La protección de datos (III). Obligaciones y sanciones.

 

protecciondatos51º).- Obligaciones del responsable de un fichero privado.

Las personas, empresas o entidades privadas de cualquier tipo que pretendan crear legítimamente ficheros que contengan datos de carácter personal, deben cumplir una serie de formalidades que son las siguientes:

a).- Notificación e inscripción del fichero. Con carácter previo a la creación de un fichero de datos de carácter personal, la persona que pretenda crearlo debe comunicarlo a la Agencia de Protección de Datos. Por otra parte, una vez creado también debe notificarse a la Agencia cualquier cambio que afecte a la finalidad del fichero, al responsable del mismo o a su ubicación física. Una vez notificado y si cumple lo establecido en la Ley, el fichero quedará inscrito en la Agencia de Protección de Datos.

b).- Medidas de Seguridad y redacción del Documento de Seguridad. El Responsable del Fichero y, en su caso, el Encargado del Tratamiento de los datos, deberán adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos, de forma que se evite su alteración, pérdida, tratamiento o acceso no autorizado. Las medidas que se adopten deben ser acordes con el estado de la técnica en cada momento, con la naturaleza de los datos de carácter personal almacenados en los ficheros y con los riegos a que estén expuestos tales datos, ya sean riesgos procedentes de la acción humana o del medio natural.

Las medidas de seguridad que se adopten deben constar en el llamado Documento de Seguridad que debe redactar el Responsable del Fichero.
c).- Contrato de autorización de tratamiento de datos por terceros. En aquellos casos en que sea necesario el acceso a los datos de carácter personal por parte de terceras personas distintas del Responsable del Fichero o del Encargado del Tratamiento, como consecuencia de la prestación de un servicio profesional o empresarial que realice dicho tercero a favor del Responsable del Fichero, es necesario que ambas partes (Responsable del Fichero y Tercero) celebren un contrato autorizando dicho acceso así como las condiciones del mismo.

El contrato deberá constar por escrito o por cualquier medio que permita acreditar su celebración y contenido.

El contrato deberá contener al menos las siguientes disposiciones:

  • Que el tratamiento de los datos por parte del tercero autorizado se hará siempre conforme a las instrucciones que indique el Responsable del  Tratamiento.
  • Que no se utilizarán los datos por el tercero para fines distintos de los que figuren en el propio contrato.
  • Que los datos no se comunicarán por el tercero autorizado a ninguna otra persona, ni siquiera para su conservación.
  • Que el tercero autorizado debe establecer las medidas de seguridad de los datos que establece la Ley de Protección de Datos de Carácter Personal.

Una vez cumplida la finalidad establecida en el contrato, el tercero autorizado deberá devolver los datos y cualquier soporte o documento en que consten tales datos.

d).- Auditoría bianual. Si se trata de ficheros que exijan medidas de seguridad de nivel medio o alto atendida la naturaleza de los datos almacenados en los mismos, ha de hacerse al menos cada dos años una auditoría interna o externa de los sistemas de información que contienen los datos de carácter personal, así como del grado de cumplimiento de lo dispuesto en el Reglamento de Medidas de Seguridad de los Ficheros. Para los ficheros que requieran medidas de seguridad de nivel bajo la Ley no exije auditoría.

 

2º).- Infracciones y sanciones.

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal tipifica una serie de infracciones por incumplimiento de las obligaciones establecidas en la misma. Las infracciones pueden ser leves, graves o muy graves.

Son infracciones leves:

  1. No remitir ala Agencia Española de Protección de Datos las notificaciones previstas en la Ley o en su Reglamento.
  2. No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos.
  3. El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos sean recabados del propio interesado.
  4. La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de la Ley de Protección de Datos.

Son infracciones graves:

  1. Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el “Boletín Oficial del Estado” o diario oficial correspondiente.
  2. Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo.
  3. Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave.
  4. La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la Ley.
  5. El impedimento o la obstaculización del ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
  6. El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos no hayan sido recabados del propio interesado.
  7. El incumplimiento de los restantes deberes de notificación o requerimiento al afectado impuestos por la Ley y sus disposiciones de desarrollo.
  8. Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.
  9. No atender los requerimientos o apercibimientos dela Agencia Españolade Protección de Datos o no proporcionar a aquélla cuantos documentos e informaciones sean solicitados por la misma.
  10. La obstrucción al ejercicio de la función inspectora.
  11. La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en la Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave.

Son infracciones muy graves:

  1. La recogida de datos en forma engañosa o fraudulenta.
  2. Tratar o ceder los datos de carácter personal a los que se refieren los apartados 2, 3 y 5 del artículo 7 de la Ley, salvo en los supuestos en que la misma lo autoriza o violentar la prohibición contenida en el apartado 4 del artículo 7.
  3. No cesar en el tratamiento ilícito de datos de carácter personal cuando existiese un previo requerimiento del Director dela Agencia Española de Protección de Datos para ello.
  4. La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director dela Agencia Española de Protección de Datos, salvo en los supuestos en los que conforme a la Ley y sus disposiciones de desarrollo dicha autorización no resulta necesaria.

Por otra parte, las sanciones que impone la Ley según el tipo de infracción cometida son las siguientes:

  • Infracciones leves: multa de 900 a 40.000 euros.
  • Infracciones graves: multa de 40.001 a 300.000 euros.
  • Infracciones muy graves: multa de 300.001 a 600.000 euros.

Las infracciones que la Ley tipifica prescriben por el transcurso de los plazos que se expresan a continuación, que comenzarán a correr desde el día en que se cometió la infracción de que se trate:

  • Infracciones leves: Un año.
  • Infracciones graves: Dos años.
  • Infracciones muy graves: Tres años.

 

Anuncios


Categorías:Nuevas Tecnologías

Etiquetas:

A %d blogueros les gusta esto: