Los datos personales son aquellos que permiten identificar de manera directa o indirecta la identidad de una persona física en cualquier ámbito. Bajo la denominación de “protección de datos” se incluye todo un sistema de técnicas informáticas y jurídicas destinadas a afianzar los derechos que tienen las personas sobre el manejo de su información personal, así como de su carácter confidencial, integridad y su disponibilidad.
¿Qué instrumentos legales se encargan de regular la protección de datos?
La protección de datos se encuentra regulada por la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales 3/2018 y por el Reglamento General de Protección de Datos 2016/679, empleado en toda la Unión Europea
La Ley Orgánica de Protección de Datos y su contenido
Dicha ley regula todos los datos personales respecto a los terceros, quienes solo podrán utilizarlos para el propósito que los interesados hayan establecido. Al hablar de protección se hace referencia al necesario seguimiento y aplicación de todas las medidas de seguridad y protocolos consagrados en la Ley.
Tiene como objeto por tanto asegurar la protección de los datos personales, la libertad pública y los derechos fundamentales de las personas relacionados con su honor, intimidad y vida personal y familiar.
¿Qué tipo de datos están regulados por la Ley Orgánica de Protección de Datos?
Se encuentra regulado cualquier dato de naturaleza personal que tenga relación con una persona física, bien sea identificada o identificable. Desde sus nombres y apellidos, pasando por su DNI, números de cuenta bancarios, titulaciones académicas, condición de discapacidad fotografías y grabaciones de voz, entre varias otras.
El carácter público o privado de los documentos no tiene relevancia para la aplicación de la Ley Orgánica de Protección de Datos, ya que lo realmente importante es la finalidad con la que se emplean estos. Por ejemplo, utilizar un fichero o una lista de personas para actividades particulares o domésticas no encaja dentro de la aplicación de la ley; por el contrario, si dicha lista es utilizada para la difusión de información relacionada con los individuos, se encontrará sujeta a la LOPD.
¿Cuáles son las obligaciones que establece la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales?
En primer lugar, esta ley busca adaptar mediante su contenido, las normas españolas de protección de datos al Reglamento General de Protección de Datos.
Obliga además a llevar un seguimiento o registro de todo el manejo de datos personales que lleve a cabo una determinada entidad, cuya nómina de empleados supere las 250 personas o en aquellos casos en que se trate información sensible.
Por otra parte, integra el bloqueo de datos, significando esto la imposibilidad de usar datos bloqueados para cualquier finalidad, con excepción de cualquier uso específico de carácter judicial o administrativo.
Uno de los puntos más controversiales de esta ley lo supone la posibilidad de que los partidos políticos puedan recopilar y almacenar datos personales en el transcurso de sus actividades electorales, con fines políticos o partidistas.
Se consagra el derecho a la desconexión digital, por medio del cual se busca garantizar la intimidad personal y familiar fuera del tiempo de trabajo dispuesto convencionalmente.
¿Qué tipo de infracciones y sanciones se encuentran en la LOPD?
Las infracciones se clasifican en tres categorías: leves, graves y muy graves, pudiendo alcanzar las sanciones entre los 10 y 20 millones de euros o el 2 y 4% del volumen anual global del negocio. Las infracciones leves prescriben al transcurrir un año y se relacionan con la falta de transparencia en la información y a los incumplimientos simples en cuanto a la gestión de datos personales.
Las infracciones graves se refieren a las faltas en cuanto a la adopción de las medidas necesarias para la protección de datos, así como a la recaudación de datos sin previo consentimiento.
Las infracciones muy graves están relacionadas con el uso indebido de los datos para actividades distintas a las acordadas o a las exigencias de pago para acceder a los datos personales almacenados.
¿De qué se trata el RGPD (o Reglamento General de Protección de Datos)?
Se trata de la disposición normativa que regula la materia del manejo de datos personales en la Unión Europea. Tiene como objetivo la mejora sustancial de la protección y control de todos los datos personales de las personas físicas en aquellas situaciones en que son controlados por empresas o entidades.
¿Qué objetivos plantea el RGPD?
Propone dar un nivel mayor de protección a los datos personales de los involucrados y a la vez procurar que estos tengan un mayor control sobre su información. Además también plantea como objetivo un incremento en las garantías de cumplimiento por parte de las organizaciones, al exigir que éstas sean lo suficientemente proactivas en la materia de protección de datos, fomentando la adopción de todas las medidas técnicas y organizativas que aseguren tanto la confidencialidad como la disponibilidad de cualquier dato.
¿En qué casos se aplica el RGPD?
El RGPD será aplicado en aquellos casos en que una entidad o empresa deba manipular datos personales.
Por el contrario, no tendrá aplicación cuando se trate de ficheros de uso personal, que estén sometidos a normas de protección de materias clasificadas o cuando estos estén relacionados con investigaciones de terrorismo o delincuencia organizada.
¿Cómo podría una empresa aplicar el RGPD?
Las empresas deben abarcar todos los requisitos a seguir al momento de aplicar el RGPD, los cuales están encaminados al adecuado control y gestión de los datos personales. Tales requisitos pueden ser:
1) Establecer a un responsable del manejo de datos y cumplimiento de la normativa.
2) Exigir que se informe a los interesados sobre las cuestiones relacionadas con sus datos y el cumplimiento de las normas.
3) Realizar un análisis de riesgos, con la finalidad de determinar que peligro supondría el manejo de los datos personales de un individuo.
4) Evaluar el impacto que pueda tener el tratamiento masivo de datos o de ciertas categorías especiales que puedan implicar algún riesgo para los interesados.
5) Llevar un registro de las actividades de tratamiento y gestión de los datos.
6) Fijar medidas organizativas y de seguridad en cuanto al manejo de los datos.
7) Exigir el consentimiento expreso cuando se pretenda llevar a cabo el tratamiento de cualquier dato personal.
8) Establecer un aviso legal y políticas de privacidad.
