida y práctica sexual, etc.
Fuente: Agencia Española de Protección de Datos.
Más información: https://www.agpd.es/portalwebAGPD/canalresponsable/obligaciones/index-ides-idphp.php
Sobre el responsable del fichero o tratamiento recaen las principales obligaciones establecidas por la LOPD y le corresponde velar por el cumplimiento de la Ley en su organización. Entre otros debe:
Inscripción de ficheros
Notificar los ficheros ante el Registro General de Protección de Datos, para que se proceda a su inscripción.
Calidad de los datos
Asegurarse de que los datos sean adecuados y veraces, obtenidos lícita y legítimamente y tratados de modo proporcional a la finalidad para la que fueron recabados.
Deber de guardar secreto
Garantizar el cumplimiento de los deberes de secreto y seguridad.
Deber de información
Informar a los titulares de los datos personales en la recogida de éstos.
Obtener el consentimiento para el tratamiento de los datos personales.
Atención de los derechos de los ciudadanos
Facilitar y garantizar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.
Asegurar que en sus relaciones con terceros que le presten servicios, que comporten el acceso a datos personales, se cumpla lo dispuesto en la LOPD.
Cumplir, cuando proceda, con lo dispuesto en la legislación sectorial que le sea de aplicación.
Fuente: Jornadas divulgativas de Enpresa Digitala Diciembre 2016 – Enero 2017:
«Nuevas normas en materia de protección de datos – Reglamento Europeo de protección de datos».
Impartida por Jorge Campanillas, de Iurismatica.
Más información:
El Reglamento Europeo de protección de datos entró en vigor el 25 de mayo de 2016 pero comenzará a aplicarse el 25 de mayo de 2018. La LOPD y el reglamento españoles siguen en vigor hasta que entre en funcionamiento el reglamento europeo y se aprueben/modifiquen la nueva normativa interna de cada estado. El reglamento europeo es de aplicación directa en toda la Unión Europea e incluso la prestación de servicios u oferta de bienes de empresas fuera de la Unión pero que se ofrezca a interesados dentro de la UE. Las adaptaciones internas de cada estado añadirán a los mínimos establecidos en la norma europea.
Principales novedades en el Reglamento Europeo:
Consentimiento expreso → piedra angular de la normativa.
Ampliación de los derechos: derecho al olvido y derecho a la privacidad de los datos.
Desaparece la inscripción de ficheros en la AEPD.
Nueva redacción de la información a los interesados/as.
Nueva figura del DPO – Delegado de Protección de Datos.
Inclusión del DPO en las empresas con grandes volúmenes de información o información sensible.
Inclusión del DPO en las AAPPs.
Brechas de seguridad, detección, control, información y colaboración con autoridades de control
Privacidad por defecto y en el diseño
Medidas de seguridad
Informes de impacto en la privacidad
Checklist para adecuarse al nuevo reglamento (a la espera de la normativa española):
Revisar avisos legales/formularios.
Modificar/ampliar la información de los avisos legales/formularios.
Estudiar la inclusión de consentimientos expresos para los tratamientos de datos.
Determinar la tipología y volumen de los datos tratados a fin de:
Determinar si necesitaremos figura DPO.
Desarrollar las evaluaciones de impacto en privacidad.
Privacidad en el diseño y por defecto.
Adecuar las medidas de seguridad y preparar planes de contingencia – brechas de seguridad.
Revisar procesos de respuesta a los derechos ARCO+limitación de tratamientos +portabilidad + derecho al olvido (si corresponde)
Revisar los flujos de información.
Determinar los periodos de conservación de los datos.
Revisión de los contratos encargados/responsables
Desarrollar “registro de actividades” empresas de +250 trabajadores o datos especialmente protegidos.
Posibilidad de certificación, código de conducta, etc…
Bonustrack: → Quizá contratar seguro responsabilidad protección de datos.
La presentación utilizada en las jornadas se puede consultar con autorización expresa del autor y licencia Creative Commons en un recurso compartido al que se puede acceder en la siguiente dirección:
https://www.dropbox.com/s/uvt2iruqn7efx68/Jornada_Reglamento_Europeo_Proteccion_Datos_Enero_2017.pdf
Preguntas frecuentes
Consultar sitio web de la Agencia Vasca de Protección de Datos: http://www.avpd.euskadi.eus/informacion/faqs-preguntas-mas-frecuentes/s04-5273/es/