50
n
Julio 2007Toma Nota - legIslACIÓN
L
a existencia y el contenido de la Ley 15/1999 de 13 de diciembre y el Real Decre- to 994/1999 de 11 de junio (Reglamento de Seguridad), así como de la normativa comunitaria de la que provienen, son prácticamente desco- nocidos por las pequeñas empresas y los profesionales liberales. En estas lí- neas nos proponemos aportar algo de luz en la materia, ya que el incumpli- miento de lo dispuesto en la normati- va aplicable puede conllevar la impo- sición de sanciones con una orquilla que oscila entre los 600 y 600.000 euros, dependiendo de la gravedad de la infracción.En primer lugar indicaremos que la Ley obliga a notificar a la Agencia de Pro- tección de Datos y a registrar en el Re- gistro General de Protección de Datos, la existencia, finalidad y uso de ficheros que contengan datos de carácter per- sonal de personas físicas. Estos ficheros son todos aquellos que genera el tráfico
mercantil, tales como, clientes, nóminas, proveedores o publicidad.
La obligación antes aludida de notifi- car los ficheros es, desde el 14 de ene- ro, una obligación real para todos los ficheros que se encuentren automa- tizados (como por ejemplo una base de datos de Access), existiendo aún un período de prorroga para los ficheros tratados en el denominado soporte pa- pel (hasta el 24 de octubre de 2007).
Finalizaré el apartado de la notifica- ción comentando que se debe realizar una notificación por cada fichero que se posea, y que todo cambio posterior a ésta en la información en él conte- nida, así como la supresión del mismo, ha de ser puesta en conocimiento de la Agencia de Protección de Datos.
En cuanto a la naturaleza de los datos tratados, la ley dispone tres niveles: bá- sico, medio y alto. Hablamos de nivel básico cuando nos referimos a datos de
Carlos Mateu Barroso
Abogado PROMEIN
La PROtECCIóN
dE datoS dE CaRáCtER
PERSONAL
Una legislación aún poco conocida
carácter identificativo (nombre, domici- lio, teléfono....) y de todos aquellos que no se encuentren recogidos en los nive- les alto (datos sobre religión, ideología, origen racial, salud o vida sexual) o de nivel medio (datos sobre servicios finan- cieros, sanciones administrativas...). Y es en este punto donde hay que tener una especial diligencia, ya que por ejemplo en principio una nómina sería califi- cada como de nivel bajo, salvo que en ella aparezcan datos como la afiliación sindical, el grado de minusvalía, deduc- ciones por aportaciones a confesiones religiosas, o por poner un último ejem- plo, si preguntamos a un cliente por sus Hobbies podría contestarnos que asistir los domingos a las reuniones de su con- gregación, con lo que poseeríamos datos sobre religión, que como ya menciona- mos se encuentran recogidos en el nivel de protección alto.
La diferencia entre los tres niveles re- feridos, lo es a los efectos de estable- cer las medidas de carácter técnico, informático y organizativo que eviten que los datos puedan ser consultados, modificados, alterados o suprimidos por personas ajenas a la empresa, o dentro de la misma por usuarios que no tengan acceso a esos datos. Lógi- camente cuanto mayor sea el nivel de protección, mayores serán las medidas a adoptar, por lo que resulta impor- tante, siguiendo las palabras de la Ley, delimitar los datos personales que
La ley distingue tres niveles de protección según la naturaleza de los datos: básico,
medio y alto
8
52
n
Julio 2007son imprescindibles para gestionar la prestación del servicio.
Para ello se debe elaborar y poner en práctica un documento de seguridad con carácter previo a la notificación del fichero, que ha de contener unos requi- sitos mínimos, tales como, las obligacio- nes del personal, un sistema de contrase- ñas que sólo permita acceder al sistema a los usuarios previamente autorizados y sólo para los datos que necesiten para la realización de sus funciones (un comer- cial no tiene por qué acceder a los datos de facturación de clientes), un sistema de copias de seguridad, registros de entrada y salida de soportes informáticos, regis- tro de incidencias, o el nombramiento de un responsable de seguridad.
Con la misma finalidad se establece para el titular de fichero y para los usuarios del mismo un deber de se- creto profesional sobre los datos en él consignados, obligación que se man- tiene una vez suprimido el fichero o extinguida la relación laboral.
Finalizaré refiriéndome a las relacio- nes que han de regir entre el titular del fichero y las persona físicas cuyos datos son tratados.
En primer lugar mencionaré que para recabar los datos se necesita el consen- timiento expreso e inequívoco del afec- tado, siendo la prestación de éste válida mediante cualquier procedimiento ad- mitido en Derecho, con lo que valdría el consentimiento tácito o presunto. No obstante se hace exigible incluir una leyenda en los formularios, folletos, co- rreos electrónicos, páginas Web o cupo- nes de recogida de datos que informe al usuario de la existencia del fichero, el uso y tratamiento que recibirán sus da- tos y cómo y dónde ejercer los derechos que la legislación les otorga.
Estos derechos son los de acceso, rec- tificación y cancelación de sus datos personales, tanto si nos encontramos en el supuesto de voluntad de supre- sión, tanto como si los datos no son
exactos y correctos, ya que la Ley exi- ge la veracidad y actualidad de la in- formación tratada. El ejercicio de estos derechos ha de realizarse conforme a un procedimiento preestablecido que deberá resolverse por parte del titular del fichero incluso cuando no se po- sean datos personales de ese afectado en concreto, pudiendo únicamente librarse de esa obligación si la comu- nicación del afectado contiene un de- fecto de forma conforme al procedi- miento antes aludido.
A modo de recapitulación podríamos enumerar las siguientes obligaciones:
notificación e inscripción de cada fi- chero en la Agencia de Protección de Datos, elaboración y puesta en prac- tica con carácter previo a ésta, de un documento de seguridad con medi- das de carácter técnico y organizativo, informar a los afectados con carácter previo al tratamiento de datos, recabar su consentimiento expreso y cursar sus derechos cuando los ejerzan.
Asimismo señalar que de conformidad con la Ley de Protección de Datos, a la hora de gestionar los préstamos hi- potecarios de los clientes compradores es obligatorio que el solicitante
En todos los formularios o folletos de recogida de datos se debe informar al usuario de cómo puede ejercer los derechos que
la legislación le otorga.
854
n
Julio 2007del préstamo hipotecario autorice al intermediario inmobiliario:
1.- A que sus datos personales y/o económicos facilitados se incluyan en nuestros archivos y/o ficheros automatizados.
2.- A ceder a las entidades bancarias y/
o de crédito los datos y documen- tos necesarios, que nos ha facilita- do, para la obtención o aprobación de cualquier tipo de préstamo per- sonal o hipotecario.
3.- Al uso y tratamiento de sus da- tos, hacer uso de los mismos, a fin de efectuar por sí o por terceros a quien expresamente designemos en los organismos públicos o pri- vados que consideremos pertinente efectuar consultas sobre: solvencia patrimonial, situación crediticia y jurídica con la misma finalidad an- teriormente señalada.
Igualmente se ha de informar a los solicitantes, de sus derechos de acceso, rectificación, cancelación, oposición, revocación de consentimiento y uso de datos total o parcialmente.
Por último, es necesario hacer constar que en el supuesto de que el clien- te comprador no haya autorizado a la agencia inmobiliaria a utilizar y ceder los datos de carácter personal necesa- rios para la tramitación o gestión del crédito personal o hipotecario, aquél podrá denunciar a la agencia inmobi- liaria, y, en su caso, a la entidad ban- caria o crediticia de que se trate, ante la Agencia de Protección de Datos, lo que constituye una infracción muy grave que conlleva una sanción eco- nómica que oscila entre los 300.000 y los 600.000 euros.
Modelo de documento recomendado por PROMEIN en la gestión y/o tramitación del crédito personal o hipotecario:
DECLARACION DEL SOLICITANTE
1.– Los firmantes de la presente solicitud declaran la veracidad de los datos faci- litados en el mismo.
2.– De conformidad con la Ley Orgánica 15/99 sobre Protección de Datos:
a) Los abajo firmantes prestan su consentimiento libre e incondicional, a fin de que los datos personales y/o económicos que ahora o el futuro faciliten o puedan facilitar se incluyan en los archivos y/o ficheros automatizados que <<DENOMINACION SOCIAL, S.L/S.A>> (en adelante <<NOMBRE COMERCIAL>> ) o cualquiera de las oficinas que tenga en España.
b) Los firmantes autorizan expresamente a <<NOMBRE COMERCIAL>> , a ceder a las entidades bancarias y/o de crédito los datos y documentos necesarios, facilitados por los clientes, para la obtención o aprobación de cualquier tipo de préstamo personal o hipotecario.
c) Los firmantes autorizan expresamente el uso y tratamiento de datos por
<< NOMBRE COMERCIAL >>, quien podrá hacer uso de los mismos, a fin de efectuar por sí o por terceros a quien expresamente designe en los organismos públicos o privados que considere pertinente consultas sobre:
solvencia patrimonial, situación crediticia y jurídica con la misma finalidad señalada en el apartado anterior.
d) Por último y en cumplimiento del contenido de la Ley Organica 15/99 de Protección de Datos de carácter Personal, y sus disposiciones concordan- tes, se reconoce a los firmantes del presente documento la posibilidad de ejercitar libremente y sin contraprestación alguna, los derechos de acceso, rectificación, cancelación, oposición, revocación de consentimiento y uso de datos total o parcialmente dirigiendo una comunicación por escrito al domicilio social de <<DENOMINACION SOCIAL, S.L/S.A>> , en <<CIU- DAD>>, calle <<DOMICILIO SOCIAL>>
Firma solicitante/-s
n