Back

Tratamiento de datos de carácter personal en los ficheros de las empresas

Propiedad Intelectual, Media y IT

La práctica totalidad de las personas físicas, y especialmente jurídicas, disponen de ficheros en los que se incluyen datos sobre terceras personas, siendo los más habituales entre las empresas, los ficheros de clientes y proveedores organizados de forma automatizada.

Recientemente, por Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, se ha procedido a garantizar y proteger el tratamiento de los datos personales, las libertades públicas, y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. Dicha disposición deroga la anterior Ley Orgánica 5/1992, de regulación del Tratamiento Automatizado de los Datos de Carácter Personal, y entró en vigor el pasado 15 de enero de 2.000, adaptando al ordenamiento jurídico español lo establecido en la Directiva 95/46 CE del Parlamento Europeo y del Consejo de 24 de octubre de 1.995, relativa a la protección de las personas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

A tenor de la legislación que regula la materia, se entiende por fichero automatizado, todo aquel conjunto organizado de datos de carácter personal cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Asimismo, se entiende por dato de carácter personal cualquier información concerniente a personas físicas identificadas o identificables. Se entiende asimismo por tratamiento de datos, todas las operaciones y procedimientos técnicos de carácter automatizado o no que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias; prácticas todas ellas habituales en la actividad de cualquier empresa.

Ya desde 1.992, todos aquellos que poseían ficheros con datos de personas físicas estaban obligados a declararlo ante la Agencia de Protección de Datos (APD), reglamentándose en 1.994 la forma en que en que dichos ficheros debían ser notificados, la inscripción de los mismos, el derecho de acceso, rectificación y cancelación de los afectados, así como el procedimiento sancionador en caso de incumplimiento de dichas previsiones. En este sentido, el tratamiento de datos de carácter personal requiere el consentimiento inequívoco del afectado, estando obligado el responsable del fichero a guardar el más absoluto secreto profesional respecto de los mismos aun cuando hayan dejado de intervenir u operar con ellos. A tal efecto se regula la existencia de la APD, considerada como un ente de derecho público con personalidad jurídica propia, totalmente independiente de las Administraciones Públicas en el ejercicio de sus funciones, facultada para imponer importantes sanciones (de 100.000 a 100.000.000.- pesetas) las cuales denotan la necesidad de atender, respetar y actuar en consecuencia con lo previsto en el marco legislativo regulador de la materia que nos ocupa.

Recientemente, también ha sido promulgado el Real Decreto 994/1999 por el que se ha aprobado el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, en el que la adopción de las medidas de seguridad para la protección de los ficheros se convierte en una obligación cuyo incumplimiento puede conllevar la imposición de importantes sanciones. Dicha disposición legal afecta de lleno al ámbito de la gestión y administración de los ficheros informáticos, estableciendo que todos aquellos ficheros que contengan datos de carácter personal deben estar, además de declarados a la APD, protegidos con unas medidas de seguridad en orden a garantizar la total seguridad, confidencialidad y protección de los mismos. Dichas medidas de seguridad se diferencian por niveles, dependiendo de los datos que se contengan en los ficheros según el siguiente detalle:

Nivel de seguridad básico: ficheros que contengan datos de carácter personal.

Nivel de seguridad medio: ficheros que contengan datos relativos a servicios financieros o comisión de infracciones.

Nivel de seguridad alto: ficheros que contengan datos de personas relativos a la ideología, religión, creencias, origen racial, salud o vida sexual.

Como órgano integrante de la propia APD se ha creado el Registro General de Protección de Datos (RGPD), órgano en el que deberá inscribirse toda aquella información relativa a la existencia y tratamiento de datos en los ficheros, tanto los de titularidad pública como los de titularidad privada. Concretamente, el RGPD difundirá y dará publicidad a la existencia de ficheros automatizados de datos de carácter personal, siendo una de sus funciones primordiales la de velar por la publicidad de los ficheros con miras a hacer posible el ejercicio de los derechos de información, acceso, rectificación y cancelación de datos que la ley reconoce a todos los ciudadanos, concretamente, información necesaria a cualquier persona que necesite conocer información relativa a la existencia de los ficheros de datos de carácter personal y su dirección de acceso, sus finalidades, así como la identidad del responsable del fichero.

Una de las novedades de la nueva Ley de Protección de Datos de Carácter Personal es el plazo que prevé para la adecuación a sus previsiones. En este sentido, los ficheros y tratamientos automatizados inscritos o no en el RGPD deberán adecuarse a las previsiones de la Ley Orgánica 15/99 dentro del plazo de tres años a contar desde su entrada en vigor. En dicho plazo, los ficheros de titularidad privada deberán ser comunicados a la APD mediante los formularios que dicho ente tiene a tal fin establecidos. En el supuesto de ficheros y tratamientos no automatizados, dicho plazo queda ampliado a doce años. Por último, todos aquellos ficheros que se creen con posterioridad a la entrada en vigor de la reciente Ley Orgánica deberán ser previamente notificados a la APD, no siendo de aplicación en estos casos los citados plazos de tres o doce años.

En conclusión, dentro de los plazos señalados, todas aquellas personas y empresas que posean ficheros en los que se incluyan datos de carácter personal no sólo deberán notificarlo a la APD, sino que, además, deberán adaptarse a las previsiones de la ley con el fin de evitar la imposición de importantes sanciones.

 

La información contenida en la presente nota no debe ser en sí misma considerada como un asesoramiento específico en la materia comentada, sino únicamente una primera aproximación al tema tratado, siendo por tanto aconsejable que los receptores de la presente obtengan asesoramiento profesional sobre su caso concreto antes de adoptar medidas o acciones específicas.