El pasado 19 de abril entraba en vigor el esperado Reglamento de Protección de Datos aprobado por el Real Decreto 1720/2007 de 21 de diciembre. La Protección de Datos de Carácter Personal es un derecho constitucional reconocido en el artículo 18 de nuestra Carta Magna y recogido en la Ley Orgánica 15/1999 de 13 de diciembre.
El avance en la protección de datos es ostensible, puesto que según el barómetro del CIS, un 70% de los ciudadanos está preocupado por la protección de datos y el uso de información personal por otras personas.
La protección de los derechos de carácter personal de los ciudadanos es cada vez mayor. En este sentido, la Agencia Española de Protección de Datos (AEPD) ha sancionado por primera vez la grabación y difusión de imágenes a través de YouTube, tomadas por vecinos de la calle Montera de Madrid, ya que se identificaba a los transeúntes e incumplía el principio de consentimiento que establece la ley, salvo en las excepciones que contempla la propia norma, y como consecuencia se les va a imponer una multa.
En la vida diaria estamos habituados a facilitar nuestros datos de carácter personal, cuando abrimos una cuenta en el Banco, cuando se va al médico, cuando se paga con tarjeta, cuando se realizan reservas por internet, etc.
¿Pero a qué nos estamos refieriendo con “Dato de carácter personal”? La Ley establece que se refiere a aquella información concerniente a personas físicas identificadas o identificables, siendo los datos personales por excelencia el nombre, los apellidos, y el domicilio, pero también los son aquellos relacionados con la ideología, la afiliación sindical, la religión, el origen racial o la salud. Existen otras cuestiones más controvertidas y que han sido suscitadas en los Tribunales, como el DNI, una fotografía, la huella dactilar, los números de teléfono, el ejercicio de una profesión, etc.
¿A qué se extiende la protección de los datos de carácter personal? La Ley establece que se refiere al tratamiento de los datos que estén incluidos en un fichero, es decir el soporte físico, ya sea una base de datos, un programa informático etc, ya sea automatizado, o manual, siendo ésta última una novedad del Reglamento recientemente entrado en vigor. En este sentido, los armarios, archivadores y demás elementos de almacenamiento, deberán disponer de mecanismos adecuados de cierre que impidan el acceso a la documentación por personas no autorizadas para velar por la protección de los datos.
Ahora bien, determinado ficheros quedan excluidos, como los de uso privado, como por ejemplo un tarjetero o listín telefónico para uso personal, así como otros supuestos como los relacionados con la investigación del terrorismo u otras formas de delicuencia organizada.
En este sentido los datos tienen que ser de calidad, el ciudadano tiene que tener derecho a la información, es necesario el consentimiento del afectado, se debe preservar la seguridad de los datos, existe un deber de secreto por parte del responsable del fichero.
¿A qué se extiende la responsabilidad del encargado del fichero? En una empresa, hay ficheros de los proveedores, de los clientes, en un centro educativo son responsables de los datos de los alumnos, o en un centro deportivo lo serán de sus clientes, por lo tanto en todos aquellas entidades que ostenten ficheros para uso no privado quedan dentro del ámbito de aplicación de la Ley, con las excepciones que en la misma se establecen.
¿Ahora bien qué derechos ostentan los ciudadanos sobre sus datos? Es el reconocimiento al ciudadano del derecho o la facultad de controlar sus datos personales y la capacidad de disponer y decidir sobre los mismos.
Estos se materializan de la siguiente forma: derecho de información en la recogida de datos, derecho de consulta al registro general de protección de datos, derecho de acceso, derecho de rectificación, derecho de cancelación, derecho de oposición.
En este sentido se ha introducido una importante novedad. Así, por ejemplo, establece que el responsable deberá facilitar a los afectados un medio sencillo y gratuito (medio prefranqueado, llamada gratuita, envío de correo electrónico) para negar su consentimiento en el proceso de recogida.
Igualmente, los responsables de los ficheros deben establecer un medio que no les reporte ningún ingreso para que los afectados puedan revocar su consentimiento, es decir que no se podrá exigir el envío de cartas certificadas.
¿Cuántas veces ha recibido en su domicilio folletos publicitarios, y se ha preguntado cómo habrán obtenido su dirección? El envío masivo de comunicaciones comerciales es una de las actividades que más ha sido sancionado. Una de las principales novedades es que las entidades que subcontraten la realización de campañas de prospección comercial tendrán la obligación de asegurarse de forma diligente de que el encargado de realizar la campaña haya recabado los datos cumpliendo las exigencias establecidas en la LOPD. Por lo tanto si se encarga la campaña publicitaria a una empresa de marketing, el cliente será responsable del envío realizado por su proveedor.
Otras de las novedades destacables del Reglamento, es la aclaración del nivel de seguridad de los ficheros, pasando de un nivel básico de seguridad al nivel medio los ficheros de las mutuas de accidentes de trabajo y de enfermedades profesionales de la Seguridad Social, aquellos datos que por sus características permitan deducir su comportamiento. Pasan a un nivel alto los derivados de la violencia de género. Además, si todos aquellos que estén incluidos en el nivel alto de seguridad se incorpora la obligación de cifrarlos si se encuentran almacenados en dispositivos portátiles.
Por otra parte, se establecen ciertas especialidades para facilitar la implantación de medidas de seguridad pasando de un nivel alto a bajo datos especialmente protegidos como ideología, afiliación sindical, raza etc, cuando sólo se utilicen para el pago de cuotas a las entidades de las que los titulares de los datos sean miembros o bien aquellos que no guarden relación con la finalidad del fichero, o simplemente por el cumplimiento de deberes públicos. Esto va a favorecer principalmente a las empresas de menos tamaño.
Estas son algunas de las principales novedades del Reglamento de Protección de Datos, cuyo objetivo principal es la preservación de un derecho fundamental. En el caso que cualquier ciudadano lo considere vulnerado tiene que hacerlos valer, puesto que existen, cada vez más mecanismos de protección y sancionadores para aquellos que lo vulneren.