Vivimos una época muy compleja en el mundo empresarial. Hoy en día no es suficiente con dominar el sector profesional en el que se centra tu negocio, dado que el marco normativo actual exige a las empresas el cumplimiento de numerosas obligaciones transversales. Dado que es inevitable la recogida de datos personales, sea cual sea el servicio que se preste, garantizar la protección de datos de carácter personal es una de ellas. Por eso es fundamental tener unos conocimientos básicos en esta materia.

Y hoy, por tanto, vamos a aclarar algunos de los principales conceptos:

1) No todos los “datos  de carácter personal” son datos protegidos por la LOPD

La Ley 15/1999 (LOPD) define datos de carácter personal como cualquier información concerniente a personas físicas identificadas o identificables.

Sin embargo, el Reglamento que desarrolla la propia LOPD (RD 1720/2007, en su artículo 2º),  excluye de su ámbito de aplicación:

  1. los datos referidos a personas jurídicas,
  2. los ficheros que se limiten a incorporar los nombres, apellidos, funciones o puestos desempeñados, la dirección postal o electrónica, el teléfono y el número de fax profesionales de las personas físicas que presten sus servicios en aquéllas,
  3. los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros,
  4. los datos referidos a personas fallecidas (las personas vinculadas al fallecido sí pueden solicitar la cancelación de los datos del fallecido).

Por tanto, es importante tener en cuenta que las obligaciones contenidas en la LOPD y su reglamento de desarrollo, no te afectan en la relación con tus clientes, si tus servicios se dirigen exclusivamente a satisfacer necesidades de empresas/autónomos.

2) El consentimiento del titular no siempre es necesario para tratar sus datos

Frente a la regla general de obligatoriedad de consentimiento del interesado para tratar sus datos personales, la LOPD contempla ciertos supuestos en que los datos de carácter personal pueden tratarse sin necesidad de autorización. Es importante tener claro cuales son esos casos, dado que se trata de situaciones muy habituales en nuestro día a día:

  • a) Las Administraciones públicas no precisan de nuestro consentimiento. Siempre que actúen en el ámbito de las competencias que les atribuya una norma con rango de ley o una norma de derecho comunitario,  pueden recoger datos personales sin necesidad de consentimiento, para el ejercicio de las funciones que le sean propias.
  • b) La celebración de un contrato o precontrato de cualquier índole(incluído el administrativo y el laboral), o una relación negocial de la que sea parte el afectado, habilita por razones obvias a la otra parte para el tratamiento de los datos sin un consentimiento previo del titular de los mismos, siempre que los datos sean necesarios para cumplir o mantener el contrato o relación.
  • c) La VIDA del interesadoes un interés que debe ser protegido por encima de cualquier otro. Por ello, la LOPD reconoce la necesidad de establecer una ponderación de intereses en juego, siendo la vida el que impere por encima de cualquier otro interés, no precisando consentimiento el tratamiento de los datos y tenga por finalidad proteger un interés vital del interesado en los términos del apartado 6 del artículo 7 de la Ley Orgánica 15/1999, de 13 de diciembre.

3) Nunca se debe confundir cesión de datos con tratamiento de datos

La diferencia entre ceder y tratar estriba en el poder de disposición que se tiene de los datos de carácter personal. Cuando se ceden datos, no sólo se están entregando estos, sino también la autonomía para disponer de ellos. Es por ello que para ceder los datos, se requiere consentimiento expreso del interesado. Por contra, tratar los datos no supone la libre disposición de los mismos, sino únicamente el uso de los datos para la finalidad encomendada.

Para el tratamiento de los datos no se requiere consentimiento del titular, sino únicamente la formalización de un contrato de tratamiento de datos entre responsable y encargado.

Supongamos, como ejemplo gráfico, que los datos estuvieran guardados físicamente en un cajón. En ese caso, la acción de cederlos implicaría entregar el cajón a un tercero y con ello trasladar la responsabilidad y el poder de decisión sobre su contenido.

Por contra, la acción de tratar los datos no supone entregar el cajón, sino únicamente permitir que alguien lo abra y trabaje con los datos contenidos en el mismo, bajo las directrices que marque el dueño del cajón, para después cerrarlo.

4) RESPONSABLE del tratamiento y ENCARGADO del tratamiento

La figura del responsable y del encargado del tratamiento de datos son diferentes y dependen del grado de disposición sobre los mismos. Ello no significa, sin embargo, que no puedan coincidir en una misma persona o entidad.

El responsable del tratamiento es la persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que DECIDE sobre la finalidad, contenido y uso del tratamiento.

Encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, TRATA datos personales por cuenta del responsable del tratamiento.

Dado que estos conceptos están íntimamente ligados a los de cesión y tratamiento de datos, podemos recuperar el ejemplo utilizado, en la parte I de este artículo, del cajón, siendo el RESPONSABLE su dueño, es decir, aquel que tiene potestad sobre lo que se puede hacer con los datos que el cajón contiene, y por tanto tiene potestad de decidir lo que se debe hacer con ellos. El ENCARGADO es aquel que únicamente abre el cajón y trata los datos que contiene para el fin que haya concretado el responsable de los mismos, pero el cajón no le pertenece ni lo puede usar para otros fines.

Cuando se CEDEN datos, el que los recibe se convierte en RESPONSABLE DE LOS DATOS que le han sido cedidos (Se convierte en propietario del cajón). Por el contrario, si únicamente se TRATAN DATOS, el que los maneja es ENCARGADO de su tratamiento, pero a priori NO RESPONSABLE.

5) Fichero automatizado, no automatizado o mixto

A los efectos de la Protección de datos de carácter personal, es preciso tener claro que existen diferentes formas de tratamientos de datos, y que cada modalidad exige el establecimiento de diferentes medidas de seguridad dependiendo de su naturaleza.

Fichero es todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

A fin de simplificar las definiciones legales, podemos resumir el concepto de fichero automatizado a todo aquel conjunto de datos volcados en un soporte electrónico. El ejemplo más común es una base de datos informática.

Por contra, podemos definir fichero no automatizado a todo aquel que no precisa de un soporte electrónico para recabar y/o acceder a los datos en él contenidos. Uno de los ficheros no automatizados más comunes son los formularios de datos, que rellenan los de usuarios en papel común.

Nos encontramos con un fichero mixto cuando los datos que contiene dicho fichero son recogidos/consultados en medios electrónicos y/o en formato papel. Nos referimos a supuestos en los que el fichero recoge, registra y guarda datos de los usuarios tanto por email como en formato papel, para ser volcados todos ellos en un mismo fichero.

6) CANCELAR no es lo mismo que ELIMINAR

En el contexto de la LOPD, “cancelar” significa “bloquear el acceso a los datos”. Sin embargo, el término “eliminar” implica borrarlos de manera definitiva. La diferencia conceptual es por tanto abismal.

Aquel que maneje datos de carácter personal deberá cancelarlos, desde el momento en que cesa la finalidad para la que fueron recogidos. Esto implica que se debe impedir el acceso a los mismos.

Continuando con el ejemplo anterior, CANCELAR implica cerrar con llave el cajón.

La LOPD impone la obligación de cancelar los datos, cerrar el cajón desde que los mismos dejan de ser útiles, pero exige que se conserven, debidamente bloqueados, ya que pueden ser requeridos por las Administraciones Públicas, Jueces y Tribunales (art. 16 LOPD), obligando a su eliminación y borrado definitivo desde que prescriban las responsabilidades nacidas de su tratamiento.

7) El verdadero significado de Transferencia Internacional de Datos

La cesión o tratamiento de datos entre países miembros del Espacio Económico Europeo (EEE) no se considera transmisión internacional. Unicamente se realiza transferencia internacional de datos, cuando se ceden o se realiza el tratamiento de los mismos por parte de un tercero establecido en un país que no forma parte del EEE.

Es importante saber que, como regla general, la transferencia internacional de datos exige el consentimiento de los titulares de los mismos y requiere autorización del Director de la Agencia Española de Protección de Datos. Dado que la autorización, lo que pretende es confirmar que los datos van a ser transferidos a un país con un nivel adecuado de protección y por tanto, que ofrezca las garantías necesarias para evitar vulneraciones, existe una lista de países previamente declarados “seguros” en materia de protección de datos, así como entidades estadounidenses adheridas a los principios de “puertos seguros”.

El conocimiento es la clave para una adecuada gestión de la información

Sentar las bases de estos 7 conceptos básicos, es fundamental para un adecuado cumplimiento de las obligaciones en materia de protección de datos de carácter personal.

Irene Blanco.-