Implantación LOPD

Libera Digital brinda la posibilidad de adecuar su empresa para el cumplimiento de la Ley Orgánica de Protección de Datos (LOPD). El Reglamento (RLOPD) que la desarrolla obliga a empresarios, profesionales y entidades u organizaciones, a registrar la estructura de sus ficheros en la Agencia Española de Protección de Datos (AEPD) y a elaborar un Documento de Seguridad, con los procedimientos a seguir y las Cláusulas Legales oportunas, así como las medidas técnicas y organizativas necesarias para asegurar el nivel óptimo de protección de los ficheros y de los usuarios que los manejan.

Implantación LOPD

A quién va dirigido

 

A todas aquellas entidades públicas o privadas que recojan y traten datos de carácter personal. Estos datos pueden ser almacenados en bases de datos informatizadas y/o ficheros en papel, que hoy en día tienen todos los profesionales y empresas.

Infracciones y sanciones que impone la AEPD

De acuerdo con la modificación de la LOPD, introducida por la Ley 2/2011, de 4 de marzo, de Economía Sostenible, en su Disposición Final 56ª las infracciones se clasifican en leves, graves y muy graves. A continuación, se especifican en qué consisten cada una de ellas y cuáles son las sanciones que acarrean.

Infracciones LEVES y sanciones

  • No atender por motivos formales a la solicitud del interesado de rectificación o cancelación de los datos, cuando legalmente proceda. El responsable está obligado a hacer efectivo este derecho en el plazo máximo de 10 días desde que recibe la solicitud.
  • No proporcionar colaboración a la APD sobre aspectos no sustantivos de la protección de datos, necesarios para el desempeño de sus funciones.
  • No solicitar la inscripción del fichero (sin que haya sido requerido por el Director de la APD).
  • Proceder a la recogida de datos de los afectados sin informar a los interesados de la existencia del fichero; del carácter obligatorio o facultativo de las respuestas a las preguntas que le sean formuladas, así como de las consecuencias de la negativa a responder; de sus derechos y de la identidad y dirección del responsable del fichero.
  • Incumplir el deber de secreto, salvo que constituya infracción grave.
Sanción de 601,01 a 60.101,21 €

Infracciones GRAVES y sanciones

  • Crear ficheros públicos o proceder a la recogida de datos sin autorización de una disposición general publicada en el BOE o en el Diario oficial correspondiente.
  • Crear ficheros privados o proceder a la recogida de datos con una finalidad diferente de la que constituya el objeto legítimo de la empresa (datos pertinentes, adecuados y no excesivos).
  • Proceder a la recogida de datos sin el consentimiento expreso de los afectados cuando sea necesario (no se requiere el consentimiento expreso: cuando los datos se recojan para el ejercicio de las funciones propias de la Administración; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de datos tenga por finalidad proteger un interés vital del interesado; y cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o del tercero a quien se comuniquen los datos).
  • Tratar o usar los datos conculcando los principios y garantías establecidos en esta Ley, cuando no constituya infracción muy grave.
  • Impedir u obstaculizar el ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información solicitada por el interesado (el interesado tiene derecho a solicitar y obtener información sobre sus datos que figuren en ficheros y a oponerse al tratamiento de los mismos con fines de prospección comercial y de publicidad).
  • Mantener datos inexactos o no efectuar las rectificaciones y cancelaciones que legalmente procedan.
  • La vulneración del deber de secreto cuando se refiera a ficheros que recogen datos sobre la comisión de infracciones penales o administrativas, de la Hacienda pública, de servicios financieros, de prestación de servicios de solvencia patrimonial y crédito y, en general, que contengan un conjunto de datos suficientes para obtener una evaluación de la personalidad del individuo.
  • Mantener los ficheros sin las debidas medidas de seguridad.
  • No remitir a la APD las notificaciones previstas en esta Ley o sus disposiciones de desarrollo y los documentos e informes que ésta les requiera.
  • La obstrucción al ejercicio de las actuaciones inspectoras.
  • No inscribir el fichero en el Registro de Protección de Datos cuando haya sido requerido por el Director de la APD.
  • Incumplir el deber de información al afectado cuando los datos se hayan obtenido de una persona distinta. Cuando la información se obtiene de un tercero el interesado debe ser informado de forma expresa dentro de los tres meses siguientes al registro de los datos. Asimismo, en los casos de prestación de servicios sobre solvencia patrimonial y créditos podrá pedir información sobre los datos, evaluaciones y comunicaciones efectuadas en los seis meses anteriores. Si proceden de fuentes accesibles al público hay que informar del origen de los datos, de la identidad del responsable y de los derechos que asisten al afectado.
Sanción de 60.101,21 a 300.506,05 €

Infracciones MUY GRAVES y sanciones

  • La recogida de datos de forma engañosa y fraudulenta (por medios desleales, fraudulentos e ilícitos).
  • La comunicación o cesión de datos fuera de los casos en que esté permitido (a un tercero sin el consentimiento del interesado). La APD podrá acordar la inmovilización de los ficheros.
  • Recabar y tratar datos especialmente protegidos (ideología, afiliación sindical, religión y creencias) sin consentimiento expreso del interesado. Se exceptúan los ficheros de este tipo mantenidos por los partidos políticos, sindicatos, iglesias, confesiones y comunidades religiosas, asociaciones, fundaciones y otras entidades sin ánimo de lucro, en cuanto a los datos de sus miembros o asociados. Si se ceden a un tercero se requiere consentimiento expreso del interesado.
  • Recabar y tratar datos especialmente protegidos (origen racial, salud y vida sexual) cuando no lo disponga una ley o el interesado no haya consentido expresamente.
  • Crear ficheros con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, creencias, religión, origen racial o étnico y vida sexual.
  • No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido por el Director de la APD o por las personas titulares del derecho de acceso. Si el requerimiento no fuese atendido la APD podrá inmovilizar los ficheros.
  • La transferencia temporal o definitiva de datos de carácter personal que hayan sido tratados o recogidos con finalidad de ser destinados a países que no otorguen un nivel de protección equivalente al nuestro (se necesita autorización del Director de la APD).
  • Tratar los datos de forma ilegítima o sin respetar los principios y garantías que sean de aplicación cuando se vulnere algún derecho fundamental (sobre todo honor e intimidad personal y familiar).
  • La vulneración del deber de secreto cuando los datos revelen la ideología, la afiliación sindical, la religión, las creencias, el origen étnico o racial, la salud y la vida sexual.
  • No atender u obstaculizar de manera sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.
  • No atender de forma sistemática el deber legal de notificación de la inclusión de los datos en fichero.
Sanción de 300.506,05 a 601.012,10 €