Artículo: Estudio sobre la Privacidad de los Datos Personales
La Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, y el RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD, tienen por finalidad proteger los datos de carácter personal y los derechos fundamentales de privacidad e intimidad de las personas físicas.
Según la LOPD "datos de carácter personal" son cualquier información concerniente a personas físicas identificadas o identificables. Se entenderá por dato de carácter personal cualquier información que nos aporte datos sobre una persona concreta o que mediante esa información podamos identificar.
El organismo encargado de velar por el cumplimiento de la legislación en materia de protección de datos es la Agencia Española de Protección de Datos, ente de Derecho Público que se relaciona directamente con el Gobierno a través del Ministerio de Justicia, pero con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones.
La legislación en materia de protección de datos impone la adopción de las llamadas “medidas de seguridad” para toda empresa, entidad o profesional que maneje datos de carácter personal (nombre, apellidos, dirección…) y el cumplimiento de una serie de principios de protección de datos.
El incumplimiento de las medidas impuestas por la Ley puede derivar en sanciones cuantiosas que pueden ir desde 601 hasta 601.000 euros, a través de dos vías diferentes:
- Inspección de oficio.
- Reclamación de un tercero (trabajador, extrabajador, clientes, contacto, etc.).
Podemos deducir que la LOPD obliga a:
- PYMES,
- Autónomos de todo tipo,
- Comunidades de Propietarios,
- Asociaciones,
- Clínicas...
El objetivo de la ley es la protección del derecho al honor y a la intimidad de las personas, por lo que, en función de la “sensibilidad” de los datos que se recojan, variarán los niveles de protección exigidos por la ley. Se distinguen tres niveles:
- • Nivel alto: se incluyen en este nivel los datos referidos a las ideologías políticas, afiliaciones sindicales, creencias religiosas, origen racial, datos sobre la salud o la vida sexual.
- • Nivel medio: se incluyen aquí los datos referidos a la comisión de infracciones administrativas o penales, servicios financieros, solvencia patrimonial o crédito (ficheros de morosos e impagados), datos en la Hacienda Pública, datos de los que se extraiga la personalidad de un sujeto (gustos, aficiones, estilo de vida, etc.)
- • Nivel básico: este nivel englobará el resto de datos; nombre y apellidos, dirección, teléfono, DNI, número de la seguridad social, fotografías, firmas, correos electrónicos, datos bancarios, edad y fecha de nacimiento, sexo, nacionalidad, etc.
¿Por qué cumplir con la LOPD?
En primer lugar, para garantizar que nuestro negocio se encuentra dentro de las exigencias legales, ya que de lo contrario podrían verse afectadas nuestras relaciones comerciales futuras.
También tenemos que considerar el posible coste para el profesional si ocurre una pérdida de datos personales confidenciales, por fallos informáticos, incendios o inundaciones, pudiendo incurrir incluso en responsabilidades civiles, competencias desleales, etc.
Además si no se cumple con esta Ley nos podemos enfrentar a importantes sanciones económicas, que repercutirán negativamente en nuestro negocio, por lo que si estamos dudando entre implantar o no la LOPD, debemos tener en cuenta que el coste de no implantarla puede ser mucho mayor que si no lo hacemos.
El cuerpo de inspectores de la AEPD, que tienen la consideración de autoridad pública en el desempeño de sus funciones, puede realizar una inspección de oficio o a partir de una denuncia.
La cuantía de las sanciones se calcula teniendo en cuenta factores como los daños y perjuicios causados a las personas interesadas y a terceras personas, la naturaleza de los derechos personales afectados, el grado de intencionalidad, beneficios obtenidos, así como otras circunstancias que se consideren relevantes en cada caso.
A continuación enumeramos unas de las muchas resoluciones que dicta la Agencia de Protección de Datos, imponiendo graves sanciones económicas:
RESOLUCIÓN: R/02134/2009
Hechos: En el Procedimiento Sancionador PS/00216/2009, instruido por la Agencia Española de Protección de Datos a una empresa dedicada a la administración de Fincas y Comunidades, por la entrega a los propietarios que asistieron a la Junta de Propietarios de un listado con los nombres y apellidos y los códigos completos de las Cuentas Bancarias de los propietarios que tienen domiciliado el abono de la cuota a la Comunidad.
El Director de la Agencia Española de Protección de Datos resolvió:
IMPONER a la empresa de administración de fincas, por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 6.000 €, de conformidad con lo establecido en el artículo 45.1. y 4 de la citada Ley Orgánica.
RESOLUCIÓN: R/00992/2010
Hechos: En el Procedimiento Sancionador PS/00108/2010, instruido por la Agencia Española de Protección de Datos a una COMUNIDAD DE PROPIETARIOS por la instalación de una cámara de videovigilancia, sin consentimiento de los propietarios ni realización de asamblea general de vecinos para la adopción del acuerdo de la instalación. Asimismo no ha sido señalizada la zona que cubre la cámara ni los accesos al lugar y está conectada a Internet, teniendo cualquier persona acceso a la misma en todo momento.
El Director de la Agencia Española de Protección de Datos resolvió:
IMPONER a la COMUNIDAD DE PROPIETARIOS, por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 2.500 €, de conformidad con lo establecido en el artículo 45.2.4 y 5 de la citada Ley Orgánica.
RESOLUCIÓN: R/00420/2013
Hechos: Envío de correos en el que figuran las direcciones de correos de aproximadamente 430 personas, por empresa dedicada a la explotación de salones de peluquería y belleza.
El Director de la Agencia Española de Protección de Datos resolvió:
IMPONER a empresa, por una infracción del artículo 10 de la LOPD, tipificada como grave en el artículo, una multa de 2.000 €, de conformidad con lo establecido en el artículo 45.2.4 y 5 de la citada Ley Orgánica.
RESOLUCIÓN: R/02248/2010
Hechos: Abandono de documentación de carácter particular en vía pública por empresa dedicada a actividades jurídicas.
Fallo: Infracción del Art.9 LOPD, tipificada como grave, con multa de 4.000 €.
Aplicación de la Ley de Servicios de la Sociedad de la Información
Para cumplir con la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI), que tiene como objeto la regulación del régimen jurídico de los servicios de la sociedad de la información y de la contratación por vía electrónica, todo sitio web ha de poner a disposición de los destinatarios del servicio y de los órganos competentes (salvo aquellos que se limiten exclusivamente al ámbito doméstico o de actividades personales no económicas) un mínimo de información de forma permanente, fácil, directa y gratuita.
La LSSI, en este sentido, establece tanto a los proveedores de servicios de intermediación, como a las empresas que ofrecen sus productos y a los ciudadanos que posean una página web, las reglas necesarias para que el uso y disfrute de esta red, así como la posible actividad económica generada en torno a la compra y venta de todo tipo de productos y servicios, sea una experiencia positiva, segura y confiable.
¿Quiénes están sujetos a la Ley?
Las personas que realicen actividades económicas por Internet u otros medios telemáticos (correo electrónico, televisión digital interactiva...), siempre que:
• La dirección y gestión de sus negocios esté centralizada en España o,
• posea una sucursal, oficina o cualquier otro tipo establecimiento permanente situado en territorio español, desde el que se dirija la prestación de servicios de la sociedad de la información.
Se presumirán establecidos en España y, por tanto, sujetos a la Ley a los prestadores de servicios que se encuentren inscritos en el Registro Mercantil o en otro Registro público español en el que fuera necesaria la inscripción para la adquisición de personalidad jurídica.
La utilización de un servidor situado en otro país no será motivo suficiente para descartar la sujeción a la Ley del prestador de servicios. Si las decisiones empresariales sobre el contenido o servicios ofrecidos a través de ese servidor se toman en territorio español, el prestador se reputará establecido en España.
¿A qué obliga la LSSI?
Las exigencias básicas son las siguientes:
* Notificar al correspondiente registro mercantil en el que se este inscrito, el nombre de dominio que utilice para prestar el servicio a través de Internet.
* Facilitar determinados datos de manera que estén siempre accesibles en su página web:
- Denominación social.
- Domicilio social.
- Dirección de correo electrónico o teléfono donde se pueda contactar.
- Datos de inscripción mercantil.
- N.I.F.
- Autorización administrativa (si lo requiere la actividad).
* Información clara y detallada de los servicios que se ofrecen a través de la página web. En el supuesto en que se comercialice un servicio o producto, además se deberá detallar claramente el precio, y si se incluye impuestos o gastos de envío. Además se deberá regular en un contrato que recoja las condiciones generales de la venta.
* Solicitud de permiso (autorización expresa del destinatario) para el envío de ofertas publicitarias por medio del correo electrónico.
* Además se deberán cumplir las exigencias legales en materia de publicidad, comercio minorista y protección de datos personales.
Sanciones
Las sanciones tienen una elevada cuantía. Dichas sanciones dependen de la infracción cometida.
Se dividen en:
• Las sanciones leves van hasta 30.000 €.
• Las sanciones graves van desde 30.001 a 150.000 €.
• Las sanciones muy graves van desde 150.001 a 600.000 €.
Nuria González Martínez. - Abogada.