Importancia de cumplir con la Ley Orgánica de Protección de Datos

Como reza el título de este post, lo que pretendo es simplemente un recordatorio de la importancia que tiene la gestión que le damos al tratamiento de datos de carácter personal. Y no sólo porque es un mandato que se recoge en el artículo 10 de nuestra Constitución, el cual reconoce el derecho a la dignidad de la persona, sino porque puede acarrear consecuencias negativas la gestión de un fichero en el que recojamos los datos personales de los clientes o futuros clientes sin comunicar su existencia al organismo administrativo competente. Cuando una sociedad mercantil, profesional, civil o pública, o un autónomo o pequeña tienda, recogen en un fichero los datos personales de sus clientes (personas físicas), obviamente con su consentimiento (artículo 6 de la Ley 15/1999, de Protección de Datos de Carácter Personal -LOPD-), estamos tratando datos de carácter personal, como decía, protegidos constitucionalmente. Y, por supuesto, como podemos intuir, es indiferente que los datos personales tratados lo haga una multinacional o un comercio del barrio.

Como indica el artículo 25 LOPD, respecto de los ficheros del ámbito privado, “podrán crearse ficheros de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las garantías que esta Ley establece para la protección de las personas”.

Estos ficheros deben ser comunicados obligatoriamente a la Agencia Española de Protección de Datos (AGPD) entidad pública, encargada, entre otras funciones, de velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos; atender a las peticiones y reclamaciones de los afectados por un mal uso de sus datos de carácter personal; emitir las autorizaciones previstas en la Ley; ordenar, en caso de ilegalidad, el cese en el tratamiento y la cancelación de los datos; ejercer la potestad inspectora y sancionadora; etc. Por cierto, por la gran importancia de sus funciones, la AGPD actúa con total independencia respecto a las demás Administraciones Públicas en el ejercicio de sus funciones, art.35 LOPD.

Y, como decía, es importante que lo tengamos en cuenta ya que las multas por incumplimiento de la ley pueden ir desde los 600€ de las sanciones leves (en las que estarían incluida, por ejemplo, la no comunicación a la AGPD de la existencia de fichero que contenga los datos de carácter personal), hasta los, nada despreciables, 600.000€ de las sanciones muy graves. Sanciones que recaen en el que será el/los responsable/s del tratamiento de los datos que son, como podemos adivinar, los administradores de la mercantil o los que figuren como propietarios en caso, como en el ejemplo, de la tienda de barrio; responsabilidad que figura de forma personal sin que tengan posibilidad de culpar a la asesoría o gestoría que no les han informado de esta obligación.

El tener legalmente habilitado el fichero (que, por cierto, no es necesario que su forma sea en formato electrónico, ya que fichero podría ser una simple libreta con las anotaciones de los clientes junto con sus datos personales) y cumplir con la Ley de Protección de Datos, no es complicado ni, en principio, caro. Simplemente hay que contactar con un profesional en la materia y dejarse aconsejar sobre este importante tema para que no se tengan desagradables sorpresas. Valga como dato que en el año 2012, se dictaron nada menos que 896 resoluciones declarativas de infracción: 863 contra entidades privadas y 33 contra Administraciones Públicas. Y recuerdo que la multa más “asequible” es de 600€.

Dejo, por su interés, algunas definiciones que se encuentran en la misma Ley de Protección de Datos ya que, interpretaciones al margen, aclaran algunos conceptos.

Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.
Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.
Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta del interesado.
Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.