Acerca de la LOPD ¿Qué es la LOPD? La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente su honor e intimidad personal y familiar. Por tanto, se regirá por la LOPD todo tratamiento de datos de carácter personal registrados en soporte físico. ¿En qué afecta la LOPD a un despacho profesional? La LOPD obliga a todas las empresas que tratan datos personales, sin distinción. Un despacho profesional, como cualquier empresa, tiene datos personales de clientes, proveedores y empleados. Por tanto, un despacho tiene un riesgo evidente respecto a la LOPD ya que: - Posee datos personales. - Presta servicios a sus clientes en los que trata los datos de éstos (fiscal, laboral, jurídico, etc.) Además, un despacho posee datos de alto riesgo (nivel alto): - Afiliaciones sindicales. - Retenciones IRPF por minusvalías. - Datos médicos de seguros. - Siniestros. - Datos de familiares. - Etc. Estos datos de nivel alto requieren la implantación de las medidas de seguridad exigidas por el Reglamento. El despacho debe tomar medidas de adecuación en tres grandes áreas: 1. Área Técnica: Adecuación de los Sistemas de Información en aspectos como controles de acceso, copias de seguridad, gestión de soportes, etc. 2. Área Organizativa: Redacción e implantación del Documento de Seguridad. 3. Área Jurídica: - Alta de ficheros en la Agencia de Protección de Datos. - Adecuación en la entrada y salida de datos en la empresa. - Cláusulas de confidencialidad para empleados. - Contratos para proveedores que realicen tratamiento. - Informar y obtener el consentimiento de sus clientes. - Contrato específico con sus clientes (punto importantísimo). ¿Qué obligaciones tiene un despacho profesional en relación con la LOPD? Normalmente, un despacho profesional tiene ficheros con datos personales relativos a clientes, proveedores y empleados. La posesión de estos ficheros conlleva una serie de Obligaciones para el despacho: - Declaración de los ficheros en la Agencia de Protección de Datos. - Redacción del Documento de Seguridad exigido por la ley, donde queda reflejada la política de seguridad respecto a la protección de datos. - Adecuación jurídica de contratos de clientes y proveedores donde se regule el tratamiento de los datos personales. - Regularización jurídica de cesiones de datos a terceros. - Regularización jurídica de la entrada de datos en la empresa. - Adecuación de la informática de la empresa en cuestiones como controles de acceso, copias de seguridad, gestión de soportes informáticos, etc. - Adecuación jurídica específica de contratos de proveedores como asesorías, gestorías, marketing, mailing, etc. ¿Cuáles son las áreas de riesgo de un despacho profesional respecto a la LOPD? El área de mayor riesgo para un despacho está relacionada con la posesión de datos de "nivel alto", que son los datos que hagan referencia a la ideología, religión, creencias, origen racial, salud o vida sexual de las personas afectadas, así como los que han sido recabados para fines policiales sin el consentimiento de éstas (art. 4.3 reglamento de seguridad). Estos datos están tipificados por la LOPD como especialmente protegidos y tratarlos implica un riesgo, siempre y cuando no exista adecuación. Según esto, las áreas más peligrosas suelen ser el área laboral y el área de seguros, ya que normalmente son las áreas en que se tratan datos personales al elaborar las nóminas o los contratos de seguros, por ejemplo. Además, aunque en menor medida, también es un área de riesgo la fiscal, ya que se recogen datos personales especialmente protegidos como pueden ser la afiliación sindical o el grado de minusvalía de un trabajador o un familiar, a efectos de calcular las retenciones del IRPF. Por tanto, los datos sensibles concretos que puede poseer un despacho son: - afiliaciones sindicales - minusvalías - datos médicos de seguros - siniestros - etc. ¿Es necesario un contrato que regule las relaciones entre el despacho profesional y sus clientes en el ámbito de la LOPD? El artículo 12 de la Ley Orgánica de Protección de Datos establece la obligación ineludible de celebrar un contrato por escrito que regule las cuestiones de la LOPD entre el despacho profesional y sus clientes. Este contrato es imprescindible (excepto en los casos en que se cuente con el consentimiento explícito de todas las personas afectadas por esta cesión de datos) para que el despacho pueda tratar los datos personales de terceros, ya que si no existe se considerará que dicho tratamiento se ha efectuado sin el consentimiento del afectado y, por tanto, se impondrá la sanción aplicable a las infracciones muy graves (multa de 300.506'05 a 601.012 euros). En el contrato, además, hay que hacer constar expresamente que se tratarán los datos personales de terceros. También hay que estipular las medidas de seguridad que el encargado del tratamiento está obligado a implementar ¿Deben adoptar los ficheros en soporte papel las medidas de seguridad establecidas en el reglamento de seguridad? El Real Decreto 994/99, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad, establece las medidas necesarias para garantizar la seguridad que deben reunir los ficheros automatizados. Por tanto, entendemos que este Reglamento no es aplicable a los ficheros en soporte papel. No obstante lo anterior, hay que tener presente que la presente Ley Orgánica 15/99, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) establece que los ficheros y tratamientos no automatizado deben adecuarse a la Ley -también en el cumplimiento de medidas de seguridad-, con la peculiaridad de que da un periodo de doce años a contar desde el 24 de octubre de 1995 para su adecuación, sin perjuicio del ejercicio de actualización, exactitud y puesta al día de los datos, de forma que respondan con veracidad a la situación actual del afectado. Así en la actualidad, la falta de una modificación en el desarrollo reglamentario impide hoy disponer de un marco que promueva las medidas seguridad adecuadas a los tratamientos no automatizados. En principio parecería lógico que el Gobierno modificase el actual Reglamento de Medidas de Seguridad para que dicho Reglamento se adaptase a la nueva Ley. En este sentido, respecto a los ficheros y tratamientos no automatizados, recomendamos, adoptar las medidas necesarias que garanticen la seguridad de los centros de tratamiento, locales y personas que intervengan en el tratamiento de los datos personales. ¿Qué grado de seguridad deberá ser aplicado al fichero de personal? Entendemos que el nivel de seguridad que deberá ser aplicado al fichero de nóminas dependerá de los datos que en el mismo se archiven y traten; normalmente sería de nivel bajo, pero si en el mismo se incluyen datos de "salud" del empleado, o datos de "afiliación sindical", el nivel de seguridad en tal caso debería ser alto, al tratarse éstos de datos especialmente protegidos (art. 7 LOPD). En relación con el tema de los datos de "salud", aparecen en estos ficheros más veces de lo que a simple vista pudiera parecer; a título de ejemplo, pueden citarse los datos relacionados con el porcentaje de discapacidad o minusvalía (que según legislación fiscal, se deben tener en cuenta en el cálculo de las retenciones a practicar en las nóminas), y que se encuentran inmediatamente relacionados con la salud de las personas. Otro ejemplo serían los casos en que, por normativa de Seguridad Laboral, y dependiendo del tipo de trabajo de que se trate, la empresa esté obligada a controlar estos datos para determinados colectivos de trabajadores; también en este caso se deberán observar las medidas de seguridad de nivel alto. ¿Puede considerarse un e-mail como dato personal? La Agencia de Protección de Datos entiende que, en los casos en que la dirección electrónica esté personalizada, ésta se considera un dato de carácter personal, de modo que únicamente puede incluirse en un tratamiento cuando ha consentido el afectado o bien concurren algunas de las excepciones legales. En el caso de que la dirección electrónica se componga de modo tal que no revele la identidad de aquel a quien corresponde, no tenga significado alguno o el significado no sea identificativo, no se considerará dato personal. No obstante, cuando se posee la dirección de correo electrónico (aunque ésta no revele la identidad de la persona a quien corresponde) junto con información concerniente a una persona física identificada o identificable, la dirección de correo electrónico quedará incluida en el ámbito de la Ley, de modo que la dirección electrónica tendrá carácter de dato personal. Así mismo, si además de poseer el correo electrónico de un visitante, nuestro servidor Web, a través de programas conocidos como "cookies", o a través de la pertenencia del usuario a determinados grupos de noticias y listas de distribución conocemos la frecuencia, temas y/o materias visitadas por éste, pudiendo de esta manera elaborar un perfil más o menos detallado del visitante, en este caso, sólo podrá incluirse toda esta información en un tratamiento de datos, cuando se ha consentido por el usuario o visitante o bien cuando concurra alguna de las excepciones legales. ¿Pueden considerarse las imágenes grabadas en videocámaras de vigilancia como datos de carácter personal? En relación a las videocámaras instaladas con el fin de controlar el acceso de personas a las instalaciones de una empresa, con fines de seguridad y vigilancia del propio establecimiento, la Agencia de Protección de Datos interpreta que las imágenes que se obtienen con las mismas sólo podrán ser consideradas datos de carácter personal en el caso que las mismas permitan la identificación de las personas que aparecen en dichas imágenes, no encontrándose bajo el ámbito de la vigente normativa de protección de datos en caso contrario. Aún en el caso de que la imagen de que se trate si pudiera considerarse como "dato personal", será necesario que las imágenes obtenidas se encuentren incorporados a un fichero en los términos definidos en la Ley Orgánica 15/99 de 15 de diciembre, para que en la obtención y tratamiento de tales datos deba cumplirse con las obligaciones previstas en la indicada Ley, es decir "todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso". Ello supone que en el supuesto en que las imágenes no sean objeto de una organización sistemática, con arreglo a criterios que permitan la búsqueda de las mismas a partir de los datos personales de una determinada persona, el archivo en que se contuvieran las cintas de vídeo referidas a dichas personas no será considerado fichero a efectos de la LOPD. Las matizaciones anteriormente señaladas resultan especialmente relevantes, dado que para el tratamiento de los datos de carácter personal incorporados a un fichero la LOPD establece que "el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa". En consecuencia la utilización de videocámaras para la vigilancia de las instalaciones será posible siempre que las mismas no sean incorporadas a un fichero, siendo preciso en caso contrario el consentimiento del afectado, de forma que debería comunicarse esta circunstancia a quienes pudieran aparecer en dichas imágenes. ¿Puede la empresa como tomadora del seguro de vida del empleado poseer información acerca de los datos de salud del trabajador? En la contratación de un seguro de vida y/o un seguro médico por la compañía para sus empleados, nos encontramos con la problemática legal en materia de protección de datos de determinar a que datos puede tener acceso la compañía en virtud de su posición de tomadora del seguro, y si entre estos datos cabe entender que se incluyen los de "salud" del trabajador. En estos casos, entendemos que el responsable de todos estos datos es la compañía aseguradora, única persona que debiera poseer y acceder a los datos de salud del empleado e identidad de los beneficiarios, adoptando las medidas de seguridad correspondientes. ¿Está habilitada una empresa para poseer datos personales de los familiares de un empleado? En relación a estos datos (datos del cónyuge e hijos) hay que tener en cuenta que son datos de terceros y que respecto a los mismos es preciso obtener el consentimiento del afectado o de su representante legal, sin perjuicio de que la empresa pueda estar obligada por Ley o habilitada por algún contrato, a obtener tales datos. En este sentido el artículo 6.1 de LOPD establece "el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa". ¿Debe eliminarse todo el expediente del empleado una vez ha causado baja en la empresa? En base a la vigente normativa de protección de datos de carácter personal, las empresas están obligadas a eliminar cierta información relativa a sus empleados una vez éstos han causado baja en la empresa. Si bien dicha normativa no determina con precisión los datos que deben ser eliminados, entendemos que deben ser todos aquellos que no sean necesarios o pertinentes para asegurar el cumplimiento de las obligaciones a las que las empresas vienen obligadas con posterioridad al cese de la relación contractual. Por consiguiente, solo deberán conservarse los datos con trascendencia laboral o tributaria. Entre estos datos figurarían la información relativa al régimen de cotización a la Seguridad Social y a la duración de la misma, datos fiscales o por ejemplo, en el caso de haberse producido el cese por despido, los propios de naturaleza legal o administrativa que permitan acreditar las causas del mismo. Estos datos deben conservarse de forma que puedan ponerse a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento durante el plazo de prescripción de estas. Cumplido el citado plazo deberá procederse a su supresión. ¿Pueden hacerse cesiones de datos de empleados, sin consentimiento de éste, a empresas de un mismo grupo? La pertenencia o existencia de un grupo no afecta al hecho de que las distintas sociedades que lo forman sean distintas personas jurídicas; por tanto, la comunicación de datos entre distintas empresas del grupo, si se produce, deberá estar justificada bien por la existencia de un consentimiento previo y concreto que autorice la transferencia, bien por la existencia de un contrato, determinándose en cada caso el tipo de transferencia de datos que se realiza, pudiendo quedar enmarcada ésta dentro del artículo 11 o 12 de la LOPD, sin que exista en la actualidad previsión legal que flexibilice los requisitos para legitimar la cesión entre empresas de un mismo grupo.