La ley de Protección de Datos de Carácter Personal en la empresa

Transcripción

1 legislación La ley de Protección de Datos de Carácter Personal en la empresa Las empresas están cada vez más concienciadas de las ventajas que el cumplimiento de la normativa española de protección de datos puede aportar a su gestión, aunque sin olvidar por completo el temor a las sanciones, que pueden ser desde un mero apercibimiento hasta multas de euros. En la web de la AEPD ( pueden consultarse los ficheros de titularidad pública y privada inscritos en el Registro General de Protección de Datos 26 Las principales pautas que deben seguir las empresas para cumplir con la ley de Protección de Datos de Carácter Personal (LOPD), obligatoria desde 1999, son la inscripción de los ficheros de carácter personal en el Registro General de Protección de Datos (RGPD) de la Agencia Española de Protección de Datos (AEPD); la aplicación de las medidas de seguridad que correspondan a esos ficheros, así como la previa redacción de un documento de seguridad interno que recoja los procedimientos de seguridad que deben implantarse, y la obtención y utilización legítima de los datos personales mediante cláusulas legales y contratos. Tomás Soler, socio director de Global Vision Consulting, manifiesta que más allá del acatamiento inicial de las medidas estipuladas en la ley, es fundamental que la empresa comprenda y asimile esas obligaciones como un proceso de mejora continua, que requiere actualizaciones y revisiones periódicas de los procedimientos. No olvidemos que el cumplimiento de la LOPD se consigue con la aplicación diaria de los requisitos que fija la ley y que normalmente su incumplimiento se produce en situaciones excepcionales o particulares. La formación a nuestro personal puede ser un factor esencial para la correcta aplicación de la ley en la operativa diaria de la empresa, advierte. Un mayor cumplimiento Según la AEPD, el número de empresas que se adecuan a la normativa de protección de datos es cada vez mayor, y un indicador que lo constata es el aumento del número de ficheros inscritos en el RGPD. Los datos del 2010 reflejan un crecimiento del 31% respecto al año anterior, superando ampliamente los dos millones de ficheros inscritos ( ficheros de titularidad privada y de titularidad pública). Despuntan los ficheros inscritos que tienen como finalidad declarada la gestión de clientes, contable, fiscal y administrativa, seguidos de los ficheros de recursos humanos y de gestión de nóminas. Asimismo, aquellos cuyo objeto es la videovigilancia se vieron incrementados en el 2010 por nuevos ficheros, alcanzando una cifra global de Por comunidades autónomas, la que presenta un mayor número de ficheros notificados, tanto públicos como privados, es Cataluña con , seguida de Madrid con , y en tercer lugar, Andalucía con Otro aspecto recogido en la Memoria 2010 de la AEPD es el descenso del montante total de las sanciones económicas, que en el 2010 fue de 17,4 millones de euros, lo que

2 radiografía empresarial Novedades en el régimen sancionador de la LOPD La ley de economía sostenible, en vigor desde el pasado mes de marzo, ha introducido modificaciones en el régimen sancionador de la LOPD que Tomás Soler resume así: Aumento de la cuantía mínima de las sanciones, pasando de 601,01 a 900 euros, y disminución de las graves, de ,01 a euros. Incorporación de la figura del apercibimiento como alternativa y paso previo a la sanción en casos de infracciones leves o graves sin antecedentes previos por parte del infractor, de forma que permite a la empresa la adopción de medidas correctoras. Ampliación de los casos que pueden graduar y atenuar las sanciones, como el volumen de negocio del infractor, el grado de intencionalidad, la reiteración, el lucro obtenido con la infracción o el hecho de que la empresa tuviese implantados procedimientos adecuados de protección de datos con anterioridad y se hubiese producido un error puntual. Para Soler, estas modificaciones tratan de incentivar los mecanismos de advertencia y seguimiento para lograr un cumplimiento real por parte de las empresas, y aportan mayor seguridad jurídica a la empresa y precisión en la aplicación de la normativa de protección de datos. Quién puede denunciar? Cualquier ciudadano que considere vulnerados sus derechos respecto a sus datos de carácter personal por parte de una empresa puede denunciarla ante la Agencia Española de Protección de Datos. Tomás Soler explica que, en la práctica, las denuncias suelen provenir de los propios clientes de la empresa y por motivos diversos como el envío de publicidad o la cesión de datos a terceros sin consentimiento previo, los errores de seguridad que hacen públicos datos de clientes y la desatención de los derechos de acceso, oposición, rectificación o cancelación de datos. Igualmente, otro grupo de riesgo para las empresas son los propios empleados. representa una caída del 30% respecto al año anterior (que contrasta con el incremento del 8% de los procedimientos sancionadores). La razón principal se encuentra en la relevancia de la videovigilancia como primer sector en número de resoluciones sancionadoras, cuyas infracciones más frecuentes son las leves, y en el hecho de que habitualmente son sancionadas personas físicas y pymes sobre los que concurren criterios de atenuación de las sanciones previstos en la ley. También ha incidido el número de casos en que se ha apreciado una disminución cualificada de la responsabilidad de los infractores, que ha permitido modular a la baja la imposición de sanciones, como por ejemplo, que la entidad imputada hubiera regularizado la infracción de forma diligente en un tiempo prudencial desde el conocimiento de los hechos. Del mismo modo, las sanciones que crecieron más en el 2010 fueron las calificadas como leves (aumento del 62,5%) y disminuyeron las muy graves (descenso del 45%) y graves (descenso del 14%). De todas estas circunstancias, la AEPD observa una mejora del cumplimiento de la LOPD al incrementarse los expedientes archivados, reducirse las infracciones muy graves y disminuir la culpabilidad cuando se comete una infracción. Facilidades para la empresa La AEPD desarrolla iniciativas para hacer más sencilla la adecuación de las empresas a la LOPD. En este sentido, el sistema de notificaciones telemáticas (NOTA) permite, de forma gratuita, notificar ficheros a la agencia a través de internet. Otra herramienta es EVALÚA, un programa sencillo, anónimo y gratuito gracias al cual las empresas pueden autoevaluar su grado de cumplimiento de la LOPD. Este autotest on line responde a las dudas a las que habitualmente se enfrentan quienes manejan datos personales y emite un informe personalizado con recomendaciones para cada caso concreto. La agencia también dispone de numerosas guías específicas para facilitar el cumplimiento de la ley, como la Guía de seguridad de los datos, la Guía del responsable del fichero o la Guía de videovigilancia, y otras de carácter genérico, como la Guía del derecho fundamental a la protección de datos de carácter personal. 27

3 legislación Entrevista a Esther Mitjans, directora de la Autoridad Catalana de Protección de Datos: La protección de datos se tiene que ver como una oportunidad, no como un obstáculo En Cataluña, el número de solicitudes de inscripción de ficheros de titularidad privada ha aumentado, desde el 2008 hasta el 2010, un 83,9%. Por el contrario, los procedimientos sancionadores han ido disminuyendo. Mientras que en el año 2009 se iniciaron 71, en el 2010 tan solo Esther Mitjans Qué beneficios le aporta a una empresa cumplir con la LOPD? El ciudadano es cada vez más consciente de la importancia de proteger sus datos personales y, a menudo, el movimiento de información que se produce entre las empresas le hace sentir vulnerable. La adecuación de la empresa al nuevo reglamento de la LOPD transmite un mensaje de confianza a los clientes o usuarios que han facilitado sus datos para cualquiera de los servicios o productos que ofrece. Cumplir con la LOPD aporta la seguridad y garantías de que los datos e información personal utilizados están protegidos. Están las empresas realmente concienciadas de las ventajas de la ley o acostumbran a actuar más por temor a las sanciones? Cada día son más conscientes de la importancia de cumplir con la normativa, ya que solo les aporta beneficios, al margen de las sanciones que se imponen para asegurar su correcto cumplimiento. Las empresas necesitan asegurar a sus clientes que tratan adecuadamente su información personal y notifican los ficheros de datos de carácter personal. La cifra de inscripción de ficheros de titularidad privada ha ido creciendo progresivamente desde el 2008, año en el que se produce el mayor registro de ficheros de titularidad privada al entrar en vigor la nueva normativa que incluye los ficheros de entidades privadas que gestionan funciones públicas dentro de nuestro ámbito de competencia. Podría decirse que la implantación de la LOPD en las empresas está ya en fase de madurez? Qué grado de cumplimiento hay por parte de grandes empresas y pymes? Vemos que la madurez y el grado de cumplimiento de las empresas están relacionados con el grado de conocimiento de los ciudadanos en las tecnologías y en los riesgos y ventajas que suponen. Y observamos también un nivel de aplicación desigual en función del sector. En el ámbito sanitario y de las administraciones públicas es donde se advierte una madurez más elevada por el tipo de datos que tratan en el primer caso, y por la accesibilidad y transparencia que han de tener los poderes públicos en el segundo. Pero la protección de datos se tiene que ver como una oportunidad, no como un obstáculo, ya que la información es uno de sus activos más importantes. Con frecuencia, las empresas desconocen el verdadero valor económico de los datos que tratan. Los datos personales permiten perfiles personales muy detallados, un activo importantísimo para el marketing personalizado actualmente tan relevante. Cuáles son los incumplimientos más frecuentes de las empresas? Habitualmente nos encontramos ante problemas de cesiones de datos a empresas de un mismo grupo, incumplimientos del derecho de información sobre la finalidad de la recogida de datos o ausencia de las medidas de seguridad adecuadas. Por lo que hace referencia a la videovigilancia, destaca la falta de creación e inscripción de ficheros y la elaboración de La recomendación de Esther Mitjans Tenemos que trabajar más de manera preventiva aplicando la privacidad diseñada (privacy by design), que consiste en incorporar medidas de seguridad y privacidad en el momento en que se diseñan los productos y servicios que necesitan del tratamiento de datos personales, y no después, lo cual supone un coste más alto y una menor eficacia.

4 radiografía empresarial Sede de la Autoridad Catalana de Protección de Datos carteles informativos para el ejercicio de los derechos que corresponden a los afectados. La LOPD establece obligaciones de seguridad y confidencialidad de la información que las empresas han de respetar, tanto en el ámbito off line como a través de internet. Pero, es así en la práctica? Sí. Cada vez más, las autoridades de control ejercen su actividad sobre las empresas para que cumplan con la normativa vigente en la materia, tanto en el ámbito off line como on line, y aportan orientaciones que facilitan que los datos personales sean convenientemente tratados y se mantengan indemnes a pesar de coyunturas económicas desfavorables. Cómo está regulada la protección de datos fuera de la Unión Europea? Casi todos los países tienen su legislación y su autoridad de protección de datos correspondiente. Países tan diversos como Australia, Uruguay o Canadá son un ejemplo. Estados Unidos no tiene una legislación específica que garantice unos niveles de protección de datos similares a los exigidos por Europa. El 26 de julio de 2010, la Comisión de la Unión Europea y el departamento de Comercio de Estados Unidos ampliaron el acuerdo Puerto seguro, al que las empresas norteamericanas se pueden adherir y mediante el cual estas pueden obtener el certificado de cumplimiento de los requisitos de la Comisión. Casos prácticos Por Norman Heckh, director del área de Derecho en Tecnologías de la Información y las Comunicaciones de Deloitte Abogados y Asesores Tributarios La empresa expositora de una feria recibe a visitantes en su stand. El visitante debe firmar un documento conforme consiente a la empresa expositora el uso de sus datos? Teniendo en cuenta que en el marco de la feria la empresa podría llegar a recabar datos, tanto de personas de contacto en otras empresas (datos que podrían encontrarse excluidos del ámbito de aplicación de la LOPD en virtud de su artículo 2.2) como de particulares, debemos partir de la base de que en virtud de lo dispuesto en la LOPD, el tratamiento de los datos de carácter personal requiere el consentimiento inequívoco del afectado salvo que la ley disponga otra cosa. En términos generales, la normativa distingue entre consentimiento expreso, que resulta preciso, por ejemplo, para el tratamiento de datos especialmente protegidos o el envío de comunicaciones comerciales por vía electrónica, y consentimiento tácito (previa concesión al interesado de un plazo de 30 días hábiles para oponerse al tratamiento), el cual es válido para cualquier otro tratamiento de datos y para el envío de comunicaciones comerciales a clientes sobre productos y servicios del remitente similares a los inicialmente adquiridos. Si bien el consentimiento expreso ha de plasmarse generalmente por escrito, en alguna ocasión se ha llegado a admitir que se manifieste de otra forma, como por ejemplo, mediante la entrega de una tarjeta de visita en la que conste una dirección de correo electrónico. Por todo ello, sin perjuicio de que la empresa tendría que cumplir con el deber de información respecto del tratamiento de datos personales de particulares previsto en el artículo 5 de la LOPD, en principio, no sería obligatorio aunque sí muy recomendable a efectos de prueba que el visitante firmase un documento consintiendo expresamente el uso de sus datos personales por parte de la empresa, siempre y cuando fuesen a ser objeto de tratamiento para fines de comercialización de los productos o servicios ofrecidos por esa empresa. Depende de si la feria se celebra en España, la Unión Europea o fuera de ella? Las previsiones de la ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI) relativas al envío de comunicaciones comerciales por medios electrónicos podrían ser de aplicación a entidades establecidas en el extranjero. Del mismo modo, también serían de aplicación en lo que respecta al tratamiento por parte de la empresa (responsable del tratamiento) de los datos personales de los visitantes del stand para otras finalidades como el envío de comunicaciones comerciales por correo postal, cuando: a) El tratamiento de datos personales se efectúe en el marco de las actividades de un establecimiento del responsable del tratamiento, siempre que el mismo se encuentre ubicado en territorio español. b) El responsable del tratamiento no esté establecido en territorio español pero le sea de aplicación la legislación española según las normas de derecho internacional público. 29

5 legislación Stand de FELAC en el salón Hostelco 2010 c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que esos medios se utilicen solo con fines de tránsito. En sentido contrario, en el caso de que no nos encontrásemos en ninguno de los supuestos referidos, en principio, resultaría de aplicación la normativa de protección de datos del país donde se celebre la feria. Pero un expositor español que acuda a una feria celebrada fuera de nuestro país con el fin de recabar datos personales de potenciales clientes y tratarlos posteriormente en su establecimiento situado en España para fines comerciales no debería obviar en ningún caso el cumplimiento de la normativa de protección de datos española, aunque en origen también resultase inicialmente de aplicación la legislación del país en que tuvo lugar la feria. Así, y como recomendación, en la propia recogida de datos se deberá informar expresamente sobre la aplicación de la ley española adicionalmente a lo que pueda establecer la normativa local. La hotelería es, junto a la enseñanza o la sanidad, uno de los sectores de mayor riesgo en el tratamiento de los datos personales. A diferencia de otros negocios, qué debería considerar un hotel? 30 Un hotel debería tener en cuenta que en su actividad diaria trata numerosos datos personales de personas físicas identificadas e identificables, los cuales se encuentran sometidos a las obligaciones previstas en la LOPD y en su reglamento de desarrollo (RLOPD), como son: Datos de los trabajadores del hotel. Datos de los candidatos que remiten su currículum vitae. Datos de clientes (huéspedes y usuarios de los servicios del hotel, alojamiento, restaurante, spa, guardería, etcétera). Datos de potenciales clientes (personas interesadas en utilizar los servicios del hotel y cuyos datos podrían ser tratados incluso para el envío de comunicaciones comerciales). Datos de personas cuya imagen es captada por las cámaras de videovigilancia ubicadas en las instalaciones del hotel para garantizar su seguridad. Otros. Igualmente, entre las principales obligaciones que deberán cumplir las empresas del sector hotelero en materia de protección de datos de carácter personal podemos destacar las siguientes: Deber de notificación previa de los ficheros de datos personales a la Agencia Española de Protección de Datos (AEPD). Deber de información al afectado respecto del tratamiento de datos personales. Deber de obtención del consentimiento del afectado para el tratamiento (por ejemplo, con fines de publicidad) y cesión de sus datos personales, cuando sea necesario. Deber de actualización y cancelación de los datos cuando dejen de ser necesarios. Deber de secreto y confidencialidad por parte de empleados y colaboradores, principalmente en lo que respecta a los datos de los huéspedes que pudiesen alojarse en el hotel. Suscribir contratos de encargado del tratamiento con aquellos terceros que puedan tener acceso a los datos personales para prestación de un servicio a la empresa. Cumplimiento de los requisitos legales aplicables a los flujos de información que pudiesen existir entre los distintos hoteles integrantes de una misma cadena o grupo hotelero. Deber de atender las solicitudes de derechos de acceso, rectificación, cancelación y oposición (ARCO) ejercitadas por los interesados. Adopción de las medidas de seguridad que correspondan de acuerdo con los criterios previstos en el RLOPD.

6 radiografía empresarial Archivo de núñez i navarro hotels Hotel Jazz en Barcelona Por nuestra experiencia en este sector, existen determinadas peculiaridades o problemáticas específicas a tener en cuenta en cuanto al tratamiento de datos personales por parte de los hoteles: Cumplimiento del deber de información previsto en la LOPD con relación a aquellos clientes del hotel que sean extranjeros. La AEPD recomienda, a efectos de poder acreditar, si se diera el caso, que el interesado pudo comprender adecuadamente el tratamiento de datos personales respecto del cual el hotel le estaba solicitando su consentimiento en el momento de recoger sus datos personales, que la información se facilite, además de en castellano, al menos en inglés. Cumplimiento del deber de información en lo que respecta a la posible cesión de los datos personales de los clientes a favor de las Fuerzas y Cuerpos de Seguridad del Estado cuando sea necesario. Cumplimiento del deber de información respecto de los solicitantes de reservas cuyos datos personales sean recabados por el hotel por vía telefónica (por ejemplo, mediante el establecimiento de una cuña o argumentario telefónico). Asimismo, con relación a las reservas que no llegasen a materializarse, es importante destacar que, salvo que ya fuesen clientes o bien se hubiese solicitado su consentimiento previo para el tratamiento de sus datos con fines comerciales o promocionales, estos deberían ser convenientemente cancelados. Necesidad de establecer clausulados legales claros y precisos que garanticen la adecuada obtención del consentimiento expreso por escrito de los afectados para poder proceder al tratamiento de datos personales especialmente protegidos de los clientes (por ejemplo, datos de salud relacionados con alergias o intolerancias alimenticias, datos de religión relacionados con los alimentos que consume o no, datos relativos a las dolencias o tratamientos médicos de rehabilitación seguidos por clientes de hoteles con spa, balneario o servicios conexos relacionados con la salud y el bienestar, etcétera). Cumplimiento con el principio de proporcionalidad e información en el tratamiento de imágenes derivadas de instalación de cámaras de videovigilancia en las instalaciones del hotel. En cuanto a los servicios de guardería y afines en los que se pudiesen recoger datos personales de menores de edad, hay que destacar que el RLOPD exige el consentimiento de los padres o tutores legales en el caso de menores de 14 años. El hotel debe, además, articular procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado, en su caso, por sus padres, tutores o representantes legales. Asimismo, la información dirigida a los menores deberá expresarse en un lenguaje que sea fácilmente comprensible por ellos. Adecuada regulación desde el punto de vista de protección de datos personales de todos los flujos de información del hotel, tanto entrantes como salientes. En este sentido, es muy frecuente que en el sector hotelero se recaben datos personales de huéspedes directamente de agencias de viajes u operadores turísticos, entre otros, sin que, por tanto, hayan sido facilitados por el interesado. En ese caso, tampoco hay que olvidar la necesidad de cumplir con el deber de información al interesado prevista en la LOPD al que podrá darse cumplimiento, por ejemplo, si los terceros cedentes de los datos garantizan que han informado adecuadamente a los interesados de la cesión de sus datos personales al hotel en cuestión. Si el hotel tratase imágenes de clientes para fines promocionales, debería tener en cuenta que, además de recabar la correspondiente cesión de derechos de imagen, debería obtener el consentimiento previo de los afectados para el tratamiento y posterior difusión de su imagen. 31