Supuestos de no aplicación de la LOPD

Como hemos dicho anteriormente, no todos los datos de personas físicas sometidos a tratamiento o incorporados a un fichero están sujetos al régimen legal de protección de datos. Por tanto, la normativa de protección de datos no será de aplicación:

- A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.

- A los ficheros sometidos a la normativa sobre protección de materias clasificadas.

- A los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada.

Por otra parte, determinados tratamientos se regirán por sus disposiciones específicas. Se trata de los ficheros regulados por la legislación de régimen electoral; los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación estatal o autonómica sobre la función estadística pública; los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificación a que se refiere la legislación del régimen del personal de las Fuerzas Armadas; los derivados del Registro Civil y del Registro Central de penados y rebeldes; los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia.

Una de las novedades que incorpora el Reglamento de desarrollo de la Ley Orgánica de protección de datos es la exclusión, bajo ciertas condiciones, de su aplicación a los datos de las definidas como personas de contacto y, por consiguiente, no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.

En ningún caso esta exclusión supone no aplicar la LOPD a los ficheros de personal. El Reglamento plantea una excepción a la aplicación de las normas que garantizan el derecho a la protección de datos y por ello debe interpretarse en sentido estricto y de modo restrictivo. Para ello deben cumplirse varios requisitos:

- Que los datos tratados se limiten efectivamente a los meramente necesarios para identificar al sujeto en la persona jurídica a la que presta sus servicios. Cualquier tratamiento que contenga datos adicionales a los citados, por ejemplo el DNI, se encontrará plenamente sometido a la LOPD. Igualmente, y por razones obvias, nunca podrá considerarse que se encuentran excluidos de la Ley Orgánica los ficheros del empresario respecto de su propio personal, en que la finalidad no será el mero contacto, sino el ejercicio de las potestades de organización y dirección que a aquél atribuyen las leyes.

- La finalidad del tratamiento debe perseguir una relación directa entre quienes traten el dato y la entidad y no entre aquéllos y quien ostente una determinada posición en la empresa. De este modo, el uso del dato debería dirigirse a la persona jurídica, siendo el dato del sujeto únicamente el medio para lograr esa finalidad como puede ocurrir en las comunicaciones dirigidas a la empresa que, simplemente, incorporan el nombre de la persona como medio de representar gráficamente el destinatario de la misma.

Pero cuidado y muy importante, todo lo anterior no afecta en absoluto a las previsiones de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE) de modo que los principios que rigen el envío de comunicaciones comerciales por medios electrónicos se aplican tanto a personas físicas como jurídicas, y entre ellas, las personas de contacto.

Datos personales

La Ley Orgánica de Protección de Datos tiene por objeto garantizar y proteger los derechos de las personas en lo que concierne al tratamiento de los datos personales. Por ello, por tratar datos personales deben cumplirse con las previsiones y principios de la Ley.

A efectos de la LOPD los datos personales son aquellos que permiten identificar a una persona. El Reglamento amplía el concepto de manera que podemos definir dato personal como cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.

¿Y qué entendemos por persona identificable? Aquélla cuya identidad no es conocida pero es susceptible de llegar a serlo mediante la utilización de procedimientos y medios fácilmente realizables. Lo importante no es que el dato sea íntimo o no, sino que mediante un tratamiento del mismo se pueda identificar a una persona.

Estos datos que incorporan información de carácter personal han de estar registrados en un soporte físico, que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar y recuperar datos.

Casi todas las legislaciones de protección de datos han excluido de su ámbito de aplicación a las personas jurídicas, argumentando que la protección de estas personas se encuentra mejor encuadrada en el derecho de sociedades, en las legislaciones sobre patentes y marcas, en la defensa de la competencia, en los derechos de autor y en otras varias.

Por consiguiente, a efectos de la legislación de protección de datos, los datos se consideran relevantes sólo en la medida en que se den las circunstancias reseñadas:

a) ha de tratarse de datos de persona física identificada o identificable registrados en soporte físico,

b) que los haga susceptibles de tratamiento total o parcialmente automatizado o no automatizado

c) si estos datos están contenidos o destinados a ser incluidos en un fichero.

Por tanto, en sentido contrario, un dato no sometido a tratamiento o no susceptible del mismo, o que no esté destinado a ser incluido en un fichero queda fuera del ámbito de aplicación de la LOPD.

Protección de datos en la Pyme

Tras la entrada en vigor hace unos años de la Ley Orgánica de Protección de Datos personales (LOPD) y el Reglamento que la desarrolla, prácticamente la totalidad de las empresas que desarrollan sus actividades en España y tengan ficheros han de adaptarse a dicha normativa. El organismo encargado de velar por su cumplimiento es la Agencia de Protección de Datos que aplica con rigor las sanciones previstas en la Ley que, en algunos casos, pueden llegar a ser verdaderamente ejemplares y, por consiguiente, demoledoras para el normal funcionamiento económico de la empresa por el considerable importe de las multas que impone. 

Vamos a tratar en esta etiqueta del blog de informaros semanalmente sobre las líneas generales de esta cuestión.

Para que una empresa adapte sus sistemas de información a la Normativa sobre protección de datos ha de seguir una serie de etapas:

1. Identificar los ficheros con datos de carácter personal.

2. Notificar los ficheros con datos personales a la Agencia de Protección de Datos.

3. Designar a un responsable de seguridad.

4. Identificar los riesgos de seguridad que pueden afectar a cada fichero.

5. Elaborar el Documento de Seguridad para cada fichero o grupo de ficheros de un mismo nivel de seguridad.

6. Poner en la práctica los procedimientos y medidas descritos en cada Documento de Seguridad.

7. Revisar los incidentes de seguridad, analizar sus causas y aplicar las medidas correctoras precisas.

8. Auditar el funcionamiento de las medidas establecidas en cada Documento de Seguridad.

Seguro que a alguno de mis seguidores ya le ha entrado el pánico al ver todo lo que hay que hacer para adaptar su empresa a la normativa de protección de datos. Desde aquí trataremos de limitar ese miedo y de concienciaros de que la normativa de protección de datos debe formar parte de nuestras vidas.

Protección de datos

Recientemente le ha llegado a un cliente mío una resolución de la Agencia Española de Protección de Datos que paso a comentar.

El origen de la denuncia es la remisión por parte de mi cliente de una comunicación comercial, vía email, que no contaba con el consentimiento del destinatario. Además, éste denunciaba que no se le facilitaban los medios adecuados para darse de baja en la lista de suscripción, que no se le explicaba satisfactoriamente cómo habían obtenido tanto su dirección como su consentimiento ni el tratamiento de datos aplicado a su posible inclusión en una base de datos.

La Agencia de protección de datos le comunica a mi cliente que estamos ante una posible infracción del artículo 21.1 de la LSSICE y que lleva aparejada una multa que puede ascender a 30.000€. Así, sin anestesia.

Alegamos, entre otros argumentos, y probamos que fue un error, que se habían facilitado medios para oponerse y que la dirección se obtuvo para mantener una relación comercial. Aún así, notifican una propuesta de sanción de 600 euros. Ciertamente la cuantía es bastante inferior a la posible multa por la supuesta infracción y nos ratificamos en nuestras alegaciones.

A finales del mes pasado nos llega la notificación por la cual se nos comunica que se resuelva archivar el procedimiento sancionador y sin multa.

Este ha sido un caso con final feliz, pero debemos tener mucho cuidado con los emails que enviamos y sobre todo a quiénes, ya que puede haber destinatarios de nuestros correos que no actúen de buena fe.