Informe completo gabinete AEJPR
¿Por qué hay una ley que protege los datos personales?
Porque la Constitución protege la intimidad, la privacidad, el honor de las personas y las nuevas tecnologías han avanzado en tal medida que es preciso poner límites a lo que con éstas se puede hacer en relación al derecho de las personas a sus datos personales.
Es tan importante esta protección que se trata de un derecho fundamental, recogido en la Constitución Española, en la Europea, vertebrado por la jurisprudencia constitucional y regulado por una Ley Orgánica, es decir, por una Ley que trata el desarrollo de las libertades públicas y de los derechos fundamentales y que requiere una mayoría cualificada del Parlamento para ser aprobada.
La protección de datos: Un derecho fundamental
El derecho fundamental a la protección de datos personales deriva directamente de la Constitución y atribuye a los ciudadanos un poder de disposición sobre sus datos, de modo que, en base a su consentimiento, se puedan disponer de los mismos.
La Constitución Europea reconoce el derecho fundamental a la protección de datos y establece que todos los países miembros de la Unión Europea deberán contar con una autoridad independiente que garantice y tutele tal derecho.
Este derecho reconoce al ciudadano la facultad de controlar sus datos personales y la capacidad para disponer y decidir sobre los mismos.
Marco Jurídico en el Ordenamiento Jurídico Español
1º.- Artículo 18 de la Constitución Española
1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.
2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito.
3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial.
4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.
2º.- Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. (Texto consolidado a fecha 5 de marzo de 2011)
3º.- Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
4º.- Instrucciones de la Agencia Española de Protección de Datos: Destaca para el sector de la joyería, platería y relojería la Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.
Organismo que se encarga de tutelar y proteger este derecho y que dispone de autoridad sancionadora
La Agencia Española de Protección de Datos, AEPD.
¿Qué es un dato de carácter personal?
Es cualquier información que permita identificar o hacer identificable a una persona física, es decir, toda información numérica, gráfica, fotográfica, acústica o de cualquier otro tipo susceptible de recogida, tratamiento o transmisión concerniente a una persona física identificada o identificable.
Así, de cara a la ley, dato de carácter personal es cualquier elemento que permite determinar, de manera directa o indirecta, la identidad física, fisiológica, psíquica, económica, cultural o social de una persona física.
¿A quién se protege?
A las personas físicas, ciudadanos, que para realizar algún contrato o actividad han tenido que facilitar a alguien sus datos de carácter personal.
¿Quién es el responsable de esos datos personales?
La entidad sea un organismo público o privado o la persona que ha tenido acceso a los mismos y decide sobre la finalidad, el contenido y el uso de tales datos personales
¿Como se protege este derecho fundamental?
La ley vertebra un sistema que protege y tutela al ciudadano estableciendo sus derechos así como las obligaciones de aquellos que han tenido acceso a los datos personales del ciudadano en concreto.
El Sistema de Protección de Datos de Carácter Personal
Los principales derechos del ciudadano
Primero.- Derecho de información.
En el momento en que se procede a la recogida de los datos personales, el interesado debe ser informado previamente de modo expreso, preciso e inequívoco de, entre otros, la existencia de un fichero, de la posibilidad de ejercitar sus derechos y del responsable del tratamiento.
Segundo.- Derecho de acceso.
Permite al ciudadano conocer y obtener gratuitamente información sobre sus datos de carácter personal sometidos a tratamiento.
Tercero.- Derecho de rectificación.
Este derecho se caracteriza porque permite corregir errores, modificar los datos que resulten ser inexactos o incompletos y garantizar la certeza de la información objeto de tratamiento.
Cuarto.- Derecho de cancelación.
Permite que se supriman los datos que resulten ser inadecuados o excesivos sin perjuicio del deber de bloqueo recogido en la LOPD.
Quinto.- Derecho de oposición.
Es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo.
Sexto.- Denuncias del ciudadano.
Si el ciudadano dispone de pruebas o indicios que puedan acreditar que un hecho pueda suponer el incumplimiento de la Ley Orgánica de Protección de Datos (LOPD), y que pueda constituir una infracción administrativa, puede presentar una denuncia poniendo en conocimiento de la A.E.P.D. la existencia de esos hechos.
Términos y palabras que debemos comprender
“Fichero”, conjunto organizado de datos de carácter personal. Es, por tanto, el soporte físico, sea automatizado o no, en el que se recoge y almacena, de manera organizada, el conjunto de datos que integra la información.
“Tratamiento”, las operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
Si bien entendemos que los ficheros de datos de carácter personal que se mantengan en soporte informático o telemático no presentan grandes dudas para su determinación, puesto que para su creación se exige, con carácter previo, la grabación, depuración y estructuración de una forma determinada, no sucede lo mismo para los ficheros en soporte papel (o ficheros no automatizados).
Para poder determinar cuando los datos registrados en soporte papel son susceptibles de tratamiento, y en consecuencia, se encuentren incluidos en el ámbito de aplicación de la LOPD, hay que atender a los siguientes requisitos:
- Que el tratamiento no automatizado se refiera a datos comprendidos en un Fichero en soporte papel.
- Y, que dichos datos se encuentren organizados estructurados u ordenados por criterios específicos, no considerándose, en consecuencia fichero, la existencia de carpetas no estructuradas, aunque estás contengan datos de carácter personal.
Responsables de garantizar el derecho a la protección de los datos personales
El responsable de garantizar este derecho es la entidad, persona u órgano administrativo que decide sobre la finalidad, el contenido y el uso del tratamiento de los datos personales
Las obligaciones principales de los responsables
Primera.- Inscripción de ficheros.
Notificar los ficheros ante el Registro General de Protección de Datos, para que se proceda a su inscripción.
Segunda.- Respecto a la calidad de los datos.
Asegurarse de que los datos sean adecuados y veraces, obtenidos lícita y legítimamente y tratados de modo proporcional a la finalidad para la que fueron recabados.
Tercera.- Deber de guardar secreto.
Garantizar el cumplimiento de los deberes de secreto y seguridad.
Cuarta.- Deber de información.
Informar a los titulares de los datos personales sobre la recogida de éstos y obtener el consentimiento para el tratamiento de los datos personales.
Quinta.- Atención de los derechos de los ciudadanos.
Facilitar y garantizar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.
Sexta.- Medidas de seguridad:
El principio de seguridad de datos establecido en el artículo 9 de la Ley Orgánica 15/1999, impone al responsable del fichero adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.
Séptima.- Transferencia internacional de datos.
Se trata de un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo (EEE), bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español.
El exportador de datos es la persona física o jurídica, pública o privada, u órgano administrativo situado en territorio español que realiza una transferencia de datos de carácter personal a un país tercero.
El importador de datos es la persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos, en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargado del tratamiento o tercero.
Las comunicaciones de datos en el EEE constituyen cesiones de datos a efectos de la aplicación de la LOPD.
Una transferencia internacional de datos no excluye en ningún caso la aplicación de las disposiciones contenidas en la LOPD y en el RLOPD. Para que la transferencia internacional de datos pueda considerarse conforme a lo dispuesto en las citadas normas, será necesario la autorización del Director de la Agencia Española de Protección de Datos, salvo en ciertos supuestos que el lector o afectado debería consultar personalmente.
El ejercicio de los derechos del ciudadano así como la forma de llevar a cabo los deberes de los responsables de los datos de carácter personal están regulados de forma más detallada en la normativa por lo que, dependiendo de los casos, le sugerimos que contacte con la A.E.J.P.R. si es asociado, para asegurarse del correcto cumplimiento de la norma a efectos de evitar sanciones.
¿En qué afecta la Ley Orgánica de Protección de Datos de Caracter Personal al titular de una joyería?
Primero.- Cualquier empresa o autónomo trabaja con datos personales, en términos generales de clientes o potenciales clientes (personas físicas) que les ofrecieran sus datos. También de otros empresarios o proveedores, de empleados… pero, en tales casos, el Reglamento que desarrolla esta Ley contempla excepciones que, posteriormente son matizadas por Resolución de la AEPD.
Esto significa, en definitiva, que los joyeros quedan obligados por esta normativa a los deberes que hemos mencionado previamente para los responsables de los datos.
Segundo.- No aplicable a personas jurídicas, a empleados o personas físicas que presten servicios a personas jurídicas en relación a los datos del número 2 del artículo 2 del RD 1720/2007 y tampoco es aplicable a los empresarios individuales cuando tales datos se practican en calidad de comerciantes, industriales o navieros.
Artículo 2 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
Ámbito objetivo de aplicación
1. El presente reglamento será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.
2. Este reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.
3. Asimismo, los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal.
4. (…) “
La Resolución de 27 de febrero de 2001, de la Agencia Española de Protección de Datos indica en su Fundamento Jurídico II, lo siguiente:
“... la protección conferida por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, no es aplicable a las personas jurídicas, que no gozarán de ninguna de las garantías establecidas en la Ley, y por extensión lo mismo ocurrirá con los profesionales que organizan su actividad bajo la forma de empresa (ostentando, en consecuencia la condición de comerciante a la que se refieren los artículos primero y siguientes del Código de Comercio) y con los empresarios individuales que ejercen una actividad comercial y respecto de las cuales sea posible diferenciar su actividad mercantil de su propia actividad privada, estando en el primer caso excluidos también del ámbito de aplicación de la Ley Orgánica 15/1999.
En definitiva pues, tanto las personas jurídicas como los profesionales y los comerciantes individuales (éstos dos últimos sólo en los estrictos términos señalados en el párrafo que antecede, esto es, cuando sus datos hayan sido tratados tan sólo en su consideración de empresarios) quedan fuera del manto protector de la Ley Orgánica 15/1999.
A contrario sensu, tanto los profesionales como los comerciantes individuales quedarían bajo el ámbito de aplicación de la Ley Orgánica 15/1999 y, por tanto, amparados por ella cuando los primeros no tuvieran organizada su actividad profesional bajo la forma de empresa, no ostentando, en consecuencia, la condición de comerciante.
Tercero.- La LOPD – Ley Orgánica de Protección de Datos- y la LSSICE – Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico – son aplicables cuando se realiza una actividad de comercio electrónico, tanto individual como corporativa.
Deben aplicarse especiales medidas de seguridad, sobre todo en el Departamento de las tecnologías de Información, medidas que afectan desde las copias de seguridad hasta la forma de recogida de los datos.
Hay que tener un “Documento de Seguridad” a disposición de los inspectores de la Agencia de Protección de Datos el cual se actualizará siempre que sea necesario, definirá las medidas que ha adoptado la empresa para la aplicación de la normativa, los modelos de contratos y comunicados y la lista de personas que tienen acceso a determinadas áreas de los datos. Es preciso, advertir de las obligaciones pertinentes en los documentos que se utilizan para recoger los datos personales así como establecer los procedimientos necesarios para que cualquier persona pueda ejercitar los derechos que contempla la ley dentro de los datos personales que tenemos almacenados y transmitir a toda la empresa las medidas adoptadas para el cumplimiento de la normativa. En cada página del sitio web debe estar accesible un aviso o información legal si se piden datos personales.
Más información y aplicaciones para el cumplimiento de la normativa en:
Asociación Española de Joyeros, Plateros y Relojeros.