La actual Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y se aplica a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento.
La ley distingue entre el responsable del fichero o tratamiento, que es toda persona física o jurídica que decida sobre la finalidad, contenido y uso del tratamiento, y el Encargado del tratamiento, que es la persona física o jurídica que trata datos personales por cuenta del responsable del tratamiento.
La ley contempla varios niveles de protección dependiendo del tipo de datos que se gestionen, y serán de nivel alto datos relativos a ideologías políticas, afiliaciones sindicales, creencias religiosas, origen racial, datos sobre la salud o la vida sexual; nivel medio: datos en la Hacienda Pública, solvencia patrimonial, etc; y nivel básico, datos del tipo nombre y apellidos, dirección, teléfono, DNI, número de la seguridad social, etc. Las obligaciones básicas que impone esta ley son:
a) Calidad de los datos: Los datos de carácter personal sólo se podrán recoger para su tratamiento cuando sean adecuados, pertinentes y no excesivos
b) Derecho de información en la recogida de datos: Los interesados a los que se soliciten datos personales deberán ser previamente informados de la existencia de un fichero, del carácter obligatorio o facultativo de su respuesta a las preguntas, de las consecuencias de la obtención de los datos o de la negativa a suministrarlos, de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición, y de la identidad y dirección del responsable del tratamiento.
c) Consentimiento del afectado: es necesario el consentimiento inequívoco del afectado
d) Seguridad de los datos: El responsable del fichero, y, en su caso, el encargado del tratamiento deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter
e) Deber de secreto: el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos
f) Comunicación de datos: los datos de carácter personal sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
g) Acceso a los datos por cuenta de terceros: La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento
Pero hay que tener en cuenta que el Reglamento (UE) 2016/679 comenzará a aplicarse el 25 de mayo de 2018.
El Reglamento se amplía a responsables y encargados no establecidos en la UE siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión.
El Reglamento introduce nuevos elementos, como el derecho al olvido y el derecho a la portabilidad. Destacar la expresa regulación de determinados derechos del interesado como son:
- Derecho al olvido: El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan.
- Derecho a la limitación del tratamiento: El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos.
- Derecho a la portabilidad de los datos: El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado.
El Reglamento tiene un carácter fuertemente preventivo (responsabilidad activa). Las empresas deben adoptar medidas como son:
- Protección de datos desde el diseño
- Protección de datos por defecto
- Medidas de seguridad
- Mantenimiento de un registro de tratamientos
- Realización de evaluaciones de impacto sobre la protección de datos
- Nombramiento de un delegado de protección de datos
- Notificación de violaciones de la seguridad de los datos
- Promoción de códigos de conducta y esquemas de certificación.
Deberá facilitarse amplia información al interesado, como por ejemplo, entre otras, la identidad y los datos de contacto del responsable y, en su caso, de su representante; los datos de contacto del delegado de protección de datos; los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento; los destinatarios o las categorías de destinatarios de los datos personales; el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo; etc.
Las empresas deberían revisar la forma en la que obtienen y registran el consentimiento y realizar un análisis de su actual sistema de tratamiento de datos y así determinar qué medidas han de aplicar y cómo hacerlo. Para ayudarle en adaptarse a las nuevas obligaciones en materia de protección de datos, consúltenos, en Emhe Legal le ayudaremos con todos los tramites.