PROTECCIÓN DE DATOS : ASPECTOS BÁSICOS

[Tecniloco]

En relación a un post donde se consultaba sobre un módulo de pago mediante tarjeta (Off-Line) he creido conveniente crear éste mensaje donde se describe el cumplimiento de las obligaciones que la Ley Española exige y las repercusiones económicas que nos puede causar su desconocimiento o la no aplicación de la misma.

¿ De qué hablamos al referirnos a protección de datos ?

Nos referimos con tal expresión al cumplimiento de las obligaciones que la Ley exige en el sentido de las cautelas, medidas y acciones que hemos de aplicar en todo aquello concerniente al tratamiento - a través de Internet o fuera de la red - de cualquier dato de carácter personal que poseamos de terceras personas, físicas, y que alberguemos en nuestros ordenadores o bases de datos. Están excluidas por tanto las personas jurídicas ( empresas, entidades, instituciones, ... ) pero no los datos de las personas físicas. Tampoco hay que aplicar la ley cuando tales datos los poseamos con una finalidad puramente doméstica ( como los datos que poseamos de nuestras amistades en una agenda electrónica, por ejemplo ).

¿ Cuáles serían las obligaciones básicas ?

Por un lado, tenemos que inscribir en el Registro General de Protección de Datos, sito en Madrid, la existencia de los ficheros de datos que poseamos. Dicho trámite se puede hacer a través de Internet, aunque hay también que remitir en formato papel - a través de Correos basta - determinada documentación. Cuando hablamos de inscribir los ficheros no nos referimos a comunicar el contenido concreto del mismo, sino el nombre de dichos ficheros, qué tipo de datos tiene, y su estructura, aparte de otras circunstancias más.

Por otro lado, hemos de elaborar, y aplicar, el llamado documento de seguridad, el cual contendrá las medidas de seguridad que tendremos que aplicar, con la finalidad siempre de impedir el acceso no autorizado por parte de alguien a dichos datos. Tales medidas de seguridad serán variables, dependiendo del tipo de datos, y así unas serán más estrictas que otras, al igual que las sanciones en caso de incumplimiento serán más severas a mayor sea el nivel de seguridad incumplido.

A su vez, hemos de facilitar a los titulares de dichos datos el ejercicio de determinados derechos, siendo los más básicos los de acceso, cancelación, oposición y rectificación en relación a los mismos, advirtiéndoles también de la posibilidad legal que tienen de ejercitar los mismos.

Y por último, no hemos de olvidar tampoco la obligación que recae sobre el titular del fichero en relación a realizar una auditoría de protección de datos cada dos años, con la finalidad de comprobar la adecuación a la Ley de las medidas de seguridad y demás obligaciones recogidas en la normativa existente al respecto.

¿ Qué sanciones puede haber en caso de incumplimiento ?

En su grado máximo podrían llegar a 600.000 euros - cien millones de pesetas -, y en el mínimo comenzaría su tramo en 600 euros, pudiendo llegar a 60.000 euros - diez millones de pesetas -.

Ejemplo de infracción grave que podría originar la apertura de un procedimiento sancionador que terminase con la imposición de una sanción grave podría ser, por ejemplo, que en datos referentes a la salud, ideología, religión, creencias, origen racial o vida sexual, al enviarlos por la red no lo hiciésemos usando para ello técnicas de cifrado o encriptación, o cualquier otro método o mecanismo que impida que durante su tránsito o viaje por la red dicha información sea inteligible o manipulada por terceros.

Ejemplo de infracción de grado medio - sanciones de 60.000 a 300.000 euros ( 10 a 50 millones de pesetas ) podría ser la consistente en que teniendo en nuestros ordenadores datos de tipo de servicios financieros, o referentes a sanciones administrativas - una mera multa de tráfico o de hacienda lo es - no hayamos realizado la auditoría que prevé la Ley.

Y ejemplo de infracción leve lo sería la no realización de la inscripción en Registro General de Protección de Datos, previsto en la Ley Orgánica de Protección de Datos.
Posible responsabilidad por mal elección del hosting

En más de una ocasión, el empresario de Internet, a la hora de contratar un servicio de hosting, para alojar su página web o portal, suele buscar la oferta más económica, sin fijarse en sus posibles consecuencias negativas. Decimos esto porque no es infrecuente que movidos por el ahorro económico inmediato, más de uno contrate el hosting con una empresa USA, y en tal caso, si dicho sitio web tratase datos de carácter personal de sus usuarios, sin saberlo, por desconocimiento de la Ley, estaría llevando a cabo lo que técnicamente se denomina transferencia internacional de datos, para la cual exige la Ley la autorización previa del Director de la Agencia de Protección de Datos, y en caso de incumplimiento se consideraría infracción grave, por lo que más comentarios sobran a dicho respecto.

La posible solución a ello pasa por la elaboración de determinados contratos entre el empresario y la empresa titular del servidor en el extranjero, debiéndose también de llevar a cabo determinados registros de los mismos, comprometiéndose ambos a respetar y aplicar toda la normativa española, lo cual en la práctica no se realiza, simplemente por desconocimiento, incurriendo en un riesgo extremo en caso de de aperturarse el correspondiente procedimiento sancionador por la APD.